30.11.2010   

CS

Úřední věstník Evropské unie

C 323/1


Stanovisko evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o občanské iniciativě

2010/C 323/01

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 16 této smlouvy,

s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),

s ohledem na žádost o stanovisko v souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů zaslanou evropskému inspektorovi ochrany údajů dne 31. března 2010 (2),

PŘIJAL TOTO STANOVISKO:

I.   ÚVOD

1.

Dne 31. března 2010 Komise přijala návrh nařízení Evropského parlamentu a Rady o občanské iniciativě. (3) Návrhu předcházely veřejné konzultace o tomto předmětu, které se konaly od 11. listopadu 2009 do 31. ledna 2010 (4).

2.

Občanská iniciativa je jednou z inovací práva EU zavedených Lisabonskou smlouvou, jež umožňuje, že nejméně jeden milion občanů EU pocházejících z podstatného počtu členských států může vyzvat Komisi, aby předložila legislativní návrh. Navrhované nařízení vychází z čl. 11 odst. 4 Smlouvy o EU a čl. 24 odst. 1 Smlouvy o fungování EU, jež stanoví, že postupy a podmínky požadované pro tuto občanskou iniciativu mají být určeny v souladu s řádným legislativním postupem.

3.

Tento návrh byl zaslán evropskému inspektorovi v den jeho přijetí v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001. Před přijetím návrhu byl EIOÚ neformálně konzultován. EIOÚ tuto neformální konzultaci ocenil a je potěšen, že většina jeho podnětů byla v konečném návrhu zohledněna.

4.

Z obecného hlediska je EIOÚ spokojen se způsobem, jakým je v navrhovaném nařízení řešena otázka ochrany údajů. Na podrobnější úrovni navrhuje EIOÚ provést několik úprav. Tato doporučení jsou obsažena v kapitole II tohoto stanoviska.

5.

V předběžné poznámce by EIOÚ chtěl zdůraznit, že naprosté dodržování pravidel ochrany údajů významně přispěje ke spolehlivosti, účinnosti a úspěchu tohoto důležitého nového nástroje.

II.   PODROBNÁ ANALÝZA NÁVRHU

6.

V souladu s čl. 11 odst. 4 Smlouvy o EU a čl. 24 odst. 1 Smlouvy o fungování EU návrh určuje postupy a podmínky pro občanskou iniciativu. Navrhované nařízení definuje minimální počet členských států, minimální počet občanů pocházejících z každého členského státu a minimální věk, od nějž budou mít občané právo se podílet na takové iniciativě. Návrh dále určuje věcné a procedurální podmínky pro posouzení každé takové iniciativy Komisí.

7.

Toto stanovisko se zaměřuje pouze na ta ustanovení, která jsou důležitá z hlediska ochrany údajů. A sice pravidla pro registraci občanské iniciativy (článek 4), postupy pro sběr prohlášení o podpoře (články 5 a 6) a požadavky na ověřování a prokazování pravosti prohlášení o podpoře (článek 9). Ochraně údajů je věnována zvláštní pozornost v článku 12 návrhu. Článek 13 se dále zabývá odpovědností organizátorů občanské iniciativy. Tato ustanovení budou nyní podrobné analyzována.

Článek 4 –   registrace navrhované občanské iniciativy

8.

Před zahájením sběru prohlášení o podpoře od podepsaných osob musí organizátor zaregistrovat iniciativu u Komise v elektronickém registru. Musí poskytnout informace, jež jsou uvedeny v příloze II navrhovaného nařízení. Tyto informace zahrnují osobní informace o organizátorovi, a to celé jméno, poštovní adresu a e-mailovou adresu. Podle čl. 4 odst. 5 návrhu bude navrhovaná občanská iniciativa zveřejněna v registru. Ačkoli to z textu není zcela jasné, EIOÚ se domnívá, že poštovní adresa a e-mailová adresa organizátora nebudou v zásadě prostřednictvím registru zveřejněny. V opačném případě by EIOÚ vyzval zákonodárce, aby nezbytnost zveřejnění posoudil a vysvětlil a aby znění článku 4 v tomto ohledu zpřesnil.

Článek 5 –   Postupy a podmínky pro sběr prohlášení o podpoře

9.

Organizátor je odpovědný za sběr potřebného počtu prohlášení o podpoře od podepsaných osob pro navrhovanou občanskou iniciativu. Podle čl. 5 odst. 1 musí formuláře prohlášení o podpoře odpovídat vzoru uvedenému v příloze III navrhovaného nařízení. Tento vzorový formulář od podepsané osoby vyžaduje poskytnutí určitých (očividných) osobních informací, jako je křestní jméno a příjmení, a v případě písemného formuláře vlastnoruční podpis. Pro účely ověření pravosti prohlášení o podpoře příslušným orgánem musí být poskytnuty i určité další informace: město a země pobytu podpisující osoby, datum a místo jejího narození, státní příslušnost, osobní identifikační číslo, typ identifikačního čísla/dokladu totožnosti a členský stát, který toto číslo/doklad vydal. Jiná, nepovinná pole ve vzorovém formuláři udávají ulici pobytu podepsané osoby a její e-mailovou adresu.

10.

EIOÚ zastává názor, že všechna pole s povinnými informacemi ve vzorovém formuláři jsou pro organizování občanské iniciativy a pro zajištění pravosti prohlášení o podpoře nezbytná, s výjimkou osobního identifikačního čísla. Mezi členskými státy existují rozdíly v tom, jak je používání takových jedinečných identifikačních čísel tam, kde existují, regulováno. EIOÚ se nedomnívá, že pro ověření pravosti prohlášení o podpoře má osobní identifikace jakoukoli přidanou hodnotu. Pro dosažení tohoto účelu lze považovat za dostatečné již ostatní požadované informace. EIOÚ proto doporučuje toto informační pole ze vzorového formuláře uvedeného v příloze III vypustit.

11.

EIOÚ také zpochybňuje nutnost začlenit do standardního formuláře pole s nepovinnými informacemi, a pokud se taková nutnost neprokáže, doporučuje tato pole ze vzorového formuláře vypustit.

12.

EIOÚ dále doporučuje doplnit ve spodní části vzoru standardní prohlášení o ochraně osobních údajů, ve kterém bude uvedena totožnost správce údajů, účely sběru údajů, ostatní příjemci údajů a doba uchovávání. Poskytnutí těchto informací subjektu údajů vyžaduje článek 10 směrnice 95/46/ES.

Článek 6 –   Elektronické systémy sběru

13.

Článek 6 navrhovaného nařízení se zabývá sběrem prohlášení o podpoře s využitím elektronických systémů. Článek 6 požaduje, aby se organizátor před zahájením sběru prohlášení ujistil, že elektronický systém sběru má odpovídající bezpečnostní a technické prvky, aby se mimo jiné zajistilo, že údaje poskytnuté elektronicky jsou bezpečně uloženy tak, „že je nelze měnit nebo používat za jiným účelem, než je vyjádření podpory dané občanské iniciativě, a aby byly osobní údaje chráněny proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu“ (5).

14.

Čl. 6 odst. 2 dále stanoví, že organizátor může kdykoli požádat příslušný oprávněný orgán, aby potvrdil, že elektronický systém sběru je v souladu s těmito požadavky. O vydání tohoto potvrzení požádá organizátor v každém případě předtím, než prohlášení o podpoře předloží k ověření (viz dále článek 9).

15.

Čl. 6 odst. 5 dále ukládá Komisi přijmout technické specifikace pro provádění těchto bezpečnostních pravidel v souladu s postupem projednávání ve výborech podle čl. 19 odst. 2 návrhu.

16.

EIOÚ vítá důraz kladený v článku 6 návrhu na bezpečnost elektronických systémů sběru. Povinnost zajistit bezpečnost zpracování údajů je jedním z požadavků na ochranu údajů, které lze nalézt v článku 17 směrnice 95/46/ES. EIOÚ je potěšen, že na základě neformálních připomínek evropského inspektora Komise sladila znění čl. 6 odst. 4 návrhu se zněním čl. 17 odst. 1 směrnice 95/46/ES. EIOÚ dále vítá, že do čl. 6 odst. 4 byla zakotvena povinnost zajistit, aby údaje nemohly být používány za jiným účelem, než je vyjádření podpory dané občanské iniciativě. EIOÚ však vyzývá zákonodárce, aby do článku 12 vtělil srovnatelnou povinnost s obecným dopadem (viz dále bod 27).

17.

EIOÚ má pochyby, pokud jde o časové vymezení pro vydání potvrzení příslušným oprávněným orgánem. Organizátor je pouze povinen vyžádat si toto potvrzení v každém případě předtím, než shromážděná prohlášení o podpoře předloží tomuto orgánu k ověření. Může tak učinit i dříve. EIOÚ se domnívá, že potvrzení elektronického systému má přidanou hodnotu, a zastává názor, že k tomuto potvrzení by mělo dojít před sběrem prohlášení, aby se zabránilo sběru osobních údajů nejméně jednoho milionu občanů pomocí systému, který se později ukáže být nedostatečně zabezpečeným. EIOÚ proto vyzývá zákonodárce, aby včlenil tuto povinnost do znění čl. 6 odst. 2. Přitom by samozřejmě mělo být zaručeno, aby postup při vydávání potvrzení nepředstavoval pro organizátora nadměrnou administrativní zátěž.

18.

V souvislosti s tím chce EIOÚ poukázat na článek 18 směrnice 95/46/ES, který správcům ukládá povinnost zaslat před zpracováním údajů oznámení orgánu pro ochranu údajů v příslušné zemi, pokud nebudou stanoveny určité výjimky. Není jasné, jak tato oznamovací povinnost, s určitými výjimkami, souvisí s vydáváním potvrzení příslušnými orgány členských států v rámci navrhovaného nařízení. Aby se co nejvíce zabránilo administrativním zátěžím, EIOÚ vyzývá zákonodárce, aby vyjasnil vztah mezi postupem oznamování podle článku 18 směrnice 95/46/ES a postupem při vydávání potvrzení podle článku 6 navrhovaného nařízení.

19.

Nyní k prováděcím pravidlům pro technické specifikace. EIOÚ očekává, že bude konzultován předtím, než tato prováděcí pravidla budou přijata. Zejména proto, že pracovní dokument útvarů Komise o výsledcích zelené knihy se zmiňuje o některých systémech navržených během veřejných konzultací, jež mají zajistit pravost elektronických podpisů, mimo jiné i o myšlence čipové karty evropského občana umožňující elektronický podpis. Takový systém s sebou očividně přináší nové požadavky na ochranu údajů (6).

Článek 9 –   Ověřování a potvrzování prohlášení o podpoře členskými státy

20.

Po shromáždění potřebného počtu prohlášení o podpoře od podepsaných osob předloží organizátor tato prohlášení příslušnému odpovědnému orgánu k ověření a potvrzení. Organizátor předává osobní informace podepsaných osob příslušnému orgánu toho členského státu, který vydal těmto podepsaným osobám doklad totožnosti uvedený v prohlášení o podpoře. Příslušný orgán musí do tří měsíců ověřit prohlášení o podpoře pomocí „odpovídajících kontrol“ a vystavit organizátorovi potvrzení. (7) Potvrzení se použije, když je iniciativa skutečně předkládána Komisi.

21.

EIOÚ vítá tento decentralizovaný systém, kdy Komise nebude disponovat osobními informacemi podepsaných osob, ale pouze potvrzeními vydanými příslušnými orgány členských států. Takový systém snižuje riziko nevhodného zacházení s osobními údaji, neboť omezuje okruh příjemců těchto údajů.

22.

Z textu není jasné, co se rozumí „odpovídajícími kontrolami“ příslušných orgánů. Jasnost do této otázky nevnáší ani příslušný 15. bod odůvodnění. EIOÚ si klade otázku, jak bude příslušnými orgány kontrolována pravost prohlášení o podpoře. Chtěl by zejména vědět, zda příslušné orgány budou schopny zkontrolovat prohlášení porovnáním s informacemi o totožnosti občanů dostupnými z jiných zdrojů, jako jsou vnitrostátní nebo regionální registry. EIOÚ vyzývá zákonodárce, aby tuto otázku upřesnil.

Článek 12 –   Ochrana osobních údajů

23.

Článek 12 navrhovaného nařízení je věnován pouze ochraně osobních údajů. V tomto ustanovení se zdůrazňuje, že organizátor i příslušný orgán musí dodržovat směrnici 95/46/ES a vnitrostátní ustanovení přijatá na jejím základě. V 20. bodě odůvodnění se také poukazuje na to, že nařízení (ES) č. 45/2001 lze použít při zpracovávání osobních údajů Komisí v rámci registrace organizátora iniciativy. EIOÚ tyto výroky vítá.

24.

Toto ustanovení dále výslovně stanoví, že pro účely zpracování osobních údajů musí být organizátor a příslušný orgán považováni za správce údajů. EIOÚ je touto specifikací potěšen. Správce nese hlavní odpovědnost za dodržování pravidel o ochraně údajů. Článek 12 návrhu nepřipouští ohledně toho, kdo musí být považován za správce, sebemenší pochybnost.

25.

Článek 12 stanoví také maximální dobu uchovávání shromážděných osobních údajů. Pro organizátora je tato lhůta stanovena na jeden měsíc po předložení dané iniciativy Komisi nebo nanejvýš do 18 měsíců po dni registrace navrhované iniciativy. Příslušné orgány musí zničit údaje do jednoho měsíce po vydání potvrzení. EIOÚ tato omezení vítá, neboť zaručují dodržení požadavku stanoveného v čl. 6 odst. 1 písm. e) směrnice 95/46/ES.

26.

EIOÚ je dále spokojen, že v článku 12 je zopakován text převzatý z čl. 17 odst. 1 směrnice 95/46/ES o bezpečnosti zpracování údajů. To jasně ukazuje, že tyto povinnosti se nevztahují pouze na případy použití elektronického systému sběru (viz bod 13 a další výše uvedené), ale na všechny situace, jichž se navrhované nařízení týká.

27.

Jak je uvedeno výše v bodě 16, EIOÚ doporučuje zákonodárci doplnit článek 12 o nový odstavec, který zaručí, že osobní údaje shromážděné organizátorem (buď pomocí elektronického systému sběru, nebo jakýmkoli jiným způsobem) nebudou používány za jiným účelem, než je vyjádření podpory dané občanské iniciativě, a dále, že údaje obdržené příslušným orgánem budou použity pouze pro účel ověření pravosti prohlášení o podpoře dané občanské iniciativy.

Článek 13 –   Odpovědnost

28.

V článku 13 se stanoví, že členské státy musí zajistit, aby organizátoři, kteří mají bydliště nebo sídlo na jejich území, byli odpovědni podle občanského nebo trestního práva daného členského státu za porušení navrhovaného nařízení, mimo jiné zejména za nesplnění požadavků pro elektronické systémy sběru nebo podvodné používání údajů. V 19. bodě odůvodnění se odkazuje na kapitolu III směrnice 95/46/ES, která se týká soudního přezkumu, odpovědnosti a sankcí, a stanoví se, že tuto kapitolu lze v plném rozsahu použít na zpracování údajů podle navrhovaného nařízení. Článek 13 návrhu je nutné považovat za doplněk k ní, neboť na rozdíl od kapitoly III směrnice 95/46/ES výslovně odkazuje na občanské a trestní právo členských států. EIOÚ toto ustanovení očividně vítá.

III.   ZÁVĚRY A DOPORUČENÍ

29.

Jak bylo uvedeno v úvodu a jasně vyplývá z analýzy provedené v kapitole II tohoto stanoviska, EIOÚ je z obecného hlediska spokojen se způsobem, jakým je řešena otázka ochrany údajů v navrhovaném nařízení o občanské iniciativě. Ochrana údajů byla jasně zohledněna a návrh je formulován způsobem, který zaručuje dodržení pravidel o ochraně údajů. EIOÚ je zejména potěšen článkem 12, který je věnován pouze ochraně údajů a jasně stanoví odpovědnosti a doby uchovávání údajů. EIOÚ chce zdůraznit, že naprosté dodržování pravidel ochrany údajů významně přispěje ke spolehlivosti, účinnosti a úspěchu tohoto důležitého nového nástroje. Ačkoli je s návrhem celkově spokojen, EIOÚ stále vidí prostor pro další zlepšování.

30.

EIOÚ doporučuje, aby zákonodárce doplnil článek 6 tak, že organizátor je povinen požádat o potvrzení bezpečnosti elektronického systému sběru předtím, než začne shromažďovat prohlášení o podpoře. Tyto postupy při vydávání potvrzení by navíc neměly pro organizátora představovat nadměrnou administrativní zátěž. EIOÚ dále doporučuje vyjasnit vztah mezi postupem oznamování podle článku 18 směrnice 95/46/ES a postupem při vydávání potvrzení podle článku 6 navrhovaného nařízení.

31.

K dalšímu zlepšení návrhu EIOÚ zákonodárci doporučuje:

posoudit, zda je nutné zveřejňovat poštovní a e-mailovou adresu organizátora iniciativy, a pokud se takové zveřejnění předpokládá, zpřesnit znění článku 4 návrhu,

vypustit ze vzorového formuláře uvedeného v příloze III políčka požadující uvedení osobního identifikačního čísla a nepovinných informací,

doplnit do vzorového formuláře uvedeného v příloze III standardní prohlášení o ochraně osobních údajů, což zaručí dodržení článku 10 směrnice 95/46/ES,

vyjasnit, co se rozumí „odpovídajícími kontrolami“ v čl. 9 odst. 2, jež má provádět příslušný orgán při ověřování pravosti prohlášení o podpoře,

doplnit článek 12 o nový odstavec, který zaručí, že osobní údaje shromážděné organizátorem nebudou používány za jiným účelem, než je vyjádření podpory dané občanské iniciativě, a že údaje obdržené příslušným orgánem budou použity pouze pro účel ověření pravosti prohlášení o podpoře dané občanské iniciativy.

V Bruselu dne 21. dubna 2010.

Peter HUSTINX

Evropský inspektor ochrany údajů


(1)  Úř. věst. L 281, 23.11.1995, s. 31.

(2)  Úř. věst. L 8, 12.1.2001, s. 1.

(3)  Viz KOM(2001) 119 v konečném znění, doprovázená pracovním dokumentem útvarů Komise, jenž popisuje výsledky veřejných konzultací o zelené knize o Evropské občanské iniciativě, SEK(2010) 730.

(4)  Zelená kniha, viz KOM(2009) 622.

(5)  Viz čl. 6 odst. 4 tohoto návrhu.

(6)  Viz SEK(2010) 730, s. 4.

(7)  Viz čl. 9 odst. 2 tohoto návrhu.