Směrnice o ochraně údajů - Data Protection Directive

Směrnice 95/46/ES
Směrnice Evropské unie
Titul Směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
Vyrobil Evropský parlament a Rada
Odkaz na deník L281, 23. listopadu 1995, s. 31–50
Dějiny
Datum výroby 24. října 1995
Vstoupil v platnost 13. prosince 1995
Datum uskutečnění 24. října 1998
Přípravné texty
Návrh Komise C311, 27. listopadu 1992, s. 30–61
Jiná legislativa
Pozměněno Nařízení (ES) č. 1882/2003
Zrušeno

Směrnice o ochraně údajů, oficiálně směrnice 95/46/ES, přijatá v říjnu 1995, je směrnicí Evropské unie, která upravuje zpracování osobních údajů v Evropské unii (EU) a volný pohyb těchto údajů. Směrnice o ochraně údajů je důležitou součástí práva EU v oblasti soukromí a lidských práv .

Zásady stanovené ve směrnici o ochraně údajů jsou zaměřeny na ochranu základních práv a svobod při zpracování osobních údajů. Obecné nařízení o ochraně údajů , která byla přijata v dubnu 2016 nahradil směrnici o ochraně údajů a stal se vykonatelným dne 25. května 2018.

Kontext

Právo na soukromí je v Evropě velmi rozvinutou oblastí práva. Všechny členské státy Evropské unie (EU) jsou rovněž signatáři Evropské úmluvy o lidských právech (EÚLP). Článek 8 EÚLP poskytuje právo na respektování vlastního „soukromého a rodinného života, domova a korespondence“ s výhradou určitých omezení. Evropský soud pro lidská práva dal tohoto článku je velmi široký výklad ve své judikatuře.

V roce 1973 americký vědec Willis Ware publikoval záznamy, počítače a práva občanů , zprávu, která měla mít vliv na směry, kterými se budou tyto zákony ubírat.

V roce 1980 vydala Organizace pro hospodářskou spolupráci a rozvoj (OECD) ve snaze vytvořit komplexní systém ochrany údajů v celé Evropě svá „Doporučení Rady týkající se pokynů upravujících ochranu soukromí a přeshraniční toky osobních údajů“. “. Sedm zásad, kterými se řídí doporučení OECD na ochranu osobních údajů, byla:

  1. Oznámení - subjekty údajů by měly být upozorněny při shromažďování jejich údajů;
  2. Účel — data by měla být používána pouze k uvedenému účelu, nikoli k jiným účelům;
  3. Souhlas - data by neměla být zveřejněna bez souhlasu subjektu údajů;
  4. Zabezpečení - shromážděná data by měla být chráněna před jakýmkoli potenciálním zneužitím;
  5. Zveřejnění - subjekty údajů by měly být informovány o tom, kdo shromažďuje jejich data;
  6. Přístup - subjektům údajů by mělo být umožněno přistupovat ke svým údajům a provádět opravy jakýchkoli nepřesných údajů
  7. Odpovědnost - subjekty údajů by měly mít k dispozici metodu, která by vedla sběratele údajů k odpovědnosti za nedodržování výše uvedených zásad.

OECD Pokyny byly však nezávazné a soukromí dat zákony stále v Evropě značně kolísala. Spojené státy mezitím, zatímco podporovaly doporučení OECD , neudělaly nic pro jejich implementaci v USA. Prvních šest principů však bylo zapracováno do směrnice EU.

V roce 1981 byla v Radě Evropy sjednána Úmluva o ochraně fyzických osob v souvislosti s automatickým zpracováním osobních údajů . Tato úmluva zavazuje signatáře k přijetí právních předpisů týkajících se automatického zpracování osobních údajů, což mnozí řádně učinili.

V roce 1989 po znovusjednocení Německa se data, která shromáždila Stasi ve východním Německu, stala dobře známou, což zvýšilo požadavek na soukromí v Německu. V té době již západní Německo mělo zákony o ochraně osobních údajů od roku 1977 ( Bundesdatenschutzgesetz ). Evropská komise si uvědomil, že rozdílné právní předpisy o ochraně údajů mezi členskými státy Evropské unie brání volnému toku údajů v rámci EU a podle toho navrhla směrnici o ochraně údajů.

Obsah

Směrnice upravuje zpracování osobních údajů bez ohledu na to, zda je takové zpracování automatizované či nikoli.

Rozsah

Osobní údaje jsou definovány jako "jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby (" subjekt údajů "); identifikovatelnou osobou je osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na identifikační číslo nebo na jednu nebo více faktory specifické pro jeho fyzickou, fyziologickou, mentální, ekonomickou, kulturní nebo sociální identitu; “ (článek 2 a).

Tato definice má být velmi široká. Data jsou „osobní údaje“, pokud je někdo schopen propojit informace s osobou, i když osoba, která údaje uchovává, tento odkaz nemůže vytvořit. Mezi příklady „osobních údajů“ patří: adresa, číslo kreditní karty , bankovní výpisy, rejstřík trestů atd.

Pojem zpracování znamená „jakýkoli úkon nebo soubor úkonů, které jsou prováděny s osobními údaji, pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jinak zpřístupňovat, srovnávat nebo kombinovat, blokovat, mazat nebo ničit; “ (čl. 2 písm. b).

Odpovědnost za dodržování předpisů spočívá na bedrech „správce“, tj. Fyzické nebo umělé osoby , orgánu veřejné moci, agentury nebo jakéhokoli jiného subjektu, který sám nebo společně s ostatními určuje účely a prostředky zpracování osobních údajů; (článek 2 d)

Pravidla ochrany údajů jsou použitelná nejen v případě, že je správce usazen v EU, ale kdykoli správce ke zpracování údajů používá zařízení umístěné v EU. (článek 4) Správci ze zemí mimo EU, kteří zpracovávají údaje v EU, se budou muset řídit nařízeními o ochraně údajů. V zásadě by jakékoli online obchodování s rezidenty EU zpracovávalo některé osobní údaje a ke zpracování údajů by používalo zařízení v EU (tj. Počítač zákazníka). V důsledku toho by musel provozovatel webových stránek dodržovat evropská pravidla ochrany údajů. Směrnice byla napsána před průlomem internetu a v současné době existuje v této oblasti jen malá judikatura .

Zásady

Osobní údaje by neměly být zpracovávány vůbec, kromě případů, kdy jsou splněny určité podmínky. Tyto podmínky spadají do tří kategorií: transparentnost, legitimní účel a proporcionalita.

Průhlednost

Subjekt údajů má právo být informován, když jsou jeho osobní údaje zpracovávány. Správce musí uvést své jméno a adresu, účel zpracování, příjemce údajů a všechny další informace potřebné k zajištění spravedlivého zpracování. (článek 10 a 11)

Údaje mohou být zpracovány, pouze pokud je splněna alespoň jedna z následujících podmínek (článek 7):

  • pokud subjekt údajů dal svůj souhlas.
  • pokud je zpracování nezbytné pro plnění nebo uzavření smlouvy.
  • kdy je zpracování nezbytné pro splnění zákonné povinnosti.
  • pokud je zpracování nezbytné k ochraně životně důležitých zájmů subjektu údajů.
  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci svěřené správci nebo třetí straně, které jsou údaje sděleny.
  • zpracování je nezbytné pro účely oprávněných zájmů sledovaných správcem nebo třetí stranou nebo stranami, kterým jsou údaje zpřístupněny, s výjimkou případů, kdy jsou tyto zájmy nadřazeny zájmům o základní práva a svobody subjektu údajů. Subjekt údajů má právo přístupu ke všem údajům, které jsou o něm zpracovávány. Subjekt údajů má dokonce právo požadovat opravu, vymazání nebo zablokování údajů, které jsou neúplné, nepřesné nebo nejsou zpracovávány v souladu s pravidly ochrany údajů. (článek 12)

Oprávněný účel

Osobní údaje lze zpracovávat pouze pro stanovené explicitní a legitimní účely a nesmí být dále zpracovávány způsobem, který je s těmito účely nekompatibilní. (čl. 6 b) Osobní údaje musí mít ochranu před zneužitím a dodržování „určitých práv vlastníků údajů, která jsou zaručena právem EU“.

Proporcionalita

Osobní údaje mohou být zpracovávány pouze tehdy, pokud jsou přiměřené, relevantní a nepřiměřené vzhledem k účelům, pro které jsou shromažďovány a/nebo dále zpracovávány. Údaje musí být přesné a v případě potřeby aktualizované; je třeba učinit všechny přiměřené kroky, aby bylo zajištěno, že údaje, které jsou nepřesné nebo neúplné, s ohledem na účely, pro které byly shromážděny nebo pro které jsou dále zpracovávány, budou vymazány nebo opraveny; Údaje by neměly být uchovávány ve formě, která umožňuje identifikaci subjektů údajů déle, než je nutné pro účely, pro které byly údaje shromážděny nebo pro které jsou dále zpracovávány. Členské státy stanoví vhodná ochranná opatření pro osobní údaje uchovávané delší dobu pro historické, statistické nebo vědecké účely. (článek 6).

Při zpracování citlivých osobních údajů (mohou to být: náboženské přesvědčení, politické názory, zdraví, sexuální orientace, rasa, členství v minulých organizacích) platí další omezení. (článek 8).

Subjekt údajů může kdykoli vznést námitku proti zpracování osobních údajů za účelem přímého marketingu. (článek 14)

Algoritmicky založené rozhodnutí, které má právní účinky nebo významně ovlivňuje subjekt údajů, nemusí být založeno pouze na automatizovaném zpracování údajů. (článek 15) Pokud se používají automatické rozhodovací procesy, měla by být poskytnuta forma odvolání.

Dozorový úřad a veřejný registr operací zpracování

Každý členský stát musí zřídit dozorový úřad, nezávislý orgán, který bude monitorovat úroveň ochrany údajů v tomto členském státě, poskytovat vládě rady ohledně administrativních opatření a předpisů a zahájit soudní řízení, pokud dojde k porušení předpisů o ochraně údajů. (článek 28) Jednotlivci mohou podávat stížnosti na porušení dozorovému úřadu nebo u soudu.

Než správce začne zpracovávat údaje, musí to uvědomit dozorový úřad. Oznámení obsahuje alespoň následující informace (článek 19):

  • jméno a adresu správce a jeho zástupce, pokud existuje;
  • účel nebo účely zpracování;
  • popis kategorie nebo kategorií subjektu údajů a údajů nebo kategorií údajů, které se jich týkají;
  • příjemci nebo kategorie příjemců, kterým by mohly být údaje zpřístupněny;
  • navrhované přenosy údajů do třetích zemí;
  • obecný popis opatření přijatých k zajištění bezpečnosti zpracování.

Tyto informace jsou vedeny ve veřejném rejstříku.

Přenos osobních údajů do třetích zemí

Třetí země je termín používaný v legislativě k označení zemí mimo Evropskou unii . Osobní údaje lze předávat do třetí země pouze tehdy, pokud tato země poskytuje odpovídající úroveň ochrany údajů. Existují určité výjimky z tohoto pravidla, například když správce sám může zaručit, že příjemce bude dodržovat pravidla ochrany údajů.

Článek 29 směrnice vytvořil „Pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů“, běžně známou jako „ pracovní skupina podle článku 29 “. Pracovní skupina poskytuje rady ohledně úrovně ochrany v Evropské unii a třetích zemích.

Pracovní skupina jednala se zástupci USA o ochraně osobních údajů, výsledkem byly zásady bezpečného přístavu . Podle kritiků zásady bezpečného přístavu nezajišťují adekvátní úroveň ochrany, protože obsahují méně povinností pro správce a umožňují smluvní vzdání se určitých práv.

V říjnu 2015 Evropský soudní dvůr rozhodl, že režim Safe Harbor je neplatný v důsledku žaloby rakouského aktivisty v oblasti ochrany osobních údajů v souvislosti s exportem údajů o předplatitelích evropským podnikem Facebooku na Facebook v USA. Americké a evropské orgány pracovaly na nahrazení bezpečného přístavu a v únoru 2016 bylo dosaženo dohody, což vedlo k tomu, že Evropská komise přijala rámec štítu EU-USA na ochranu soukromí 12. července 2016.

V červenci 2007 byla podepsána nová kontroverzní dohoda o jmenném záznamu cestujících (PNR) mezi USA a EU.

V únoru 2008 si Jonathan Faull , vedoucí Evropské komise pro vnitřní záležitosti EU, stěžoval na dvoustrannou politiku USA týkající se PNR. USA v únoru 2008 podepsaly s Českou republikou memorandum o porozumění (MOU) výměnou za bezvízový styk bez předchozí konzultace s Bruselem. Napětí mezi Washingtonem a Bruselem je způsobeno zejména nižší úrovní ochrany údajů v USA, zejména proto, že cizinci nemají prospěch z amerického zákona o ochraně osobních údajů z roku 1974 . Mezi další země oslovené pro dvoustranná memoranda o porozumění patří Spojené království, Estonsko , (Německo) a Řecko .

Provádění členskými státy

Směrnice EU jsou určeny členským státům a pro jednotlivce nejsou v zásadě právně závazné. Členské státy musí směrnici transponovat do vnitřního práva. Směrnice 95/46/ES o ochraně osobních údajů musela být provedena do konce roku 1998. Všechny členské státy přijaly vlastní právní předpisy o ochraně údajů.

Srovnání s americkým zákonem o ochraně údajů

Od roku 2003 nemají Spojené státy jednotný zákon o ochraně údajů srovnatelný se směrnicí EU o ochraně údajů.

Americké právní předpisy o ochraně osobních údajů mají tendenci být přijímány ad hoc , přičemž právní předpisy vznikají, když to vyžadují určitá odvětví a okolnosti (např. Zákon o ochraně osobních údajů při videích z roku 1988, zákon o ochraně a hospodářské soutěži kabelové televize z roku 1992, zákon o poctivém vykazování kreditů , a zákon o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 , HIPAA (USA)). I když některá odvětví již mohou splňovat části směrnice EU, většina nikoli. Spojené státy upřednostňují to, co nazývá „odvětvovým“ přístupem k právním předpisům o ochraně údajů, které se spoléhají na kombinaci legislativy, regulace a samoregulace, nikoli pouze na vládní regulaci. Bývalý americký prezident Bill Clinton a bývalý viceprezident Al Gore ve svém „Rámci globálního elektronického obchodu“ výslovně doporučili, aby vedl soukromý sektor, a společnosti by měly implementovat samoregulaci v reakci na problémy vyvolané internetovými technologiemi.

Odůvodnění tohoto přístupu má co do činění s americkou ekonomikou laissez-faire i s různými sociálními perspektivami. První dodatek k ústavě Spojených států zaručuje právo na svobodu projevu. Zatímco svoboda projevu je výslovným právem zaručeným ústavou Spojených států , soukromí je implicitní právo zaručené ústavou, jak je interpretováno Nejvyšším soudem USA , ačkoli v mnoha ústavách států je to často výslovné právo.

Rozsáhlá evropská regulace ochrany osobních údajů je odůvodněna odkazem na zkušenosti za fašistických vlád druhé světové války a poválečných komunistických režimů, kde docházelo k rozsáhlému nekontrolovanému používání osobních údajů. Druhá světová válka a poválečné období bylo v Evropě obdobím, kdy odhalení rasy nebo etnického původu vedlo k tajným výpovědím a záchvatům, které poslaly přátele a sousedy do pracovních táborů a koncentračních táborů. Ve věku počítačů se evropská ostražitost tajných vládních spisů proměnila v nedůvěru v podnikové databáze a evropské vlády přijaly rozhodné kroky k ochraně osobních údajů před zneužitím v letech následujících po druhé světové válce . (Německo) a Francie zejména stanoví komplexní zákony o ochraně údajů.

Kritici evropských datových politik však uvedli, že brání schopnosti Evropy monetizovat data uživatelů na internetu a jsou hlavním důvodem, proč v Evropě neexistují žádné velké technologické společnosti, přičemž většina z nich je místo toho ve Spojených státech. . Kromě toho, když se Alibaba a Tencent v posledních letech připojily k 10 nejcennějším technologickým společnostem na světě, dokonce i Čína se pohybuje vpřed před Evropou ve výkonu své digitální ekonomiky, která byla v roce 2019 oceněna na 5,09 bilionu dolarů (35,8 bilionu juanů).

Čína a USA dohromady zahrnovaly 75% všech patentů souvisejících s předními informačními technologiemi, jako je blockchain, 50% globálních výdajů na internet věcí , více než 75% světového trhu s cloud computingem a 90% trhu kapitalizace 70 největších digitálních platforem na světě. Podíl EU je pouze 4%.

Mezitím je evropské zaujetí USA pravděpodobně na prvním místě špatně, protože Čína a Rusko jsou evropskými tvůrci politiků stále častěji označováni za agresory „hybridní hrozby“, přičemž pomocí kombinace propagandy na sociálních médiích a hackingu záměrně narušují fungování evropských institucí .

Nahrazení obecným nařízením o ochraně osobních údajů

Dne 25. ledna 2012 Evropská komise (ES) oznámila, že sjednotí právo na ochranu údajů v rámci jednotné Evropské unie prostřednictvím právních předpisů nazývaných „ obecné nařízení o ochraně údajů “. Cíle ES s touto legislativou zahrnovaly:

  • harmonizace 27 vnitrostátních předpisů o ochraně údajů do jednoho jednotného nařízení;
  • zlepšení pravidel pro přenos podnikových dat mimo Evropskou unii; a
  • zlepšení kontroly uživatelů nad osobními identifikačními údaji.

Původní návrh také diktoval, že legislativa by teoreticky „platila pro všechny společnosti mimo EU bez jakéhokoli usazení v EU, za předpokladu, že zpracování údajů je zaměřeno na obyvatele EU“, jedna z největších změn nové legislativy. Tato změna pokračovala až do konečného schválení legislativy dne 14. dubna 2016, což se týká subjektů po celém světě. „Nařízení se vztahuje na zpracování mimo EU, které se týká nabídky zboží nebo služeb subjektům údajů (jednotlivcům) v EU nebo sledování jejich chování,“ uvádí W. Scott Blackmer z InfoLawGroup, ačkoli dodal „[ i] t je sporné, zda by se evropské orgány dohledu nebo spotřebitelé skutečně pokusili žalovat provozovatele se sídlem v USA za porušení nařízení. “ Mezi další změny patří přísnější podmínky pro souhlas, širší definice citlivých údajů, nová ustanovení o ochraně soukromí dětí a zahrnutí „práv, na která se zapomíná“.

EK poté stanovila datum shody na 25. května 2018, což dává podnikům po celém světě šanci připravit se na dodržování předpisů, přezkoumat jazyk ochrany údajů ve smlouvách, zvážit přechod na mezinárodní standardy, aktualizovat zásady ochrany osobních údajů a přezkoumat marketingové plány.

Viz také

Reference

externí odkazy