- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin
Rozhodnutí Evropského veřejného ochránce práv ze dne 9. listopadu 2020 o vnitřních pravidlech k omezení některých práv subjektů údajů při zpracování osobních údajů
Document - Date Monday | 09 November 2020
EVROPSKÝ VEŘEJNÝ OCHRÁNCE PRÁV,
s ohledem na Smlouvu o fungování Evropské unie,
nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (1), a zejména na článek 25 uvedeného nařízení,
po konzultaci evropského inspektora ochrany údajů,
vzhledem k těmto důvodům:
|
1) |
Evropský veřejný ochránce práv je zmocněn provádět správní šetření, předběžná disciplinární řízení, disciplinární řízení a řízení o dočasném zproštění výkonu služby v souladu se služebním řádem úředníků Evropské unie a pracovním řádem ostatních zaměstnanců Evropské unie, který je stanoven nařízením Rady (EHS, Euratom) č. 259/68 (2)(dále jen „služební řád“), a v souladu s rozhodnutím evropského veřejného ochránce práv ze dne 4. listopadu 2004, kterým se stanoví prováděcí ustanovení týkající se vedení správních šetření a disciplinárních řízení. V případě nutnosti rovněž oznamuje případy úřadu OLAF. |
|
2) |
Zaměstnanci úřadu veřejného ochránce práv jsou povinni oznamovat potenciálně protiprávní činnosti, včetně podvodu a úplatkářství, které poškozují zájmy Unie. Zaměstnanci jsou rovněž povinni oznamovat jednání týkající se výkonu pracovních povinností, které může představovat vážné porušení povinností úředníků Unie. Tato povinnost je upravena rozhodnutím evropského veřejného ochránce práv o vnitřních pravidlech týkajících se whistleblowingu ze dne 20. února 2015. |
|
3) |
Evropský veřejný ochránce práv zavedl politiku pro prevenci a efektivní řešení skutečných nebo potenciálních případů psychického nebo sexuálního obtěžování na pracovišti, jak je uvedeno v rozhodnutí evropského veřejného ochránce práv ze dne 18. prosince 2017. Uvedené rozhodnutí stanoví neformální postup, jehož prostřednictvím se údajná oběť obtěžování může obrátit „korespondenty pro etiku“ a/nebo dohodovací výbor při úřadu evropského veřejného ochránce práv. |
|
4) |
Evropský veřejný ochránce práv může také provádět vyšetřování možných porušení bezpečnostních pravidel, pokud jde o utajované informace Evropské unie (dále jen „utajované informace EU“). |
|
5) |
Evropský veřejný ochránce práv se podrobuje interním i externím auditům svých činností. |
|
6) |
V souvislosti s těmito správními šetřeními, audity a vyšetřováními evropský veřejný ochránce práv spolupracuje s dalšími orgány, institucemi a jinými subjekty Unie. |
|
7) |
Evropský veřejný ochránce práv může spolupracovat s vnitrostátními orgány třetích zemí a mezinárodními organizacemi, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
8) |
Evropský veřejný ochránce práv také může spolupracovat s orgány veřejné moci členských států EU, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
9) |
Evropský veřejný ochránce práv provádí šetření údajných případů nesprávného úředního postupu při činnosti orgánů, institucí a jiných subjektů Unie, s výjimkou Soudního dvora Evropské unie při výkonu jeho soudních pravomocí. V této souvislosti může nastat situace, kdy bude evropský veřejný ochránce práv povinen ochránit důvěrnost osobních údajů obsažených v dokumentech získaných od stran sporu a během šetření. Může se také stát, že bude evropský veřejný ochránce práv povinen ochránit práva a svobody stěžovatelů, jakož i jiných dotčených osob. |
|
10) |
Za účelem plnění svých úkolů evropský veřejný ochránce práv shromažďuje a zpracovává informace a několik kategorií osobních údajů, včetně údajů o totožnosti fyzických osob, kontaktních údajů, údajů o profesních úlohách a úkolech, informací o soukromém a profesním chování a výkonnosti a finančních údajů. Evropský veřejný ochránce práv působí jako správce údajů. |
|
11) |
Podle nařízení (EU) 2018/1725 (dále jen „nařízení“) je proto evropský veřejný ochránce práv povinen poskytovat subjektům údajů informace o těchto činnostech zpracování a o jejich právech jako subjektů údajů. |
|
12) |
Evropský veřejný ochránce práv může být povinen hledat rovnováhu mezi těmito právy a cíli správních šetření, auditů, vyšetřování a soudních řízení. Rovněž může být nutné najít rovnováhu mezi právy subjektu údajů a základními právy a svobodami jiných subjektů údajů. Za tímto účelem článek 25 nařízení dává evropskému veřejnému ochránci práv možnost omezit za přísných podmínek použití článků 14 až 22, 35 a 36 nařízení, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20. Nejsou-li omezení stanovena právním aktem přijatým na základě Smluv, je nezbytné přijmout vnitřní pravidla, podle kterých je evropský veřejný ochránce práv oprávněn tato práva omezit. |
|
13) |
Evropský veřejný ochránce práv například může být nucen omezit informace, které poskytuje subjektu údajů o zpracování jeho osobních údajů během fáze předběžného posouzení správního šetření nebo během samotného šetření, a to před případným zamítnutím případu nebo ve fázi předběžného disciplinárního řízení. Za určitých okolností by poskytnutí těchto informací mohlo závažně ovlivnit schopnost evropského veřejného ochránce práv účinně provádět šetření, existuje-li například riziko, že dotčená osoba by mohla zničit důkazy nebo by před výslechem mohla ovlivňovat případné svědky. Může se také stát, že evropský veřejný ochránce práv bude povinen ochránit práva a svobody svědků, jakož i jiných dotčených osob. |
|
14) |
Může být zapotřebí chránit anonymitu svědka nebo oznamovatele (whistleblowera), který požádal o utajení své totožnosti. V takovém případě může evropský veřejný ochránce práv v zájmu ochrany práv a svobod těchto osob rozhodnout o omezení přístupu k údajům o jejich totožnosti, jakož i k jejich prohlášením a dalším osobním údajům. |
|
15) |
Může být zapotřebí chránit důvěrné informace o zaměstnanci, který se obrátil na korespondenty pro etiku při úřadu evropského veřejného ochránce práv a/nebo na dohodovací výbor v souvislosti s řízením týkajícím se obtěžování. V takovém případě může být evropský veřejný ochránce práv nucen v zájmu ochrany práv a svobod všech dotčených osob omezit přístup k údajům o totožnosti údajné oběti, údajného obtěžovatele a dalších dotčených osob, jakož i k jejich prohlášením a dalším osobním údajům. |
|
16) |
Evropský veřejný ochránce práv by například mohl být nucen omezit informace, které poskytuje subjektu údajů uvedenému ve stížnosti nebo v dokumentaci šetření o zpracování jeho osobních údajů během šetření údajného nesprávného úředního postupu orgánu, instituce nebo jiného subjektu EU. Poskytnutí těchto informací by mohlo závažně ovlivnit schopnost evropského veřejného ochránce práv účinně provádět šetření, existuje-li například riziko, že dotčená osoba by mohla šetření ohrozit. Může se také stát, že evropský veřejný ochránce práv bude muset ochránit práva a svobody stěžovatele i dalších zúčastněných osob. |
|
17) |
Evropský veřejný ochránce práv by měl uplatňovat omezení pouze tehdy, pokud respektují podstatu základních práv a svobod a představují nezbytně nutné a přiměřené opatření v demokratické společnosti. Evropský veřejný ochránce práv by měl uvést odůvodnění těchto omezení. |
|
18) |
V souladu se zásadou odpovědnosti by evropský veřejný ochránce práv měl vést záznamy o tom, jak tato omezení uplatňuje. |
|
19) |
Evropský veřejný ochránce práv by při zpracovávání osobních údajů vyměňovaných s jinými organizacemi v souvislosti se svými úkoly měl s těmito organizacemi konzultovat možné důvody pro uložení omezení a nezbytnost a přiměřenost těchto omezení, pokud to neohrozí činnosti evropského veřejného ochránce práv. |
|
20) |
Ustanovení čl. 25 odst. 6 nařízení ukládá správci údajů povinnost informovat subjekty údajů o hlavních důvodech pro použití omezení a o jejich právu podat stížnost u evropského inspektora ochrany údajů. |
|
21) |
Podle čl. 25 odst. 8 nařízení je evropský veřejný ochránce práv oprávněn odložit, neprovést nebo odepřít poskytnutí informací o důvodech pro použití omezení subjektu údajů, pokud by jakýmkoli způsobem mařilo účinek omezení. Evropský veřejný ochránce práv by měl v jednotlivých případech posoudit, zda by informování o omezení mařilo jeho účinek. |
|
22) |
Evropský veřejný ochránce práv by měl omezení zrušit, jakmile přestanou platit podmínky odůvodňující jeho uplatňování, přičemž tyto podmínky by měl pravidelně posuzovat. |
|
23) |
V zájmu nejvyšší možné ochrany práv a svobod subjektů údajů a v souladu s čl. 44 odst. 1 nařízení by měl být pověřenec pro ochranu osobních údajů včas konzultován ohledně veškerých omezení, která mohou být použita, a ohledně ověření jejich souladu s tímto rozhodnutím. |
|
24) |
Článek 16 odst. 5 a čl. 17 odst. 4 nařízení stanoví výjimky z práva subjektů údajů na informace a z práva na přístup k informacím. Pokud se použijí tyto výjimky, není evropský veřejný ochránce práv povinen uplatňovat omezení podle tohoto rozhodnutí, |
PŘIJAL TOTO ROZHODNUTÍ:
Článek 1- Předmět a oblast působnosti
1. Toto rozhodnutí stanoví předpisy týkající se podmínek, za nichž evropský veřejný ochránce práv může omezit použití článků 4, 14 až 22, 35 a 36, a to v souladu s článkem 25 nařízení.
2. Úřad evropského veřejného ochránce práv je jako správce údajů zastoupen evropským veřejným ochráncem práv.
Článek 2- Omezení
1. Evropský veřejný ochránce práv může omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20:
|
a) |
v souladu s čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení, pokud provádí správní šetření, předběžná disciplinární řízení, disciplinární řízení nebo řízení o dočasném zproštění výkonu služby podle článku 86 a přílohy IX služebního řádu a v souladu s rozhodnutím evropského veřejného ochránce práv ze dne 4. listopadu 2004 o vedení správních šetření a disciplinárních řízení a při oznamování případů úřadu OLAF; |
|
b) |
v souladu s čl. 25 odst. 1 písm. h) nařízení při zajišťování toho, aby mohli zaměstnanci úřadu evropského veřejného ochránce práv důvěrně oznamovat skutečnosti, pokud jsou přesvědčeni, že došlo k závažným nesrovnalostem, jak je stanoveno v rozhodnutí evropského veřejného ochránce práv ze dne 20. února 2015 o vnitřních předpisech týkajících se oznamování (whistleblowingu); |
|
c) |
v souladu s čl. 25 odst. 1 písm. h) nařízení při zajišťování toho, aby zaměstnanci úřadu evropského veřejného ochránce práv měli možnost podat oznámení korespondentům pro etiku a/nebo dohodovacímu výboru v souvislosti s řízením týkajícím se obtěžování, jak je vymezeno v rozhodnutí evropského veřejného ochránce práv o politice pro prevenci obtěžování a ochraně před obtěžováním v úřadu evropského veřejného ochránce práv; |
|
d) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení, pokud se provádí interní audity v souvislosti s činnostmi nebo útvary úřadu evropského veřejného ochránce práv; |
|
e) |
v souladu s čl. 25 odst. 1 písm. c), d), g) a h) nařízení, pokud poskytuje pomoc jinému orgánu, instituci a jiným subjektům Unie nebo od nich pomoc přijímá nebo pokud s nimi spolupracuje v souvislosti s činnostmi spadajícími do působnosti písm. a) až d) tohoto odstavce, a v souladu s příslušnými dohodami o úrovni služeb, memorandy o porozumění a dohodami o spolupráci; |
|
f) |
v souladu s č. 25 odst. 1 písm. c), g) a h) nařízení, pokud poskytuje pomoc vnitrostátním orgánům třetích zemí nebo mezinárodním organizacím nebo od nich pomoc přijímá nebo pokud spolupracuje s těmito orgány a organizacemi, ať už na jejich žádost, nebo z vlastního podnětu; |
|
g) |
v souladu s č. 25 odst. 1 písm. c), g) a h) nařízení, pokud poskytuje pomoc orgánům veřejné moci členských států nebo od nich pomoc přijímá nebo pokud spolupracuje s těmito orgány, ať už na jejich žádost, nebo z vlastního podnětu; |
|
h) |
v souladu s čl. 25 odst. 1 písm. e) nařízení, pokud zpracovává osobní údaje v dokumentech získaných stranami sporu nebo vedlejšími účastníky v souvislosti s řízením u Soudního dvora Evropské unie; |
|
i) |
v souladu s čl. 25 odst. 1 písm. h) nařízení, pokud provádí šetření údajných případů nesprávného úředního postupu v rámci činností orgánů, institucí a jiných subjektů EU, a to v souladu s článkem 228 Smlouvy o fungování Evropské unie a statutem veřejného ochránce práv a prováděcími pravidly. |
2. Každé omezení respektuje podstatu základních práv a svobod a je nezbytné a přiměřené v demokratické společnosti.
3. Před uplatněním omezení se v jednotlivých případech posoudí jejich nezbytnost a přiměřenost. Omezení se vztahují pouze na to, co je nezbytně nutné k dosažení cílů těchto omezení.
4. Za účelem dodržení zásady odpovědnosti evropský veřejný ochránce práv vypracuje záznam, v němž popíše důvody uplatňovaných omezení, důvody uvedené v odstavci 1, které jsou použity, a výsledek posouzení nezbytnosti a přiměřenosti omezení. Tyto záznamy budou součástí rejstříku, který se na požádání zpřístupní evropskému inspektorovi ochrany údajů. Evropský veřejný ochránce práv pravidelně vypracovává zprávy o uplatňování článku 25 nařízení.
5. Evropský veřejný ochránce práv při zpracovávání osobních údajů obdržených od jiných organizací v souvislosti se svými úkoly tyto organizace konzultuje ohledně možných důvodů pro uložení omezení a nezbytnosti a přiměřenosti dotčených omezení, pokud to neohrozí činnosti evropského veřejného ochránce práv.
Článek 3- Rizika z hlediska práv a svobod subjektů údajů
1. Posouzení rizik uložení omezení pro práva a svobody subjektů údajů a podrobnosti o období platnosti těchto omezení se zaregistrují v záznamech o činnostech zpracování vedených evropským veřejným ochráncem práv podle článku 31 nařízení. Budou rovněž zaznamenána ve všech posouzeních vlivu na ochranu údajů týkajících se těchto omezení, která jsou prováděna v souladu s článkem 39 nařízení.
2. Vždy, když evropský veřejný ochránce práv posuzuje nezbytnost a přiměřenost omezení, zváží možná rizika pro práva a svobody subjektu údajů.
Článek 4- Záruky a doby uchovávání
1. Evropský veřejný ochránce práv zavede záruky proti zneužití osobních údajů, které podléhají nebo mohou podléhat omezením, nebo proti protiprávnímu přístupu k nim či jejich protiprávnímu předání. Tyto záruky zahrnují technická a organizační opatření a jsou v případě potřeby podrobně popsány v interních rozhodnutích, postupech a prováděcích pravidlech evropského veřejného ochránce práv. Mezi tyto záruky patří:
|
a) |
jasná definice úloh, povinností a procesních kroků; |
|
b) |
případně zabezpečené elektronické prostředí, které zabraňuje neoprávněným osobám v protiprávním a náhodném přístupu k elektronickým údajům nebo protiprávnímu či náhodnému předání těchto údajů neoprávněným osobám; |
|
c) |
případně zabezpečené uložení a zpracování dokumentů v tištěné podobě; |
|
d) |
řádné sledování omezení a pravidelný přezkum jejich uplatňování. |
Přezkumy uvedené v písm. d) se provádějí alespoň jednou za šest měsíců.
2. Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují.
3. Osobní údaje se uchovávají v souladu s platnými pravidly evropského veřejného ochránce práv pro uchovávání údajů, která budou vymezena v záznamech o ochraně údajů vedených podle článku 31 nařízení. Na konci doby uchovávání se osobní údaje smažou, anonymizují nebo uloží do archivu v souladu s článkem 13 nařízení.
Článek 5- Zapojení pověřence pro ochranu osobních údajů
1. Pověřenec evropského veřejného ochránce práv pro ochranu osobních údajů musí být neprodleně informován, kdykoli dojde k omezení práv subjektu údajů v souladu s tímto rozhodnutím. Je mu poskytnut přístup k souvisejícím záznamům a veškerým dokumentům týkajícím se skutkových nebo právních okolností.
2. Pověřenec evropského veřejného ochránce práv pro ochranu osobních údajů může požádat o přezkum uplatňování daného omezení. Evropský veřejný ochránce práv písemně informuje svého pověřence pro ochranu osobních údajů o výsledku požadovaného přezkumu.
3. Evropský veřejný ochránce práv zdokumentuje zapojení pověřence pro ochranu osobních údajů do uplatňování omezení, včetně toho, jaké informace si s ním vyměnil.
Článek 6- Informování subjektů údajů o omezeních jejich práv
1. Evropský veřejný ochránce práv začlení do oznámení o ochraně údajů zveřejněných na jeho internetových stránkách oddíl s obecnými informacemi pro subjekty údajů o možném omezení práv subjektů údajů v souladu s čl. 2 odst. 1. Součástí informací je i to, která práva mohou být omezena, důvody, pro které lze omezení uložit, a případná délka trvání omezení.
2. Evropský veřejný ochránce práv informuje subjekty údajů jednotlivě, písemně a bez zbytečného odkladu o stávajících a budoucích omezeních jejich práv. Evropský veřejný ochránce práv informuje subjekt údajů o hlavních důvodech, na nichž je založeno uplatňování omezení, o jeho právu konzultovat pověřence pro ochranu osobních údajů s cílem napadnout dané omezení a o právu subjektu údajů podat stížnost u evropského inspektora ochrany údajů.
3. Evropský veřejný ochránce práv může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení a o právu na podání stížnosti u evropského inspektora ochrany údajů, pokud by poskytnutí informací mařilo účinek omezení. Posouzení, zda by tento krok byl odůvodněný, se provádí individuálně. Jakmile již poskytnutí informací nebude mařit účinek omezení, evropský veřejný ochránce práv neprodleně poskytne subjektu údajů příslušné informace.
Článek 7- Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud se na evropského veřejného ochránce práv vztahuje povinnost oznámit porušení zabezpečení podle čl. 35 odst. 1 nařízení, může za výjimečných okolností toto oznámení částečně nebo zcela omezit. V poznámce zdokumentuje důvody omezení, jeho právní základ podle článku 2 a posouzení jeho nezbytnosti a přiměřenosti. Poznámka bude předána evropskému inspektorovi ochrany údajů v okamžiku, kdy je oznámeno porušení zabezpečení osobních údajů.
2. Pokud již důvody omezení pominuly, oznámí evropský veřejný ochránce práv porušení zabezpečení osobních údajů dotčenému subjektu údajů a informuje ho o hlavních důvodech omezení a o jeho právu podat stížnost u evropského inspektora ochrany údajů.
Článek 8- Důvěrnost elektronické komunikace
1. Za výjimečných okolností může evropský veřejný ochránce práv omezit právo na důvěrnost elektronických komunikací podle článku 36 nařízení. Tato omezení musí být v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES (3).
2. Pokud evropský veřejný ochránce práv omezí právo na důvěrnost elektronických komunikací, informuje dotčený subjekt údajů ve své odpovědi na jakoukoliv žádost subjektu údajů o hlavních důvodech, na nichž se uplatňování omezení zakládá, a o právu subjektu údajů podat stížnost u evropského inspektora ochrany údajů.
3. Evropský veřejný ochránce práv může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení a o právu na podání stížnosti u evropského inspektora ochrany údajů, pokud by poskytnutí informací mařilo účinek omezení. Posouzení, zda by tento krok byl odůvodněný, se provádí individuálně. Jakmile již poskytnutí informací nebude mařit účinek omezení, evropský veřejný ochránce práv neprodleně poskytne subjektu údajů příslušné informace.
Článek 9- Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Ve Štrasburku dne 9. listopadu 2020.
Za evropského veřejného ochránce práv
Emily O’REILLY
(1) Úř. věst. L 295, 21.11.2018, s. 39.
(2) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(3) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).
- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin