VYBRANÉ PRÁVNÍ NÁSTROJE RADY EVROPY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ PETRA MELOTÍKOVÁ Právnická fakulta, Univerzita Palackého v Olomouci ___________________________________________________________________________ Abstrakt Rada Evropy je mezinárodní organizace zabývající se ochranou osob a lidských práv. Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No. 108) je klíčovým právním nástrojem na poli ochrany osobních údajů. Úmluva spolu s Dodatkovým protokolem je prvním funkčním nástrojem v ochraně dat, který zakotvuje základní principy ochrany a kontrolní mechanismy jejich naplňování v jednotlivých státech. Klíčová slova Rada Evropy, Úmluva CETS č. 108, osobní údaje, automatizované databanky, automatizovaný soubor dat, ochrana údajů, tok údajů přes hranice, základní principy, Dodatkový protokol, změna Úmluvy, Evropská společenství Abstrakt The Council of Europe is the international organization, which deals with the protection of individuals and human rights. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) is the key law in the field of personal data protection. Convention and also on Additional Protocol and Amandments to Convention, are the first real law means, which are focused on the basic principles in personal data protection and control mechanisms in member states. Key Words Council of Europe, Convention CETS No. 108, personal data, automated data banks, automated data file, data security, transborder data flows, basic principles, Additional Protocol, Amendment to Convention, European Communities Rada Evropy je jednou z prvních mezinárodních organizací, které se začaly zabývat ochranou osobních údajů. Samozřejmě přijímá řadu opatření vedoucích k ochraně dat v jednotlivých oblastech, Rada ministrů přijímá doporučení a rezoluce, zvláštní komise zpracovávají studie a zprávy týkající se ochrany dat. Klíčovým dokumentem přijatým na půdě Rady Evropy se stala Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No. 108)[1], která byla otevřena k podpisu v roce 1981 (dále jen „Úmluva“). Jejímu vzniku předcházelo několik kroků. V roce 1968 Parlamentní shromáždění Rady Evropy požádalo Výbor ministrů Rady Evropy (dále jen „Výbor ministrů“) o informace týkající se způsobu zabezpečení ochrany soukromí a dotázalo se, zda současné právní prostředky ochrany soukromí, zejména Evropská úmluva o lidských právech[2] a vnitrostátní právní úprava v členských zemích Rady Evropy, jsou dostatečné. Po následující dva roky se touto problematikou zabývala Komise expertů při Radě Evropy a na základě její zprávy Výbor ministrů posléze zjistil, že právní úprava této oblasti je nedostačující a neodpovídá rychle se rozvíjející době a používání moderních technologií při sběru a uchovávání dat. Závěr šetření Komise expertů, která zkoumala zákonodárství členských státu Rady Evropy, byl jednoznačným signálem pro Výbor ministrů, aby začal intenzivně hledat řešení problémů. Jiná ochrana soukromí ani nebyla dříve požadována, protože teprve v 50. a 60. letech 20. století došlo k prudšímu zavádění nových technologií do běžného života. Postupným průmyslovým rozvojem a zaváděním důmyslnějších technik pro sběr a uchovávání informací, mohlo častěji dojít k selhání systému ochrany osobních údajů. Hrozba zneužití informací nebyla způsobena množstvím nových osobních údajů, které by byly zjišťovány. Hlavním důvodem se stalo jakési zjednodušení možnosti rozšířit data na velkou vzdálenost, rychlost, jakou se to může podařit a možnost přístupu k nim a také způsob, jak byla vůbec data uchovávána. Evropská úmluva o lidských právech se problematice ochrany soukromí věnuje jen ve svém článku osm, ve kterém deklaruje právo každého na respektování jeho soukromého a rodinného života, domova a korespondence a zakazuje veřejné moci zasahovat do tohoto práva kromě zákonem stanovených případů. Problém tohoto znění článku osm spočívá v tom, že vůbec nepočítá s možností zásahu do zaručených práv soukromou osobou a dále je sporné, zda poskytuje článek ochranu i elektronické korespondenci[3], či zda chrání obecně veškerá osobní data.[4] Právní úprava ve zkoumaných zemích na konci 60.let minulého století, vztahující se k ochraně soukromí, zaručovala především ochranu listovního tajemství, telekomunikací a nedotknutelnosti obydlí. Musíme opět vzít v úvahu, že nutnost ochrany dat se zvýšila právě s rozvojem nových technologií zejména v 60. letech, a proto ústavy příjimané dříve nemohly počítat s využíváním některých moderních technologií. Jen v některých státech existovala právní úprava ochrany dat jako samostatný právní předpis. Jednalo se o Švédsko, Belgii a Německou spolkovou republiku. V textech ústav jednotlivých států se ochrana osobních údajů začala objevovat až v pozdějších letech. Např. v nizozemské ústavě z roku 1983 v článku 10, který uznává právo každého na ochranu soukromí, se dále zakotvuje povinnost upravit zákonem pravidla týkající se uchovávání dat o osobě, jejich využití a možnosti jejich opravy. V zájmu sjednocení roztříštěné legislativy členských států Rady Evropy a dostatečného zajištění ochrany dat, byla přijata Výborem ministrů v roce 1973 Rezoluce č. 22[5] zabývající se shromažďováním a uchováváním osobních informací v soukromém sektoru a v následujícím roce Rezoluce č. 29[6], která se týkala uchování osobních informací v automatických databankách[7] (lépe řečené „souborech dat“) veřejného sektoru. První rezoluce apelovala na vlády členských států Rady Evropy, aby podnikly kroky, které považují za nezbytné ke uplatnění deseti základních zásad ochrany údajů jmenovaných v této rezoluci. Jednalo se především o to, aby osoba, o které byly shromážděny informace, o nich věděla, měla být informována o účelu použití těchto dat, data neměla být zjišťována podvodnými prostředky, měla být uchovávána na nezbytnou dobu, neměla být poskytnuty třetí straně bez řádného souhlasu osoby a zejména informace intimního charakteru by neměly být zaznamenávány, případně rozšiřovány dále. Přístup k informacím měl být umožněn jen oprávněným osobám, které měly podléhat přísným pravidlům pro zacházení s údaji a mělo se použít všech prostředků k předejití zneužití shromážděných informací. Druhá rezoluce se týkala ochrany shromažďovaných informací ve veřejném sektoru. Mimo zásady uvedené již v Rezoluci č. 22, bylo jako obecné pravidlo stanoveno, že se má veřejnost vždy dozvědět o zavádění databank a informace intimního charakteru měly být shromažďovány jen na základě zákona spolu se stanovením přísných podmínek jejich získávání, podmínek, za kterých mají být uchovávány a k jakému účelu použity. Už při přijímání těchto rezolucí bylo jasné, že je potřeba nová pravidla pro nakládání s osobními údaji potřeba zajistit i jinými prostředky, právně závaznými akty. Obě přijaté rezoluce ponechaly rozhodnutí o způsobu ochrany dat na vládách, každý stát se mohl rozhodnout, co pro něj bude výhodnější, např. zda přijmout novou zákonnou úpravu, či rozšířit stávající právní předpisy o ochranu soukromí ve smyslu ochrany osobních údajů v souvislosti s používáním nových technologií užívaných k uchovávání a přenosu těchto informací, nebo dosáhnout rezolucemi požadované ochrany jinými prostředky. Po přijetí rezolucí začaly členské státy přijímat potřebná opatření k naplnění jejich požadavků, zejména došlo k přijetí nové zákonné úpravy v oblasti ochrany dat v automatizovaných systémech a v některých případech byla ochrana dat vtělena i do národních ústav. Zároveň v Radě Evropy sílilo přesvědčení, že je nutné zajistit potřebnou ochranu dalším právním nástrojem. Státy sice přijímaly právní úpravu, která byla v klíčových bodech stejná ve všech zemích, nicméně vznikaly i nové problémy. Jak zajistit adekvátní ochranu datům, která mají být předána do jiného státu? Jaká právní úprava se bude vztahovat na tato data? Bude poskytnuta stejná míra ochrany datům v jednotlivých státech? V souladu s myšlenkou volného toku informací přes hranice státu musela být také nastolena pravidla pro zacházení s těmito daty. Nakonec zvítězila myšlenka vzniku mezinárodní úmluvy, která bude otevřena k podpisu i nečlenským státům Rady Evropy a jejímž hlavním principem bude aplikace jednotných principů při nakládání s osobními údaji ve všech státech, které Úmluvu přijmou.[8] Proto na její přípravě pracovali od roku 1978 spolu s Komisí expertů také zástupci Organizace pro hospodářskou spolupráci a rozvoj či zástupci Evropských společenství. Dne 28. 1. 1981 byla Úmluva otevřena k podpisu, po ratifikaci pěti státy vstoupila v platnost k 1. 10. 1985.[9] V tomto mezinárodním dokumentu se podařilo především definovat základní pojmy na poli ochrany osobních údajů – osobní údaje, subjekt údajů, automatizovaný soubor dat[10], automatizované zpracování a správce souboru údajů. V jednotlivých vnitrostátních předpisech mohou vznikat rozdíly v definování pojmů nebo může dojít k pochybnostem, jak některá ustanovení vyložit nebo jak je právo daného státu definuje, proto bylo nutné přesně vymezit základní pojmy v ochraně dat. Tato terminologie navazovala na terminologii uváděnou zmíněnými rezolucemi č. 22 a 29. Úmluva zaručuje, že všechny osobní údaje osob musí být získávány a zpracovávány za jasných podmínek – být získávány poctivě, být shromažďovány k jistému účelu, být přesné, a musí být uchovávány jen po nezbytnou dobu.[11] Zvláštní pozornost je věnována osobním údajům týkajícím se rasy, politických názorů, náboženského přesvědčení, zdraví, pohlavního života, odsouzení za trestný čin dané osoby. Podle článku 3 Úmluvy jsou státy povinny uplatňovat tyto principy na automatizované soubory údajů a jejich zpracování jak ve veřejném tak v soukromém sektoru. Fakultativně si mohou signatářské státy působnost rozšířit i na soubory dat nezpracovávané automatizovaně a dále také je možné poskytnout ochranu osobním údajům nikoli jen fyzickým osobám, ale i jiným skupinám osob sdružujícím fyzické osoby (zejména tedy právnickým osobám). Důležitým bodem je ustanovení, které státy zavazuje k přijetí odpovídající právní úpravy ve vnitrostátním řádu, i když není přesně stanoveno, jakým způsobem tak státy mají učinit. Oproti ustanovením ze sedmdesátých let se již přímo požaduje zákonná úprava. Dalším problematickým okruhem, kterému se Úmluva věnuje, jsou záruky v ochraně dat. Především je potřeba zaručit osobám získání informací o existenci nějakého automatizovaného souboru dat a zjistit, zda jsou předmětem zpracování i data dané osoby, dále pak musí státy zaručit osobám možnost kontroly a opravy svých dat. Obsahem právních předpisů pak také musí být dostatečné možnosti postihu za porušení vnitrostátních předpisů a možnost použití opravných prostředků proti porušení práva. Specifická pravidla se týkají i toku informací přes hranice[12]. Státy obecně nemohou zabraňovat toku informací mezi státy, které přistoupily k Úmluvě, protože sama Úmluva ve svých ustanoveních zakotvuje základní principy ochrany dat, které všechny státy musí dodržovat a plnit. Jakékoli restrikce ve smyslu omezování toku dat jsou povoleny jen proto, aby se zamezilo obcházení vnitrostátní legislativy nebo proto, že zvláštnímu souboru dat je státem, ze kterého informace pocházejí, poskytována zvláštní, tedy zvýšena ochrana oproti ochraně státu, kde mají být data předána. Úmluva nezapomíná ani na spolupráci mezi smluvními stranami. Každý stát je povinen stanovit, který úřad bude pověřen poskytováním vzájemné pomoci mezi státy – v České republice se jím stal Úřad pro ochranu osobních údajů vytvořený v roce 2000. Ten má mimo jiné zajišťovat jednak pomoc a poskytování informací mezi pověřenými úřady jednotlivých států, zejména podávat informace o vnitrostátní legislativě či zabývat se výkladem Úmluvy, a dále také poskytovat pomoc osobám v zahraničí – subjektům informací, které o pomoc požádají (případně pomoc odmítnout). Speciálním zřízeným poradním orgánem je na základě Úmluvy Poradní výbor Rady Evropy, složený ze zástupců smluvních stran[13]. Tento výbor se zabývá funkčností Úmluvy, může podávat návrhy na změnu Úmluvy a podněty k zlepšení fungování. O svých závěrech informuje Výbor ministrů Rady Evropy. Signatářské státy si zvolily různou cestu, jak dosáhnout cílů, ke kterým se zavázaly. Česká republika přijala zákon č. 101/2000 Sb., o ochraně osobních údajů, který nahradil již nevyhovující zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Situace v dalších státech je různorodá. Některé členské státy Rady Evropy Úmluvu stále neratifikovaly (např. Rusko, Ukrajina, Turecko), i když ve svých ústavách ochranu osobních údajů zaručují. Většina států má speciální právní předpis vztahující se k ochraně dat, členské státy Evropské unie mají dokonce povinnost mít zvláštní zákon na ochranu osobních údajů. Ale existují i státy, které zaručují ochranu dat v ústavě a další konkrétní ochrana je upravena ve zvláštních právních předpisech. Na tomto místě můžeme ještě poukázat na Doporučení Výboru ministrů 87/15 členským státům upravující používání dat v policejním sektoru[14]. Toto Doporučení doplňuje je silně ovlivněno Úmluvou a doplňuje podrobněji ochranu poskytovanou Úmluvou na další zájmovou oblast. Oblast působení policie je poměrně široká a zpracovávané údaje jsou takového charakteru, že by jejich zneužitím mohlo dojít k výraznému narušení práv fyzické osoby. Doporučení také odůvodňuje svou existenci článkem 9 Úmluvy, který umožňuje odchýlit se, mimo jiné z důvodu veřejné bezpečnosti státu, od některých požadavků Úmluvy na kvalitu údajů a záruky poskytované subjektům údajů. Členské státy by měly ve svých vnitrostátních právních předpisech dodržovat zásady týkající se shromažďování, používání a sdělování dat a dále by měly ustanovit nezávislý orgán, který by měl především dohlížet na dodržování ustanovení tohoto Doporučení. Postupem času se ukázalo, že Úmluva je nástrojem užitečným a fungujícím. S rostoucím pokrokem a častějšími problémy při předávání informací vyšlo najevo, že je potřeba doplnit některé aspekty ochrany, které nebyly Úmluvou jednoznačně pokryty. Jednalo se o dva problémové okruhy. Jednak bylo potřeba vyjasnit, jakým způsobem mohou být osobní data předávána do států, které neratifikovaly Úmluvu, a druhým se ukázala nutnost zakotvit další kontrolní mechanismus. Dne 8. 11. 2001 byl k podpisu otevřen Dodatkový protokol k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice[15] (dále jen „Dodatkový protokol“). V platnost vstoupil dne 1. 7. 2004. Je dobrým signálem, že Česká republika se stala čtvrtým státem, který Dodatkový protokol ratifikoval, a demonstroval tím svůj zájem na odpovídající právní úpravě. Spolu s ratifikací tohoto Dodatkového protokolu se Česká republika rozhodla rozšířit působnost Úmluvy i na neautomatizované zpracování dat a přiřadila se tak k většině států s takovouto právní úpravou. K rozšíření působnosti na jiné než fyzické osoby, jak je tomu asi v polovině států, nedošlo. Tok informací do nesignatářských států podléhá jiným pravidlům. Do těchto států lze předat data jen v případě, že je zajištěna ochrana dat, která je adekvátní ochraně dat podle Úmluvy. V každém jednotlivém případě se budou zřejmě posuzovat konkrétní podmínky, které stát splňuje. Nepochybně bude také zkoumána povaha dat, která se poskytují, délka jejich poskytnutí a jejich odpovídající ochrana. Výjimky z tohoto pravidla za přesně daných podmínek Dodatkový protokol připouští. Úmluva sice zakotvuje povinnost států umožnit osobám použít opravné prostředky k domáhání se svého práva a zavazuje státy, aby jejich legislativa trestala porušení práv vyplývajících z Úmluvy. Teprve Dodatkový protokol explicitně zavazuje státy vytvořit orgán či orgány, které se ochranou dat mají zabývat. Tyto orgány musí být nadány vyšetřovací pravomocí v oblasti ochrany dat, musí projednávat stížnosti občanů a musejí být na státu nezávislé. Dodatkový protokol se tedy stal významným nástrojem pro sjednocení kontrolních mechanismů používaných v signatářských státech a jednoznačným způsobem upravil pravidla pro přeshraniční tok dat. Důležitost ochrany informací si uvědomují i Evropská společenství. Na jejich půdě byla přijata Směrnice 95/46 ES Evropského parlamentu a Rady o ochraně jednotlivců s ohledem na zpracování osobních údajů a o volném pohybu takovýchto údajů. Tato obecná směrnice se vztahuje k prvnímu pilíři Evropské unie. Dalším krokem k ochraně dat bylo také převzetí samotné Úmluvy do svého třetího pilíře. Dále Evropská společenství navázala dialog s Radou Evropy a chtěla by přistoupit k Úmluvě. Protože však Úmluva počítá s přistupujícími „státy“, bylo potřeba najít řešení vedoucí ke změně Úmluvy. Dne 15. 7. 1999 byl Radou Ministrů přijat dokument měnící Úmluvu[16]. Obsahem jsou jednak změny formální, tedy, pokud Úmluva přiznává právo státu, dojde k dodatku, že se může jednat o Evropská společenství. Další změnou v souvislosti s možným přistoupením Evropských společenství je možnost hlasování místo členských států, které přistoupily k Úmluvě a zároveň v dané oblasti přenesly pravomoc na Evropská společenství. Evropská společenství budou mít v tomto případě počet hlasů rovnající se počtu členských států ES, které přistoupily k Úmluvě a zároveň přenesly na ES svou pravomoc v dané problematické oblasti. Tato změna Úmluvy vstoupí v platnost, až ji ratifikují všechny signatářské státy. Rada Evropy zareagovala na prudce se měnící dobu a na zavádění nových technologií do oblasti zpracování a uchovávání dat jako jedna z prvních mezinárodních organizací. Podařilo se jí díky několika přijatým dokumentům zavázat státy k ochraně údajů a zajistit kontrolní mechanismy přispívající k jistotě, že osobní údaje nebudou zneužívány k jiným než stanoveným účelům. Již od 70. let minulého století se tak ve vnitrostátních předpisech signatářských států setkáme s úpravou, kterou některé jiné státy nemají dodnes. Rada Evropy průběžně monitoruje a hodnotí dodržování ustanovení Úmluvy a provádění příslušných legislativních kroků v jednotlivých státech. Dnešní doba ukazuje, že obezřetnost v nakládání s údaji byla na místě a je potřeba vyzdvihnout pozitivní dopad Úmluvy na vnitrostátní zákonodárství a nakládání s údaji nejen v rámci signatářských států, ale i na poskytování údajů do dalších států. Literatura: [1] Matoušová, M., M., Hejlík, L.: Osobní údaje a jejich ochrana, Praha: ASPI, a. s., 2008, stran 468, ISBN 978-80-7357-322-5 [2] Explanatory Report to Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 108), dostupné na http//:www.coe.int [3] Explanatory Report to Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of personal Data regarding supervisory authorities and transborder data flows, dostupné na http//:www.coe.int [4] Explantory Memorandum to Amendments to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, dostupné na http//:www.coe.int Kontaktní údaje na autora – email: petra.melotikova@upol.cz ________________________________ [1] Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 108). [2] Convention for the Protection of Human Rights and Fundamental Freedoms (ETS No. 005), někdy je též používán název „The European Human Rights Convention“. [3] Při tvorbě Evropské úmluvy o lidských právech se ochrana elektronické komunikaci výslovně uvést nemohla, vždyť ještě neexistovala. [4] Evropský soud pro lidská práva postupně rozpracoval doktrínu, tato práva na ochranu osobních dat mají být chráněna nejen v rovině vertikální, ale i v rovině horizontální. [5] Resolution (73) 22 on the protection of the privacy of individuals vis-á-vis electronic data banks in the private sector. [6] Resolution (74) 29 on the protection of the privacy of individuals vis-á-vis electronic data banks in the public sector. [7] V originále užívané spojení „automated data banks“. [8] Druhá ze zvažovaných možností úpravy ochrany dat byla teze, že každý stát bude aplikovat vlastní zákonodárství a principy ochrany. Toto bylo ale v rozporu s požadavkem stejných práv pro všechny osoby a přineslo by to jen další komplikace při předávání dat mezi státy a aplikační problémy. [9] Česká republika Úmluvu podepsala 8. 9. 2000, po ratifikačním procesu pak vstoupila v platnost dne 1. 11. 2001. [10] V Rezoluci č. 22 byla používán termín „automatizovaná databanka“ tedy „automated data bank“. V textu Úmluvy byt nově použit termín „automatizovaný soubor dat“, neboli „automated data file“. [11] Úmluva a další právní předpisy zaručují subjektům údajů mnoho práv v ochraně osobních údajů. Subjektům údajů – fyzickým osobám nejsou Úmluvou ani zákonem č. 101/2000 Sb., o ochraně osobních údajů, žádné povinnosti explicitně ukládány. Někteří autoři ale hovoří o tzv. skrytých povinnostech. Blíže viz. Matoušová, M., Hejlík, L.: Osobní údaje a jejich ochrana, Praha: ASPI, a. s., 2008, s. 288. [12] V originále „transborder data flows“. [13] V případě České republiky je zástupcem předseda Úřadu pro ochranu osobních údajů. [14] Recommendation No.R (87) 15 regulating the use of personal data in police sector. [15] Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of personal Data regarding supervisory authorities and transborder data flows. [16] Amendments to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.