BIELIKOVÁ, M.: Vplyv Európskeho výboru pre ochranu údajov na kreovanie kompetencií a vymožiteľnosť práva. Právny obzor, 106, 2023, č. 5, s. 416 – 432.
https://doi.org/10.31577/pravnyobzor.2023.5.03
Impact of the European Data Protection Board on competence creation and law enforcement. In the presented scientific article, we briefly analyze the institutional development of the European Data Protection Board. We deal with the analysis of the position of the European Data Protection Board mainly from the point of view of the creator of the European policy in the field of personal data protection, the tasks and competences that it provides mainly on a European scale. At the same time, we analyze the binding nature of decisions and guidelines issued by the European Data Protection Board. We raise the following hypothesis: „The European Data Protection Board guidelines can be considered binding on operators and affected persons and enforce their enforceability from operators and intermediaries without the use of incorporation or adaptation national legislative mechanisms. The conclusions are drawn on the basis of a summary of information arising from the applicable European and Slovak legislation, selected case law of the European Court of Human Rights and selected case law of the Court of Justice of the European Union. In correlation with the description of the decision-making activity of the Office for Personal Data Protection of the Slovak Republic in one selected agenda, namely the agenda of processing of personal data by means of CCTV devices, we conclude that in the conditions of the Slovak Republic, the legal implementation of the EDPB outputs at the national level is largely absent.
Key words: Data Protection, GDPR (General Data Protection Regulation), The European Data Protection Board, tasks and competences, binding and enforceable
Úvod
Priamou aplikovateľnosťou novej právnej úpravy v oblasti ochrany osobných údajov v európskom priestore od 25. mája 2018 bola zriadená relatívne nová inštitúcia
Európskeho výboru pre ochranu údajov
(ďalej aj "EDPB" alebo "Výbor") s odlišnými právomocami ako jej predchodca. Na rozdiel od pôvodných návrhov získala inštitúcia právnu subjektivitu a aj vybrané právne záväzné právomoci. Metódou deskripcie uvedieme primárne právomoci vyplývajúce z právnej úpravy, konkrétne v kapitole s názvom Zriadenie a postavenie EDPB ako tvorcu európskej politiky v oblasti ochrany osobných údajov, najmä v podobe uvedenia úloh, ktoré rozdelíme na tri skupiny: konzistentnosť, konzultácie a poradenstvo, usmernenia, odporúčania a najlepšie postupy. Metódou analýzy vykonáme rozbor právomocí a kompetencií a uvedením platnej právnej úpravy premostíme do aplikačnej praxe v oblasti ochrany osobných údajov v Slovenskej republike. V tejto časti na jednom konkrétnom prípade prezentujeme situáciu, keď slovenský dozorný orgán rozhoduje o právach a povinnostiach účastníkov konania. Aj prostredníctvom konkrétneho príkladu z praxe sa budeme snažiť overiť nasledujúcu hypotézu: "Usmernenia EDPB je možné považovať za záväzné voči prevádzkovateľom a dotknutým osobám a vynucovať od prevádzkovateľov a sprostredkovateľov ich vykonateľnosť bez použitia inkorporačných alebo adaptačných národných legislatívnych mechanizmov." Na základe prvkov syntézy vyjadríme závery, ku ktorým dospejeme.
1. Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov
V inštitucionálnom vývoji bola prvotne zriadená pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov (ďalej aj "WP29") podľa čl. 29 Smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej aj "smernica 95/46/ES"). WP29 mala charakter poradného orgánu bez právnej subjektivity. Bola zložená zo zástupcu dozorného orgánu alebo orgánov menovaných členským štátom, zástupcu Európskej komisie (ďalej aj "EK") a európskeho dozorného úradníka pre ochranu údajov (ďalej aj "EDPS"). Pozostávala zo zástupcu dozorného orgánu alebo z orgánov menovaných každým členským štátom a zo zástupcu orgánu alebo orgánov zriadených pre inštitúcie a orgány Spoločenstva, a zo zástupcu EK
1)
. V zmysle čl. 30 ods. 1 smernice 95/46/ES WP29 disponovala najmä právomocami skúmať otázky pokrývajúce uplatniteľnosť vnútroštátnych opatrení prijatých podľa smernice 95/46/ES, aby sa prispelo k jednotnej uplatniteľnosti opatrení; predkladať EK stanoviská o úrovni ochrany v Spoločenstve a v tretích krajinách; poskytovať EK poradenstvo a radiť EK o navrhovaných zmenách smernice 95/46/ES, o ďalších alebo špecifických opatreniach, aby sa zabezpečili osobné práva a slobody fyzických osôb vzhľadom na spracovanie osobných údajov a o akýchkoľvek iných navrhnutých opatreniach Spoločenstva, ovplyvňujúce tieto práva a slobody; a poskytovať stanovisko k zákonným predpisom navrhnutým na úrovni Spoločenstva. Cieľom bolo zabezpečiť jednotné uplatňovanie smernice a poskytovať EK servis, najmä vo forme predkladania odborných stanovísk k záležitostiam týkajúcim sa ochrany osobných údajov. WP29 nemala právomoc a kompetenciu prijímať záväzné rozhodnutia. V rámci svojej činnosti spravidla vydávala odporúčania
2)
a stanoviská
3)
vo veciach týkajúcich sa ochrany osobných údajov v európskom priestore. Nástupcom WP 29 je EDPB.
2. Zriadenie a postavenie EDPB ako tvorcu európskej politiky v oblasti ochrany osobných údajov
2.1 Zriadenie EDPB
V záujme podpory konzistentného uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej aj "nariadenie 2016/679") bol zriadený EDPB
4)
ako orgán s právnou subjektivitou
5)
. Inštitucionálna reforma bola jedným z kľúčových pilierov revízie ochrany údajov v Európskej únii (ďalej aj "EÚ"), ako aj jedným z aspektov, ktoré sa ukázali ako najkomplikovanejšie pre dohodnutie na medziinštitucionálnych rokovaniach o nariadení 2016/679
6)
.
