Stanovisko č. 3/2018. k návrhu seznamu příslušného dozorového úřadu Bulharska, který obsahuje

Podobné dokumenty
Stanovisko č. 4/2018. k návrhu seznamu příslušného dozorového úřadu České republiky, který obsahuje

Stanovisko č. 2/2018. k návrhu seznamu příslušného dozorového úřadu Belgie, který obsahuje

Stanovisko č. 5/2018. k návrhu seznamu příslušného dozorového úřadu Německa, který obsahuje

Přijato dne 4. prosince Přijato

Veterinární předpisy pro obchod se psy, kočkami a fretkami ***I

Přijato dne 12. února přijato 1

Delegace naleznou v příloze dokument COM(2018) 249 final - ANNEXES 1 to 2.

Rada Evropské unie Brusel 3. května 2018 (OR. cs) Jeppe TRANHOLM-MIKKELSEN, generální tajemník Rady Evropské unie

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 127 odst. 6 a článek 132 této smlouvy,

Návrh ROZHODNUTÍ RADY

Návrh ROZHODNUTÍ RADY. o uzavření Dohody mezi Evropskou unií a Svatou Lucií o zrušení vízové povinnosti pro krátkodobé pobyty

Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

ROZHODNUTÍ. s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 53 odst. 1, články 62 a 114 ve spojení s čl. 218 odst.

Výbor pro mezinárodní obchod

ODŮVODNĚNÉ STANOVISKO VNITROSTÁTNÍHO PARLAMENTU K SUBSIDIARITĚ

Stanovisko č. 3/2019 k otázkám a odpovědím týkajícím se vzájemného působení nařízení o klinických hodnoceních a obecného nařízení o ochraně osobních

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

***I POSTOJ EVROPSKÉHO PARLAMENTU

Rada Evropské unie Brusel 10. června 2016 (OR. en)

EIOPA(BoS(13/164 CS. Obecné pokyny k vyřizování stížností zprostředkovateli pojištění

Interinstitucionální spis: 2015/0065 (CNS)

Návrh ROZHODNUTÍ RADY

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU)

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU)

Návrh ROZHODNUTÍ RADY. o uzavření Dohody mezi Evropskou unií a Královstvím Tonga o zrušení vízové povinnosti pro krátkodobé pobyty

PŘÍLOHA ROZHODNUTÍ SMÍŠENÉHO VÝBORU EHP Č.../2015 ZE DNE..., kterým se mění příloha XX (Životní prostředí) Dohody o EHP, návrhu rozhodnutí Rady

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU)

L 320/8 Úřední věstník Evropské unie

Návrh SMĚRNICE RADY,

Úřední věstník Evropské unie L 201/21

Delegace naleznou v příloze dokument COM(2017) 783 final.

ROZHODNUTÍ KOMISE. ze dne 30. června podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů v Argentině

OBECNÉ ZÁSADY EVROPSKÉ CENTRÁLNÍ BANKY (EU)

(Text s významem pro EHP)

RADA EVROPSKÉ UNIE. Brusel 17. ledna 2012 (OR. en) 5403/12 ENV 17 ENT 7

Podpora pro rozvoj venkova z Evropského zemědělského fondu pro rozvoj venkova ***I

ECB-PUBLIC DOPORUČENÍ EVROPSKÉ CENTRÁLNÍ BANKY. ze dne 4. dubna 2017

Obecné pokyny. upřesňující podmínky pro vnitroskupinovou finanční podporu podle článku 23 směrnice 2014/59/EU EBA/GL/2015/

13/sv. 15 CS. Úřední věstník Evropské unie ÚŘEDNÍ VĚSTNÍK EVROPSKÝCH SPOLEČENSTVÍ L 35/1

P7_TA-PROV(2012)0383 Režim Společenství pro kontrolu vývozu, přepravy, zprostředkování a tranzitu zboží dvojího užití ***I

(2014/434/EU) (2) Úzká spolupráce bude navázána rozhodnutím přijatým ECB, pokud jsou splněny podmínky vymezené v článku 7 nařízení (EU) č. 1024/2013.

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU)

PROVÁDĚCÍ ROZHODNUTÍ KOMISE. ze dne ,

Rada Evropské unie Brusel 9. března 2015 (OR. en) Uwe CORSEPIUS, generální tajemník Rady Evropské unie

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /... ze dne ,

RADA EVROPSKÉ UNIE. Brusel 1. února 2013 (04.02) (OR. en) 5984/13 Interinstitucionální spis: 2013/0010 (COD)

2. Evropský parlament a Evropský hospodářský a sociální výbor vydaly svá stanoviska dne 24. dubna 2009 a dne 14. května 2009.

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh NAŘÍZENÍ RADY

Výbor pro rozpočtovou kontrolu

(Text s významem pro EHP)

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

PROVÁDĚCÍ ROZHODNUTÍ KOMISE. ze dne ,

Nařízení (ES) č. 1239/95 se mění takto: Oddíl 1. Žádosti o nucenou licenci. a) označení žadatele a odpůrce držitele dané odrůdy jako účastníků řízení;

Návrh ROZHODNUTÍ RADY

Návrh ROZHODNUTÍ RADY

Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

PŘIJATÉ TEXTY. P8_TA(2017)0471 Povinnosti v oblasti daně z přidané hodnoty při poskytování služeb a prodeji zboží na dálku *

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh ROZHODNUTÍ RADY. o uzavření Protokolu o právu rozhodném pro vyživovací povinnosti Evropským společenstvím

L 209/4 Úřední věstník Evropské unie

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

EVROPSKÁ KOMISE. V Bruselu dne KOM(2011) 377 v konečném znění 2011/0164 (NLE) Návrh SMĚRNICE RADY

Rada Evropské unie Brusel 21. března 2017 (OR. en)

1993R0315 CS

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

STANOVISKO EVROPSKÉ CENTRÁLNÍ BANKY. ze dne 3. prosince 2004

EVROPSKÁ UNIE EVROPSKÝ PARLAMENT

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne ,

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) č. 1103/2008. ze dne 22. října 2008

7052/18 ph/mb 1 DGG 2B

Příloha č. 2. Rozdílová tabulka návrhu předpisu ČR s legislativou ES/EU

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

L 351/40 Úřední věstník Evropské unie

1992L0080 CS

Návrh SMĚRNICE RADY,

Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY,

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /... ze dne ,

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 182/2011

PŘÍLOHY PROVÁDĚCÍHO NAŘÍZENÍ KOMISE,

Obecné pokyny k parametrům specifickým pro pojišťovny nebo zajišťovny

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

Návrh ROZHODNUTÍ RADY

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

Návrh ROZHODNUTÍ RADY

Přípustná hladina akustického tlaku a výfukový systém motorových vozidel (kodifikované znění) ***I

N 111 / 10 / 02, N 112 / 10 / 02, N 113 / 10 / 02 a N 114 / 10 / 02

(Text s významem pro EHP)

Rada Evropské unie Brusel 9. července 2015 (OR. en) Jeppe TRANHOLM-MIKKELSEN, generální tajemník Rady Evropské unie

10116/14 mp/eh/bl 1 DG D 2B

Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY,

Návrh. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č.,

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU. podle čl. 294 odst. 6 Smlouvy o fungování Evropské unie. týkající se

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne

Obecné pokyny Spolupráce mezi orgány podle článků 17 a 23 nařízení (EU) č. 909/2014

Nicola Danti Schvalování zemědělských a lesnických vozidel a dozor nad trhem s těmito vozidly (COM(2018)0289 C8-0183/ /0142(COD))

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /... ze dne ,

Návrh ROZHODNUTÍ RADY

SMĚRNICE RADY. ze dne 16. prosince o vzájemném uznávání licencí pro výkon funkcí v civilním letectví (91/670/EHS)

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Předloha ROZHODNUTÍ KOMISE. ze dne [ ],

Transkript:

Stanovisko č. 3/2018 k návrhu seznamu příslušného dozorového úřadu Bulharska, který obsahuje operace zpracování podléhající požadavku na posouzení vlivu na ochranu osobních údajů (čl. 35 odst. 4 obecného nařízení o ochraně osobních údajů) Přijato dne 25. září 2018

Obsah 1. Shrnutí skutečností... 4 2. Posouzení... 5 2.1 Souhrnné odůvodnění Evropského sboru pro ochranu osobních údajů týkající se předloženého seznamu... 5 2.2 Uplatnění mechanismu jednotnosti na návrh seznamu... 6 2.3 Analýza návrhu seznamu... 6 Orientační povaha seznamu... 6 Odkaz na pokyny... 6 Biometrické údaje... 7 Genetické údaje... 7 Biometrické a genetické údaje... 7 Lokalizační údaje... 7 Výjimky, pokud jde o informace, které mají být subjektu údajů poskytnuty podle čl. 14 odst. 5 nařízení GDPR... 7 Odkaz na konkrétní právní základ... 8 Společné správcovství... 8 Územně rozmístěné nebo přeshraniční informační systémy... 8 Migrace z jednoho systému na alespoň jeden jiný systém... 8 Zpracování za použití nových či inovativních technologií... 8 3. Závěry a doporučení... 9 4. Závěrečné poznámky... 9 2

Evropský sbor pro ochranu osobních údajů, s ohledem na článek 63, čl. 64 odst. 1 písm. a) a odst. 3 až 8 a čl. 35 odst. 1, 3, 4 a 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen nařízení GDPR ), s ohledem na Dohodu o EHP, a zejména na přílohu XI a protokol 37 k této dohodě ve znění rozhodnutí Smíšeného výboru EHP č. 154/2018 ze dne 6. července 2018, s ohledem na články 10 a 22 svého jednacího řádu ze dne 25. května 2018, vzhledem k těmto důvodům: (1) Hlavní úlohou sboru je zajistit jednotné uplatňování nařízení 2016/679 (dále jen nařízení GDPR ) v celém Evropském hospodářském prostoru. V souladu s čl. 64 odst. 1 nařízení GDPR musí sbor vydat stanovisko, hodlá-li některý dozorový úřad přijmout seznam operací zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4 nařízení GDPR. Cílem tohoto stanoviska je tedy vytvořit harmonizovaný přístup ke zpracování, které má přeshraniční charakter nebo které může ovlivnit volný pohyb osobních údajů nebo fyzických osob v Evropské unii. Nařízení GDPR sice nestanoví jednotný seznam, ale jednotnost podporuje. Sbor se ve svých stanoviscích snaží tohoto cíle dosáhnout tím, že po dozorových úřadech požaduje, aby, za prvé, do svých seznamů zahrnuly určité druhy zpracování, a za druhé, aby z nich vyřadily některá kritéria, o nichž se sbor domnívá, že nemusí vytvářet vysoká rizika pro subjekty údajů, a v neposlední řadě aby používaly určitá kritéria harmonizovaným způsobem. (2) Příslušné dozorové úřady sestaví s odvoláním na čl. 35 odst. 4 a 6 nařízení GDPR seznamy druhů operací zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů. V případech, kdy tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo kdy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, však úřady použijí mechanismus jednotnosti. (3) To, že návrhy seznamů příslušných dozorových úřadů podléhají mechanismu jednotnosti, ovšem neznamená, že by tyto seznamy měly být totožné. Příslušné dozorové úřady mají prostor pro uvážení vnitrostátních nebo regionálních souvislostí a měly by zohledňovat své místní právní předpisy. Cílem posouzení/stanoviska Evropského sboru pro ochranu údajů není dosáhnout jednotného seznamu EU, ale spíše zabránit významnému nesouladu, který by mohl ovlivnit rovnost ochrany subjektů údajů. (4) Provedení posouzení vlivu na ochranu osobních údajů je podle čl. 35 odst. 1 nařízení GDPR povinné pro správce pouze tehdy, pokud je pravděpodobné, že zpracování bude mít [...] za následek vysoké riziko pro práva a svobody fyzických osob. Ustanovení čl. 35 odst. 3 nařízení 3

GDPR dokládá případy, kdy je pravděpodobné, že takové vysoké riziko vznikne. Tento seznam není vyčerpávající. Pracovní skupina zřízená podle článku 29 ve svých Pokynech pro posouzení vlivu na ochranu osobních údajů 1, jak je schválil Evropský sbor pro ochranu údajů 2, objasnila kritéria, která mohou pomoci určit, kdy se u operací zpracování požaduje posouzení vlivu na ochranu osobních údajů. V pokynech č. WP 248 této pracovní skupiny se uvádí, že ve většině případů může správce údajů zpracování, které splňuje dvě kritéria, považovat za zpracování, pro něž se vyžaduje posouzení vlivu na ochranu osobních údajů; v některých případech však správce údajů může mít za to, že posouzení vlivu na ochranu osobních údajů vyžaduje i zpracování, které splňuje jen jedno z těchto kritérií. (5) Seznamy vypracované příslušnými dozorovými úřady podporují stejný cíl, kterým je určit operace zpracování, které pravděpodobně budou mít za následek vysoké riziko, a operace zpracování, u nichž se proto požaduje posouzení vlivu na ochranu osobních údajů. Při posuzování toho, zda návrhy seznamů příslušných dozorových úřadů mají dopad na jednotné uplatňování nařízení GDPR, by proto měla být použita kritéria stanovená v pokynech pracovní skupiny zřízené podle článku 29. (6) Evropskému sboru pro ochranu údajů již předložilo návrh seznamu 22 příslušných dozorových úřadů. Celkové posouzení těchto návrhů seznamů podporuje cíl, kterým je jednotné uplatňování nařízení GDPR, třebaže se tím složitost dané problematiky zvyšuje. (7) Stanovisko Evropského sboru pro ochranu osobních údajů se přijímá postupem podle čl. 64 odst. 3 nařízení GDPR ve spojení s čl. 10 odst. 2 jednacího řádu Evropského sboru pro ochranu osobních údajů, a to do osmi týdnů od prvního pracovního dne poté, co předseda a příslušný dozorový úřad rozhodli, že spis je úplný. Rozhodnutím předsedy může být tato lhůta s ohledem na složitost dané problematiky prodloužena o dalších šest týdnů. PŘIJAL TOTO STANOVISKO: 1. Shrnutí skutečností Komise pro ochranu osobních údajů (dále jen bulharský dozorový úřad ) předložila Evropskému sboru pro ochranu údajů svůj návrh seznamu. Rozhodnutí o úplnosti spisu bylo přijato dne 5. července 2018. Lhůta pro přijetí stanoviska byla s ohledem na složitost dané problematiky prodloužena do 25. září, jelikož návrhy seznamů předložilo současně 22 příslušných dozorových úřadů, a bylo tudíž nezbytné provést celkové posouzení. 1 Pracovní skupina zřízená podle článku 29, Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko pro účely nařízení 2016/679 (WP 248 rev. 1). 2 Evropský sbor pro ochranu osobních údajů, schválení č. 1/2018. 4

2. Posouzení 2.1 Souhrnné odůvodnění Evropského sboru pro ochranu osobních údajů týkající se předloženého seznamu Seznamy předložené Evropskému sboru pro ochranu osobních údajů byly vykládány v tom smyslu, že dále upřesňují ustanovení čl. 35 odst. 1, které má v každém případě přednost. Žádný seznam tedy nemůže být vyčerpávající. Jelikož v seznamu předloženém bulharským dozorovým úřadem se toto výslovně neuvádí, sbor požaduje, aby bylo toto vysvětlení do dokumentu obsahujícího seznam doplněno. V souladu s čl. 35 odst. 10 nařízení GDPR se sbor domnívá, že pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím právního základu, povinnost provést posouzení vlivu na ochranu osobních údajů v souladu s ustanovením čl. 35 odst. 1 až 7 nařízení GDPR se nepoužije, ledaže by daný členský stát považoval toto provedení za nezbytné. Dále pokud sbor u určité kategorie zpracování požaduje posouzení vlivu na ochranu osobních údajů a vnitrostátní právní předpisy již vyžadují rovnocenné opatření, připojí bulharský dozorový úřad odkaz na toto opatření. Toto stanovisko se nezabývá položkami předloženými bulharským dozorovým úřadem, o nichž se usuzuje, že jsou mimo oblast působnosti čl. 35 odst. 6 nařízení GDPR. Týká se to položek, které nesouvisejí s nabídkou zboží či služeb subjektům údajů v několika členských státech ani s monitorováním jejich chování v několika členských státech a které navíc pravděpodobně nemohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie. To platí zejména v případě položek souvisejících s vnitrostátními právními předpisy, především je-li ve vnitrostátních právních předpisech stanovena povinnost provést posouzení vlivu na ochranu osobních údajů. Dále se má za to, že mimo oblast působnosti jsou veškeré operace zpracování, které se týkají vymáhání práva, neboť nespadají do oblasti působnosti nařízení GDPR. Sbor konstatoval, že několik dozorových úřadů zahrnulo do svých seznamů některé druhy zpracování, které jsou nutně lokálním zpracováním. Jelikož se čl. 35 odst. 6 týká pouze přeshraničního zpracování a zpracování, které může ovlivnit volný pohyb osobních údajů a subjektů údajů, sbor se k tomuto lokálnímu zpracování nevyjadřuje. Cílem stanoviska je vymezit jednotný základ operací zpracování, které se na seznamech poskytnutých dozorovými úřady opakují. To znamená, že u omezeného počtu druhů operací zpracování, které budou vymezeny harmonizovaným způsobem, budou všechny dozorové úřady požadovat, aby bylo provedeno posouzení vlivu na ochranu osobních údajů, a v zájmu jednotnosti sbor doporučí dozorovým úřadům tyto seznamy odpovídajícím způsobem změnit. 5

Pokud se stanovisko k posouzení vlivu na ochranu osobních údajů u předložených položek na seznamu nevyjadřuje, znamená to, že se sbor nepožaduje, aby bulharský dozorový úřad přijal další kroky. V neposlední řadě sbor připomíná, že pro správce a zpracovatele údajů je zásadní transparentnost. Sbor se domnívá, že ke zvýšení transparentnosti by se u každého druhu zpracování mělo v zájmu objasnění položek uvedených na seznamu výslovně odkazovat na příslušná kritéria stanovená v pokynech. Sbor se proto domnívá, že by mohlo být doplněno vysvětlení, která kritéria bulharský dozorový úřad při sestavování seznamu zohlednil. 2.2 Uplatnění mechanismu jednotnosti na návrh seznamu Návrh seznamu předložený bulharským dozorovým úřadem se týká nabídky zboží nebo služeb subjektům údajů, monitorování jejich chování v několika členských státech a/nebo může výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, zejména proto, že operace zpracování uvedené v předloženém návrhu seznamu se neomezují na subjekty údajů v této zemi. 2.3 Analýza návrhu seznamu Vzhledem k tomu, že: a. čl. 35 odst. 1 nařízení GDPR požaduje posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že daná činnost zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, a b. čl. 35 odst. 3 nařízení GDPR uvádí demonstrativní seznam druhů zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů, sbor se domnívá, že: ORIENTAČNÍ POVAHA SEZNAMU Jelikož v seznamu předloženém bulharským dozorovým úřadem se výslovně neuvádí, že tento seznam není vyčerpávající, sbor požaduje, aby bylo toto vysvětlení do dokumentu obsahujícího seznam doplněno. ODKAZ NA POKYNY Sbor se domnívá, že analýza provedená v pokynech č. WP 248 pracovní skupiny zřízené podle článku 29 je klíčovým prvkem pro zajištění jednotnosti v celé Unii. Sbor proto jednotlivé dozorové úřady žádá, aby k dokumentu obsahujícímu seznam připojily prohlášení, v němž se objasňuje, že jejich seznam je založen na těchto pokynech a že tyto pokyny doplňuje a dále specifikuje. Vzhledem k tomu, že dokument bulharského dozorového úřadu takové prohlášení neobsahuje, sbor tomuto úřadu doporučuje, aby svůj dokument odpovídajícím způsobem změnil. 6

BIOMETRICKÉ ÚDAJE Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že u zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby ve spojení s alespoň jedním dalším kritériem se požaduje posouzení vlivu na ochranu osobních údajů. Sbor uznává, že v tomto ohledu je seznam v souladu s cílem jednotnosti. GENETICKÉ ÚDAJE Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že u zpracování genetických údajů ve spojení s alespoň jedním dalším kritériem se požaduje posouzení vlivu na ochranu osobních údajů. Sbor se domnívá, že zpracování genetických údajů samo o sobě nemusí nutně představovat vysoké riziko. U zpracování genetických údajů ve spojení s alespoň jedním dalším kritériem však musí být provedeno posouzení vlivu na ochranu osobních údajů. Sbor bere na vědomí zahrnutí tohoto kritéria na seznam bulharského dozorového úřadu. BIOMETRICKÉ A GENETICKÉ ÚDAJE Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, obsahuje jako samostatnou položku odkaz na biometrické a genetické údaje (kumulativně). Bulharský dozorový úřad informoval sbor o tom, že v původním jazykovém znění jsou biometrické a genetické údaje ve skutečnosti posuzovány zvlášť. Sbor proto odkazuje ve svém stanovisku jednotlivě na příslušné oddíly týkající se biometrických údajů a genetických údajů. LOKALIZAČNÍ ÚDAJE Sbor se domnívá, že soudržnost je jednou ze základních zásad nařízení GDPR. Sbor konstatuje, že většina předložených seznamů výslovně obsahuje odkaz na zpracování lokalizačních údajů. Vzhledem k tomu, že seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, takový odkaz neobsahuje, sbor tento úřad vyzývá, aby do svého seznamu zahrnul zpracování lokalizačních údajů spolu s dalším kritériem. VÝJIMKY, POKUD JDE O INFORMACE, KTERÉ MAJÍ BÝT SUBJEKTU ÚDAJŮ POSKYTNUTY PODLE ČL. 14 ODST. 5 NAŘÍZENÍ GDPR Sbor se domnívá, že druhy činností zpracování, které by mohly subjekty údajů zbavit jejich práv, samy o sobě nepředstavují vysoké riziko. U činnosti zpracování prováděné správcem podle článku 14 nařízení GDPR v případě, že se na informace, které mají být poskytnuty subjektům údajů, vztahuje výjimka podle čl. 14 odst. 5 písm. b) až d), by se proto mohlo provedení posouzení vlivu na ochranu osobních údajů požadovat pouze tehdy, je-li ve spojení s alespoň jedním dalším kritériem. Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, v současné době požaduje provést posouzení vlivu na ochranu osobních údajů u samotného zpracování údajů, na které se vztahují ustanovení čl. 14 odst. 5 písm. b), c) a d). Sbor žádá bulharský dozorový úřad, aby svůj seznam odpovídajícím způsobem změnil tak, že upraví položku na seznamu doplněním požadavku provést posouzení vlivu na ochranu osobních údajů pouze tehdy, je-li ve spojení s alespoň jedním dalším kritériem. 7

ODKAZ NA KONKRÉTNÍ PRÁVNÍ ZÁKLAD Sbor se domnívá, že použití konkrétního právního základu by nemělo být kritériem vedoucím k povinnosti provést posouzení vlivu na ochranu osobních údajů, a to ani samostatně, ani ve spojení s jiným kritériem. Vzhledem k tomu, že seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že tento druh zpracování vyžaduje posouzení vlivu na ochranu osobních údajů, sbor žádá tento úřad, aby svůj seznam odpovídajícím způsobem změnil tak, že z něj vyřadí odkaz na jakýkoli konkrétní právní základ. SPOLEČNÉ SPRÁVCOVSTVÍ Sbor se domnívá, že společné správcovství by nemělo být kritériem vedoucím k povinnosti provést posouzení vlivu na ochranu osobních údajů, a to ani samostatně, ani ve spojení s jiným kritériem. Samotné zpracování osobních údajů na základě společného správcovství by tudíž nemělo vyžadovat, aby bylo provedeno posouzení vlivu na ochranu osobních údajů. Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, v současné době požaduje provést posouzení vlivu na ochranu osobních údajů, pokud se zpracování provádí ve společném správcovství. Sbor žádá bulharský dozorový úřad, aby svůj seznam odpovídajícím způsobem změnil tak, že z něj vyřadí položku týkající se zpracování na základě společného správcovství. ÚZEMNĚ ROZMÍSTĚNÉ NEBO PŘESHRANIČNÍ INFORMAČNÍ SYSTÉMY Sbor se domnívá, že operace zpracování prováděné pomocí územně rozmístěných nebo přeshraničních informačních systémů by neměly být kritériem vedoucím k povinnosti provést posouzení vlivu na ochranu osobních údajů, a to ani samostatně, ani ve spojení s jiným kritériem. Vzhledem k tomu, že seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že tento druh zpracování vyžaduje posouzení vlivu na ochranu osobních údajů, sbor žádá tento úřad, aby svůj seznam odpovídajícím způsobem změnil tak, že z něj vyřadí odkaz na operace zpracování prováděné pomocí územně rozmístěných nebo přeshraničních informačních systémů. MIGRACE Z JEDNOHO SYSTÉMU NA ALESPOŇ JEDEN JINÝ SYSTÉM Sbor se domnívá, že migrace z jednoho systému na jiný systém sama o sobě nemusí nutně představovat vysoké riziko. U migrace z jednoho systému na jiný systém ve spojení s alespoň jedním dalším kritériem se však musí provést posouzení vlivu na ochranu osobních údajů. Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, v současné době požaduje provést posouzení vlivu na ochranu osobních údajů, pokud proběhne migrace z jednoho systému na jiný systém sama o sobě. Sbor žádá bulharský dozorový úřad, aby svůj seznam odpovídajícím způsobem změnil tak, že k položce odkazující na migraci z jednoho systému na jiný systém doplní, že se posouzení vlivu na ochranu osobních údajů musí provést pouze tehdy, je-li ve spojení s alespoň jedním dalším kritériem. ZPRACOVÁNÍ ZA POUŽITÍ NOVÝCH ČI INOVATIVNÍCH TECHNOLOGIÍ Seznam, který bulharský dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že zpracování osobních údajů pomocí inovativních technologií ve spojení s alespoň jedním 8

dalším kritériem vyžaduje posouzení vlivu na ochranu osobních údajů. Sbor bere na vědomí, že toto kritérium bylo na seznam zahrnuto. 3. Závěry a doporučení Návrh seznamu bulharského dozorového úřadu může vést k nejednotnému uplatňování požadavku na posouzení vlivu na ochranu osobních údajů a je nutné v něm provést tyto změny: Pokud jde o orientační povahu seznamu: sbor žádá, aby bylo k dokumentu obsahujícímu seznam doplněno vysvětlení, v němž se uvede, že seznam je demonstrativní. Pokud jde o odkaz na pokyny: Sbor žádá bulharský dozorový úřad, aby svůj dokument odpovídajícím způsobem změnil. Pokud jde o lokalizační údaje: sbor vyzývá bulharský dozorový úřad, aby do svého seznamu zahrnul zpracování lokalizačních údajů spolu s dalším kritériem. Pokud jde o výjimky z informací, které mají být poskytnuty subjektům údajů, stanovené v čl. 14 odst. 5 nařízení GDPR: Sbor žádá bulharský dozorový úřad, aby svůj seznam změnil tak, že doplní, že se vyžaduje posouzení vlivu na ochranu osobních údajů pouze tehdy, je-li ve spojení s alespoň jedním dalším kritériem. Pokud jde o vazbu právního základu na vysoké riziko: sbor žádá bulharský dozorový úřad, aby svůj seznam změnil tak, že z něj vyřadí odkaz na jakýkoli právní základ. Pokud jde o společné správce: sbor žádá bulharský dozorový úřad, aby svůj seznam změnil tak, že z něj vyřadí odkaz na společnou správu. Pokud jde o operace zpracování prováděné pomocí územně rozmístěných nebo přeshraničních informačních systémů: sbor žádá, aby bulharský dozorový úřad změnil svůj seznam tak, že z něj vyřadí odkaz na operace zpracování prováděné pomocí územně rozmístěných nebo přeshraničních informačních systémů. Pokud jde o migraci z jednoho systému na alespoň jeden jiný systém: sbor žádá bulharský dozorový úřad, aby svůj seznam změnil tak, že k položce odkazující na migraci z jednoho systému na jiný systém doplní, že se posouzení vlivu na ochranu osobních údajů musí provést pouze tehdy, je-li ve spojení s alespoň jedním dalším kritériem. 4. Závěrečné poznámky Toto stanovisko je určeno Komisi pro ochranu osobních údajů (bulharskému dozorovému úřadu) a bude zveřejněno v souladu s čl. 64 odst. 5 písm. b) nařízení GDPR. Podle čl. 64 odst. 7 a 8 nařízení GDPR dozorový úřad do dvou týdnů po obdržení stanoviska v elektronické formě sdělí předsedovi sboru, zda svůj návrh seznamu změní, nebo zachová. Ve stejné lhůtě předloží pozměněný návrh seznamu nebo v případě, že nemá v úmyslu se stanoviskem sboru řídit, ať již zcela nebo částečně, uvede relevantní důvody, které jej k tomu vedou. 9

Za Evropský sbor pro ochranu osobních údajů předsedkyně (Andrea Jelinek) 10

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář