Právny portál určený širokej odbornej verejnosti

Online časopis

Vplyv Európskeho výboru pre ochranu údajov na kreovanie kompetencií a vymožiteľnosť práva

BIELIKOVÁ, M.: Vplyv Európskeho výboru pre ochranu údajov na kreovanie kompetencií a vymožiteľnosť práva. Právny obzor, 106, 2023, č. 5, s. 416 – 432.

https://doi.org/10.31577/pravnyobzor.2023.5.03

Impact of the European Data Protection Board on competence creation and law enforcement. In the presented scientific article, we briefly analyze the institutional development of the European Data Protection Board. We deal with the analysis of the position of the European Data Protection Board mainly from the point of view of the creator of the European policy in the field of personal data protection, the tasks and competences that it provides mainly on a European scale. At the same time, we analyze the binding nature of decisions and guidelines issued by the European Data Protection Board. We raise the following hypothesis: „The European Data Protection Board guidelines can be considered binding on operators and affected persons and enforce their enforceability from operators and intermediaries without the use of incorporation or adaptation national legislative mechanisms. The conclusions are drawn on the basis of a summary of information arising from the applicable European and Slovak legislation, selected case law of the European Court of Human Rights and selected case law of the Court of Justice of the European Union. In correlation with the description of the decision-making activity of the Office for Personal Data Protection of the Slovak Republic in one selected agenda, namely the agenda of processing of personal data by means of CCTV devices, we conclude that in the conditions of the Slovak Republic, the legal implementation of the EDPB outputs at the national level is largely absent.

Key words: Data Protection, GDPR (General Data Protection Regulation), The European Data Protection Board, tasks and competences, binding and enforceable


Úvod
Priamou aplikovateľnosťou novej právnej úpravy v oblasti ochrany osobných údajov v európskom priestore od 25. mája 2018 bola zriadená relatívne nová inštitúcia
Európskeho výboru pre ochranu údajov
(ďalej aj "EDPB" alebo "Výbor") s odlišnými právomocami ako jej predchodca. Na rozdiel od pôvodných návrhov získala inštitúcia právnu subjektivitu a aj vybrané právne záväzné právomoci. Metódou deskripcie uvedieme primárne právomoci vyplývajúce z právnej úpravy, konkrétne v kapitole s názvom Zriadenie a postavenie EDPB ako tvorcu európskej politiky v oblasti ochrany osobných údajov, najmä v podobe uvedenia úloh, ktoré rozdelíme na tri skupiny: konzistentnosť, konzultácie a poradenstvo, usmernenia, odporúčania a najlepšie postupy. Metódou analýzy vykonáme rozbor právomocí a kompetencií a uvedením platnej právnej úpravy premostíme do aplikačnej praxe v oblasti ochrany osobných údajov v Slovenskej republike. V tejto časti na jednom konkrétnom prípade prezentujeme situáciu, keď slovenský dozorný orgán rozhoduje o právach a povinnostiach účastníkov konania. Aj prostredníctvom konkrétneho príkladu z praxe sa budeme snažiť overiť nasledujúcu hypotézu: "Usmernenia EDPB je možné považovať za záväzné voči prevádzkovateľom a dotknutým osobám a vynucovať od prevádzkovateľov a sprostredkovateľov ich vykonateľnosť bez použitia inkorporačných alebo adaptačných národných legislatívnych mechanizmov." Na základe prvkov syntézy vyjadríme závery, ku ktorým dospejeme.
1. Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov
V inštitucionálnom vývoji bola prvotne zriadená pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov (ďalej aj "WP29") podľa čl. 29 Smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej aj "smernica 95/46/ES"). WP29 mala charakter poradného orgánu bez právnej subjektivity. Bola zložená zo zástupcu dozorného orgánu alebo orgánov menovaných členským štátom, zástupcu Európskej komisie (ďalej aj "EK") a európskeho dozorného úradníka pre ochranu údajov (ďalej aj "EDPS"). Pozostávala zo zástupcu dozorného orgánu alebo z orgánov menovaných každým členským štátom a zo zástupcu orgánu alebo orgánov zriadených pre inštitúcie a orgány Spoločenstva, a zo zástupcu EK
1)
. V zmysle čl. 30 ods. 1 smernice 95/46/ES WP29 disponovala najmä právomocami skúmať otázky pokrývajúce uplatniteľnosť vnútroštátnych opatrení prijatých podľa smernice 95/46/ES, aby sa prispelo k jednotnej uplatniteľnosti opatrení; predkladať EK stanoviská o úrovni ochrany v Spoločenstve a v tretích krajinách; poskytovať EK poradenstvo a radiť EK o navrhovaných zmenách smernice 95/46/ES, o ďalších alebo špecifických opatreniach, aby sa zabezpečili osobné práva a slobody fyzických osôb vzhľadom na spracovanie osobných údajov a o akýchkoľvek iných navrhnutých opatreniach Spoločenstva, ovplyvňujúce tieto práva a slobody; a poskytovať stanovisko k zákonným predpisom navrhnutým na úrovni Spoločenstva. Cieľom bolo zabezpečiť jednotné uplatňovanie smernice a poskytovať EK servis, najmä vo forme predkladania odborných stanovísk k záležitostiam týkajúcim sa ochrany osobných údajov. WP29 nemala právomoc a kompetenciu prijímať záväzné rozhodnutia. V rámci svojej činnosti spravidla vydávala odporúčania
2)
a stanoviská
3)
vo veciach týkajúcich sa ochrany osobných údajov v európskom priestore. Nástupcom WP 29 je EDPB.
2. Zriadenie a postavenie EDPB ako tvorcu európskej politiky v oblasti ochrany osobných údajov
2.1 Zriadenie EDPB
V záujme podpory konzistentného uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej aj "nariadenie 2016/679") bol zriadený EDPB
4)
ako orgán s právnou subjektivitou
5)
. Inštitucionálna reforma bola jedným z kľúčových pilierov revízie ochrany údajov v Európskej únii (ďalej aj "EÚ"), ako aj jedným z aspektov, ktoré sa ukázali ako najkomplikovanejšie pre dohodnutie na medziinštitucionálnych rokovaniach o nariadení 2016/679
6)
.
2.2 Postavenie EDPB
EDPB predstavuje nezávislý orgán EÚ, ktorého účelom je najmä zabezpečiť účinné a jednotné uplatňovanie pravidiel ochrany údajov v celej EÚ a podporovať spoluprácu medzi orgánmi EÚ na ochranu údajov. V kontexte EDPB ide najmä o inštitucionálnu nezávislosť, čo znamená nemožnosť vyžadovať alebo prijímať pokyny
7)
. EDPB zastupuje jeho predseda
8)
a dvaja podpredsedovia volení tajným hlasovaním na funkčné obdobie piatich rokov
9)
. V zmysle čl. 68 ods. 2 nariadenia 2016/679 pozostáva EDPB z vedúceho predstaviteľa jedného dozorného orgánu každého členského štátu a európskeho dozorného úradníka pre ochranu údajov, alebo ich zástupcov. V dôsledku účinnosti rozhodnutia Spoločného výboru Európskeho hospodárskeho priestoru č. 154/2018 zo dňa 6. júla 2018 publikovaného v Úradnom vestníku Európskej únie dňa 19. júla 2018 sa nariadenie 2016/679 od 20. júla 2018 uplatňuje aj v štátoch Island, Lichtenštajnsko a Nórsko. Dozorné orgány Islandu, Lichtenštajnska a Nórska - tzv. štátov EZVO (Európskeho združenia voľného obchodu) - sa v plnej miere zúčastňujú na mechanizme jednotného kontaktného miesta a mechanizme konzistentnosti s výnimkou hlasovacieho práva a práva kandidovať za predsedu a podpredsedov EDPB zriadeného nariadením 2016/679, pričom majú rovnaké práva a povinnosti ako dozorné orgány členských štátov EÚ
10)
.
EDPB realizuje úlohy zakotvené v čl. 64, 65 a čl. 70 nariadenia 2016/679. Demonštratívne ustanovené úlohy je možné rozdeliť na tri vecné skupiny.
a) Konzistentnosť
Medzi vecnú skupinu úloh EDPB primárne patrí zaisťovanie konzistentnosti EDPB pri uplatňovaní nariadenia 2016/679 vyplývajúce z čl. 70 ods. 1 nariadenia 2016/679, spravidla formou vydávania stanovísk a riešenia sporov. EDPB ako tvorca európskej politiky v oblasti ochrany osobných údajov využíva mechanizmus konzistentnosti prostredníctvom poskytovania a vydávania stanovísk, spočívajúci predovšetkým v monitorovaní a zabezpečovaní správneho uplatňovania nariadenia 2016/679. EDPB vydá stanovisko v súlade s čl. 64 ods. 1 nariadenia 2016/679, keď má príslušný dozorný orgán v úmysle prijať opatrenie zamerané na prijatie zoznamu spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov; v prípadoch návrhu, zmeny alebo rozšírenia kódexu správania v súlade s nariadením 2016/679; v prípadoch schvaľovania akreditácií orgánu, certifikačného subjektu alebo kritérií na certifikáciu; v prípade návrhu zameraného na určenie štandardných doložiek o ochrane osobných údajov; v prípade návrhu rozhodnutia zameraného na schválenie záväzných vnútropodnikových pravidiel. Súčasne s cieľom zabezpečiť správne a jednotné uplatňovanie nariadenia 2016/679 pri riešení sporov EDPB prijme záväzné rozhodnutia vo vybraných prípadoch. V prvom prípade EDPB prijme záväzné rozhodnutie, ak dotknutý dozorný orgán, v prípade a v lehote uvedenej v čl. 60 ods. 4 nariadenia 2016/679, vzniesol relevantnú a odôvodnenú námietku voči návrhu rozhodnutia vedúceho dozorného orgánu a vedúci dozorného orgánu nezohľadnil námietku alebo zamietol takúto námietku ako irelevantnú alebo nedôvodnú. V druhom prípade EDPB prijme záväzné rozhodnutie, ak existuje kompetenčný spor o príslušnosť medzi dotknutými dozornými orgánmi vo vzťahu k hlavnej prevádzkarni. A to aj v prípade, ak príslušný dozorný orgán nepožiada EDPB o stanovisko vo veciach podľa čl. 64 ods. 1 nariadenia 2016/679 alebo príslušný dozorný orgán nepostupuje podľa už takto vydaného stanoviska EDPB.
b) Konzultácie a poradenstvo
Ďalšou skupinou úloh EDPB v zmysle čl. 70 ods. 1 písm. b), c) nariadenia 2016/679 je poskytovanie konzultácií a poradenstva EK, napr. v otázkach týkajúcich sa ochrany osobných údajov v EÚ vrátane navrhovaných zmien nariadenia 2016/679, revízie právnych predpisov EÚ vo vzťahu k spracúvaniu osobných údajov, pri ktorých sa predpokladá, že sú alebo by mohli byť v rozpore s pravidlami ochrany osobných údajov v EÚ. Ďalej k uvedenej úlohe integrálne zaraďujeme poskytovanie poradenstva EK v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, ak ide o vnútropodnikové pravidlá. Nezanedbateľnou úlohou je vydávanie rozhodnutí EK o primeranosti, ktoré slúžia zabezpečeniu zmluvných záväzkov a z nich vyplývajúcich primeraných a technických opatrení na prenos osobných údajov do tretích krajín alebo medzinárodných organizácií.
c) Usmernenia, odporúčania a najlepšie postupy
Tretí blok úloh vyplýva z čl. 70 ods. 1 písm. d) až n) nariadenia 2016/679 a z čl. 51 Smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (ďalej aj "smernica 2016/680" alebo "Policajná smernica") a pre EDPB predstavuje kompetenciu vo forme metodickej činnosti predstavujúcej možnosť vydávať usmernenia, odporúčania a najlepšie postupy, najmä:
  1. vo veci vymazania odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb11) a, ak podľa čl. 17 ods. 2 nariadenia 2016/679 prevádzkovateľ zverejnil osobné údaje a je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky;
  2. s cieľom podnietiť konzistentné uplatňovanie nariadenia 2016/679využíva preskúmavanie z vlastnej iniciatívy alebo na základe žiadosti jedného zo svojich členov alebo na žiadosť EK12);
  3. s cieľom podrobnejšie urč
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).