(EU) 2021/1232Nařízení Evropského parlamentu a Rady (EU) 2021/1232 ze dne 14. července 2021 o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí on-line (Text s významem pro EHP)

Publikováno: Úř. věst. L 274, 30.7.2021, s. 41-51 Druh předpisu: Nařízení
Přijato: 14. července 2021 Autor předpisu: Evropský parlament; Rada Evropské unie
Platnost od: 2. srpna 2021 Nabývá účinnosti: 2. srpna 2021
Platnost předpisu: Ano Pozbývá platnosti: 3. srpna 2024
Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.



30.7.2021   

CS

Úřední věstník Evropské unie

L 274/41


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2021/1232

ze dne 14. července 2021

o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí on-line

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 ve spojení s čl. 114 odst. 1 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Směrnice Evropského parlamentu a Rady 2002/58/ES (3) stanoví pravidla zajišťující právo na soukromí a důvěrnost, pokud jde o zpracování osobních údajů při výměně údajů v odvětví elektronických komunikací. Tato směrnice upřesňuje a doplňuje nařízení Evropského parlamentu a Rady (EU) 2016/679 (4).

(2)

Směrnice 2002/58/ES se použije na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací. Do 21. prosince 2020 se používala definice služby elektronických komunikací stanovená v čl. 2 písm. c) směrnice Evropského parlamentu a Rady 2002/21/ES (5). K tomuto datu se směrnicí Evropského parlamentu a Rady (EU) 2018/1972 (6) zrušila směrnice 2002/21/ES. Definice pojmu „služby elektronických komunikací“ v čl. 2 bodě 4 směrnice (EU) 2018/1972 zahrnuje interpersonální komunikační služby nezávislé na číslech ve smyslu čl. 2 bodu 7 uvedené směrnice. Interpersonální komunikační služby nezávislé na číslech, mezi něž patří například internetová telefonie, výměna zpráv a webové e-mailové služby, tudíž od 21. prosince 2020 spadají do oblasti působnosti směrnice 2002/58/ES.

(3)

V souladu s čl. 6 odst. 1 Smlouvy o Evropské unii (dále jen „Smlouva o EU“) Unie uznává práva, svobody a zásady stanovené v Listině základních práv Evropské unie (dále jen „Listina“). Článek 7 Listiny chrání základní právo každého člověka na respektování jeho soukromého a rodinného života, obydlí a komunikací, včetně důvěrnosti komunikací. Článek 8 Listiny obsahuje právo na ochranu osobních údajů.

(4)

Čl. 3 odst. 1 Úmluvy Organizace spojených národů o právech dítěte z roku 1989 (dále jen „Úmluva o právech dítěte“) a čl. 24 odst. 2 Listiny stanoví, že při všech činnostech týkajících se dětí, ať už uskutečňovaných veřejnými orgány, nebo soukromými institucemi, musí být prvořadým hlediskem nejvlastnější zájem dítěte. Ustanovení čl. 3 odst. 2 Úmluvy o právech dítěte a čl. 24 odst. 1 Listiny dále stanoví právo dětí na ochranu a péči nezbytnou pro jejich blaho.

(5)

Ochrana dětí, a to off-line i on-line, je jednou z priorit Unie. Pohlavní zneužívání a pohlavní vykořisťování dětí představují závažné porušování lidských a základních práv, zejména práv dětí na ochranu před všemi formami násilí, zneužívání a zanedbávání, špatného zacházení nebo vykořisťování, včetně sexuálního zneužívání, jak je stanoveno v Úmluvě o právech dítěte a v Listině. Digitalizace přinesla celou řadu výhod pro společnost a hospodářství, ale také problémy, včetně nárůstu pohlavního zneužívání dětí on-line. Dne 24. července 2020 přijala Komise sdělení nazvané „Strategie EU pro účinnější boj proti pohlavnímu zneužívání dětí“ (dále jen „strategie“). Cílem strategie je na úrovni Unie účinně reagovat na trestný čin pohlavního zneužívání dětí.

(6)

V souladu se směrnicí Evropského parlamentu a Rady 2011/93/EU (7) toto nařízení neupravuje politiku členských států, pokud jde o sexuální praktiky prováděné se souhlasem zúčastněných stran, kterých se mohou účastnit děti a které lze považovat za normální objevování sexuality při vývoji lidského jedince s přihlédnutím k různým kulturním a právním tradicím, a také k novým formám navazování a udržování vztahů u dětí a dospívající mládeže, mimo jiné prostřednictvím informačních a komunikačních technologií.

(7)

Někteří poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech (dále jen „poskytovatelé“), např. webového e-mailu a služeb výměny zpráv, již dobrovolně používají konkrétní technologie k odhalování a oznamování pohlavního zneužívání dětí on-line v rámci jimi poskytovaných služeb donucovacím orgánům a organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí, a to na základě skenování obsahu, např. obrazového a textového, nebo provozních údajů komunikace, v některých případech s využitím historických údajů. Technologií používanou pro tyto činnosti by mohla být technologie otisků (hašování) v případě snímků a videozáznamů a klasifikátory a umělá inteligence pro analýzu textových nebo provozních údajů. Při využívání technologie hašování je materiál zobrazující pohlavní zneužívání dětí on-line oznámen, dojde-li k „pozitivnímu nálezu“, čímž se rozumí shoda vyplývající ze srovnání snímku nebo videozáznamu s jedinečným, nevratným digitálním podpisem (tzv. „hash“) z databáze, kterou spravuje organizace jednající ve veřejném zájmu proti pohlavnímu zneužívání dětí a která obsahuje ověřené internetové materiály zobrazující pohlavní zneužívání dětí. Tito poskytovatelé odkazují na národní horké linky pro oznamování materiálů zobrazujících pohlavní zneužívání dětí on-line a na organizace, které se nacházejí jak v Unii, tak i ve třetích zemích, jejichž účelem je identifikovat děti a omezit pohlavní vykořisťování a pohlavní zneužívání dětí a předcházet viktimizaci dětí. Takové organizace nemusí nezbytně spadat do oblasti působnosti nařízení (EU) 2016/679. Tyto dobrovolné činnosti hrají kolektivně cennou úlohu při umožnění identifikace a záchrany obětí, jejichž základní práva na lidskou důstojnost a na fyzickou a duševní integritu jsou závažně porušena. Tyto dobrovolné činnosti jsou rovněž důležité při omezování dalšího šíření materiálů zobrazujících pohlavní zneužívání dětí on-line a přispívají k identifikaci a vyšetřování pachatelů a k prevenci, odhalování, vyšetřování a stíhání trestných činů pohlavního zneužívání dětí.

(8)

Tyto dobrovolné činnosti poskytovatelů, které spočívají v tom, že poskytovatelé v souvislosti se službami, jež poskytují, odhalují pohlavní zneužívání dětí on-line a oznamují je, nicméně bez ohledu na jejich legitimní cíl zasahují do základních práv na respektování soukromého a rodinného života a na ochranu osobních údajů všech uživatelů interpersonálních komunikačních služeb nezávislých na číslech (dále jen „uživatelé“). Jakékoli omezení výkonu základního práva na respektování soukromého a rodinného života, včetně důvěrnosti komunikace, nelze odůvodnit pouze tím, že poskytovatelé využívali určité technologie v době, kdy sena služby interpersonálních komunikačních služeb nezávislých na číslech nevztahovala definice „služeb elektronických komunikací“. Takové omezení je možné pouze za určitých podmínek. Podle čl. 52 odst. 1 Listiny musí být taková omezení stanovena zákonem a musí respektovat podstatu práv na soukromý a rodinný život a na ochranu osobních údajů a musí být v souladu se zásadou proporcionality, být nezbytná a skutečně odpovídat cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod jiných osob, jak je zakotveno v čl. 52 odst. 1 Listiny. Pokud tato omezení trvale zahrnují obecné a nerozlišující sledování a analýzu komunikace všech uživatelů, zasahují do práva na důvěrnost komunikace.

(9)

Do 20. prosince 2020 bylo zpracování osobních údajů poskytovateli prostřednictvím dobrovolných opatření za účelem odhalování pohlavního zneužívání dětí on-line v rámci jimi poskytovaných služeb a jeho oznamování a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line z jejich služeb upraveno pouze nařízením (EU) 2016/679. Směrnice (EU) 2018/1972, která měla být provedena do vnitrostátního práva do 20. prosince 2020, zařadila poskytovatele do oblasti působnosti směrnice 2002/58/ES. Aby poskytovatelé mohli tato dobrovolná opatření nadále používat i po 20. prosinci 2020, měli by splňovat podmínky stanovené v tomto nařízení. Na zpracování osobních údajů prováděné prostřednictvím těchto dobrovolných opatření se bude i nadále vztahovat nařízení (EU) 2016/679.

(10)

Směrnice 2002/58/ES neobsahuje žádná zvláštní ustanovení týkající se zpracování osobních údajů poskytovateli v souvislosti s poskytováním služeb elektronických komunikací za účelem odhalování pohlavního zneužívání dětí on-line v rámci jimi poskytovaných služeb a jeho oznamování a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line z jejich služeb. Podle čl. 15 odst. 1 směrnice 2002/58/ES však mohou členské státy přijmout legislativní opatření k omezení rozsahu práv a povinností stanovených mimo jiné v článcích 5 a 6 uvedené směrnice, jež se týkají důvěrnosti sdělení a provozních údajů, za účelem prevence, odhalování, vyšetřování a stíhání trestných činů souvisejících s pohlavním zneužíváním dětí. Jelikož taková legislativní opatření na vnitrostátní úrovni neexistují a na úrovni Unie dosud nebyl přijat dlouhodobější právní rámec pro boj proti pohlavnímu zneužívání dětí, poskytovatelé se již po 21. prosinci 2020 nemohou opírat o nařízení (EU) 2016/679 při využívání dobrovolných opatření za účelem odhalování pohlavního zneužívání dětí on-line v souvislosti se službami, jež poskytují, a jeho oznamování a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line ze svých služeb. Toto nařízení není právním základem pro zpracování osobních údajů poskytovateli výhradně za účelem odhalování pohlavního zneužívání dětí on-line a jeho oznamování a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line z jejich služeb, ale zavádí odchylku od některých ustanovení směrnice 2002/58/ES. Toto nařízení stanovuje dodatečné záruky, které mají poskytovatelé dodržovat, pokud se o něj chtějí opírat.

(11)

Zpracování údajů pro účely tohoto nařízení by mohlo zahrnovat zpracování zvláštních kategorií osobních údajů stanovených v nařízení (EU) 2016/679. Zpracování obrazového materiálu a videozáznamů pomocí zvláštních technických prostředků, které umožňují jedinečnou identifikaci nebo autentizaci fyzické osoby, se považuje za zpracování zvláštních kategorií osobních údajů.

(12)

Toto nařízení stanoví dočasnou odchylku od čl. 5 odst. 1 a čl. 6 odst. 1 směrnice 2002/58/ES, které chrání důvěrnost sdělení a provozních údajů. Dobrovolné využívání technologií pro zpracovávání osobních a jiných údajů ze strany poskytovatelů v rozsahu nezbytném pro odhalování pohlavního zneužívání dětí on-line v souvislosti s jimi poskytovanými službami a jeho oznamování a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line z jejich služeb spadá do oblasti působnosti odchylky stanovené tímto nařízením, pokud takové využívání splňuje podmínky stanovené v tomto nařízení, a vztahují se tak na něj záruky a podmínky stanovené v nařízení (EU) 2016/679.

(13)

Směrnice 2002/58/ES byla přijata na základě článku 114 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“). Kromě toho ne všechny členské státy přijaly legislativní opatření v souladu se směrnicí 2002/58/ES s cílem omezit rozsah práv a povinností týkajících se důvěrnosti komunikací a provozních údajů stanovených v uvedené směrnici a přijetí takových opatření s sebou nese značné riziko roztříštěnosti, jež by mohla nepříznivě ovlivnit vnitřní trh. Toto nařízení by proto mělo být založeno na článku 114 Smlouvy o fungování EU.

(14)

Jelikož údaje týkající se elektronických komunikací zahrnující fyzické osoby se obvykle považují za osobní údaje, mělo by být toto nařízení založeno také na článku 16 Smlouvy o fungování EU, který stanoví zvláštní právní základ pro přijetí pravidel týkajících se ochrany fyzických osob při zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidla o volném pohybu těchto údajů.

(15)

Nařízení (EU) 2016/679 se vztahuje na zpracování osobních údajů v souvislosti s poskytováním služeb elektronických komunikací poskytovateli pouze za účelem odhalování pohlavního zneužívání dětí on-line v rámci poskytování jejich služeb a jeho oznamování a odstraňování materiálu zobrazujícího pohlavní zneužívání dětí on-line z jejich služeb v rozsahu, v jakém se na toto zpracování vztahuje působnost odchylky stanovené tímto nařízením.

(16)

Typy technologií používaných pro účely tohoto nařízení by měly v souladu s nejaktuálnějším stavem vývoje špičkových technologií v odvětví co nejméně narušovat soukromí. Tyto technologie by neměly být používány k systematickému filtrování a skenování textu v komunikaci, ledaže slouží výlučně k odhalování vzorců, které poukazují na možné konkrétní důvody pro podezření na pohlavní zneužívání dětí online, a nemělo by být možné odvodit podstatu obsahu komunikace. V případě technologie používané k identifikaci navazování kontaktu s dětmi by tyto konkrétní důvody pro podezření měly být založeny na objektivně zjištěných rizikových faktorech, jako je věkový rozdíl a pravděpodobné zapojení dítěte do skenované komunikace.

(17)

Měly by být zavedeny odpovídající postupy a mechanismy nápravy s cílem zajistit, aby jednotlivci mohli u poskytovatelů podat stížnost. Tyto postupy a mechanismy jsou relevantní obzvláště v případech, kdy byl obsah, který nepředstavuje pohlavní zneužívání dětí on-line, odstraněn nebo oznámen donucovacím orgánům nebo organizaci jednající ve veřejném zájmu proti pohlavnímu zneužívání dětí.

(18)

K zajištění co největší přesnosti a spolehlivosti by měla technologie používaná pro účely tohoto nařízení v souladu se současným stavem v daném odvětví v co největší možné míře omezit počet a poměr chyb (falešně pozitivní nálezy) a v případě potřeby neprodleně by měla napravit všechny takové chyby, které by přesto mohly vyskytnout.

(19)

Zpracovávané údaje o obsahu a provozu a osobní údaje získané při výkonu činností, na něž se vztahuje toto nařízení, a doba, po kterou jsou údaje následně uchovávány v případě zjištění podezření na pohlavní zneužívání dětí on-line, by měly zůstat omezeny na to, co je nezbytně nutné pro výkon těchto činností. Jakékoli údaje by měly být okamžitě a trvale vymazány, jakmile již nejsou nezbytné pro některý z účelů uvedených v tomto nařízení, včetně případů, kdy není zjištěno žádné podezření na pohlavní zneužívání dětí on-line, a každopádně nejpozději do 12 měsíců od okamžiku zjištění podezření na pohlavní zneužívání dětí on-line. Tím by neměla být dotčena možnost uchovávat relevantní údaje o obsahu a provozní údaje v souladu se směrnicí 2002/58/ES. Tímto nařízením není dotčeno uplatňování jakékoli právní povinnosti podle unijního nebo vnitrostátního práva uchovávat údaje, která se vztahuje na poskytovatele.

(20)

Toto nařízení nebrání poskytovateli, který oznámil pohlavní zneužívání dětí on-line donucovacím orgánům, aby tyto orgány požádal o potvrzení přijetí oznámení.

(21)

V zájmu zajištění transparentnosti a odpovědnosti, pokud jde o činnosti prováděné na základě odchylky stanovené tímto nařízením, by poskytovatelé měli do 3. února 2022 a poté každoročně do 31. ledna zveřejňovat a předkládat zprávy příslušnému dozorovému úřadu určenému podle nařízení (EU) 2016/679 (dále jen „dozorový úřad“) a Komisi. Tyto zprávy by se měly týkat zpracování spadajícího do oblasti působnosti tohoto nařízení, včetně druhu a objemu zpracovávaných údajů, konkrétního odůvodnění zpracování podle nařízení (EU) 2016/679, právního základu pro případné předávání osobních údajů mimo Unii podle kapitoly V nařízení (EU) 2016/679, počtu zjištěných případů pohlavního zneužívání dětí on-line, přičemž se rozlišuje mezi materiály zobrazujícími pohlavní zneužívání dětí on-line a navazováním kontaktu s dětmi, počtu případů, kdy uživatel podal stížnost v rámci interního mechanismu nápravy nebo uplatnil prostředek soudní nápravy, a výsledku takových stížností a soudních řízení, počtu a míry chyb (falešně pozitivních výstupů) různých používaných technologií, opatření použitých k omezení chybovosti a dosažené chybovosti, politiky uchovávání údajů, uplatňovaných záruk ochrany údajů podle nařízení (EU) 2016/679 a názvů organizací jednajících ve veřejném zájmu proti pohlavnímu zneužívání dětí, s nimiž byly údaje sdíleny podle tohoto nařízení.

(22)

S cílem podpořit dozorové úřady při plnění jejich úkolů by měla Komise požádat Evropský sbor pro ochranu osobních údajů, aby vydal pokyny týkající se souladu zpracování spadajícího do oblasti působnosti odchylky stanovené v tomto nařízení s nařízením (EU) 2016/679. Pokud dozorové úřady posuzují, zda je zavedená nebo nová technologie, která má být použita, v souladu se současným stavem vývoje v odvětví a zda nejméně narušuje soukromí a je provozována na náležitém právním základě podle nařízení (EU) 2016/679, měly by tyto pokyny dozorovým úřadům zejména pomoci při poskytování poradenství v rámci postupu předchozí konzultace stanoveného v uvedeném nařízení.

(23)

Toto nařízení omezuje právo na ochranu důvěrnosti komunikace a odchyluje se od rozhodnutí podrobit interpersonální komunikační služby nezávislé na číslech stejným pravidlům jako všechny ostatní služby elektronických komunikací, pokud jde o soukromí, přijatého podle směrnice (EU) 2018/1972, a to výhradně za účelem odhalování pohlavního zneužívání dětí on-line v rámci poskytování těchto služeb a jeho oznamování donucovacím orgánům nebo organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí a odstraňování materiálů zobrazujících pohlavní zneužívání dětí on-line z těchto služeb.. Doba použitelnosti tohoto nařízení by proto měla být omezena na tři roky od počátku jeho použitelnosti s cílem poskytnout dobu potřebnou k přijetí nového dlouhodobého právního rámce. Vstoupí-li dlouhodobý právní rámec v platnost před uvedeným datem, mělo by být uvedeným právním rámcem toto nařízení zrušeno.

(24)

Pokud jde o všechny ostatní činnosti, které spadají do oblasti působnosti směrnice 2002/58/ES, poskytovatelé by měli podléhat zvláštním povinnostem stanoveným v uvedené směrnici, a tudíž i monitorovacím a vyšetřovacím pravomocem příslušných orgánů určených podle uvedené směrnice.

(25)

Šifrování mezi koncovými body je důležitým nástrojem, který zaručuje bezpečnou a důvěrnou komunikaci uživatelů, včetně komunikace dětí. Jakékoli oslabení šifrování by mohlo být potenciálně zneužito třetími stranami k nekalým záměrům. Žádné ustanovení tohoto nařízení by proto nemělo být vykládáno jako zákaz nebo oslabení šifrování mezi koncovými body.

(26)

Právo na respektování soukromého a rodinného života, včetně důvěrnosti komunikace, je základním právem, které zaručuje článek 7 Listiny. Je tedy rovněž základním předpokladem pro bezpečnou komunikaci mezi dítětem, které se stalo obětí pohlavního zneužívání, a dospělou osobou, jíž důvěřuje, nebo organizacemi činnými v boji proti pohlavnímu zneužívání dětí, a pro komunikaci mezi oběťmi a jejich právníky.

(27)

Tímto nařízením by neměla být dotčena pravidla týkající se služebního tajemství podle vnitrostátního práva, jako jsou pravidla pro ochranu profesionální komunikace mezi lékaři a jejich pacienty, mezi novináři a jejich zdroji nebo mezi advokáty a jejich klienty, mimo jiné proto, že důvěrnost komunikace mezi advokáty a jejich klienty je klíčová pro zajištění účinného výkonu práva na obhajobu jakožto základní součásti práva na spravedlivý proces. Tímto nařízením by rovněž neměla být dotčena vnitrostátní pravidla týkající se rejstříků veřejných orgánů nebo organizací, které poskytují poradenství osobám v tísni.

(28)

Poskytovatelé by měli sdělit Komisi názvy organizací jednajících ve veřejném zájmu proti pohlavnímu zneužívání dětí, kterým podle tohoto nařízení oznamují potenciální pohlavní zneužívání dětí on-line. I když je výhradní odpovědností poskytovatelů, kteří jednají jako správci, posoudit, se kterými třetími stranami mohou sdílet osobní údaje podle nařízení (EU) 2016/679, Komise by měla zajistit transparentnost, pokud jde o předávání možných případů pohlavního zneužívání dětí on-line, a to tím, že na svých internetových stránkách zveřejní seznam organizací jednajících ve veřejném zájmu proti pohlavnímu zneužívání dětí, které jí byly oznámeny. Tento veřejný seznam by měl být snadno přístupný. Poskytovatelé by rovněž měli mít možnost tento seznam používat k identifikaci příslušných organizací v celosvětovém boji proti pohlavnímu zneužívání dětí on-line. Tímto seznamem by neměly být dotčeny povinnosti poskytovatelů, kteří jednají jako správci podle nařízení (EU) 2016/679, a to i pokud jde o jejich povinnost provádět případné předávání osobních údajů mimo Unii podle kapitoly V uvedeného nařízení a jejich povinnost plnit všechny povinnosti podle kapitoly IV uvedeného nařízení.

(29)

Statistiky, které mají členské státy poskytovat podle tohoto nařízení, jsou důležitými ukazateli pro hodnocení politiky, včetně právních opatření. Kromě toho je důležité uznat dopad sekundární viktimizace spojené se sdílením snímků a videí obětí pohlavního zneužívání dětí, které se mohly šířit již řadu let, což se v těchto statistikách plně neodráží.

(30)

V souladu s požadavky stanovenými v nařízení (EU) 2016/679, zejména požadavkem, aby členské státy zajistily, aby byly dozorovým úřadům poskytnuty lidské, technické a finanční zdroje nezbytné pro účinné plnění jejich úkolů a výkon jejich pravomocí, by členské státy měly zajistit, aby dozorové úřady měly uvedené dostatečné zdroje pro účinné plnění svých úkolů a výkon svých pravomocí podle tohoto nařízení.

(31)

Pokud poskytovatel provedl posouzení vlivu na ochranu osobních údajů a konzultoval s dozorovými úřady ve věci určité technologie v souladu s nařízením (EU) 2016/679 před vstupem tohoto nařízení v platnost, neměl by mít tento poskytovatel podle tohoto nařízení povinnost provést dodatečné posouzení vlivu na ochranu údajů nebo konzultaci za předpokladu, že dozorové úřady uvedly, že zpracování údajů touto technologií by nevedlo k vysokému riziku pro práva a svobody fyzických osob nebo že správce přijal opatření ke zmírnění tohoto rizika.

(32)

Uživatelé by měli mít právo na účinný prostředek soudní nápravy v případě, že byla porušena jejich práva v důsledku zpracování osobních a jiných údajů pro účely odhalování pohlavního zneužívání dětí on-line v rámci interpersonálních komunikačních služeb nezávislých na číslech, jeho oznamování a odstranění materiálu obsahujícího pohlavní zneužívání dětí on-line z těchto služeb, například tehdy, kdy byl obsah nebo totožnost uživatelů nahlášeny organizaci jednající ve veřejném zájmu proti pohlavnímu zneužívání dětí nebo donucovacím orgánům nebo kdy byl obsah uživatele odstraněn, jeho účet byl zablokován nebo mu byla pozastavena služba.

(33)

V souladu se směrnicí 2002/58/ES a zásadou minimalizace údajů by zpracování osobních a jiných údajů mělo zůstat omezeno na údaje o obsahu a související provozní údaje, a to v rozsahu nezbytně nutném pro dosažení účelu tohoto nařízení.

(34)

Odchylka stanovená tímto nařízením by se měla rozšířit na kategorie údajů uvedené v čl. 5 odst. 1 a čl. 6 odst. 1 směrnice 2002/58/ES, které se použijí na zpracovávání osobních i neosobních údajů v souvislosti s poskytováním interpersonální komunikační služby nezávislé na číslech.

(35)

Cílem tohoto nařízení je vytvořit dočasnou odchylku od některých ustanovení směrnice 2002/58/ES, aniž by došlo k roztříštěnosti vnitřního trhu. Vnitrostátní právní předpisy by navíc s největší pravděpodobností nebyly přijaty ve všech členských státech včas. Jelikož cíle tohoto nařízení nemůže být dosaženo uspokojivě členskými státy, ale spíš jej může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení tohoto cíle. Toto nařízení zavádí dočasnou a přísně omezenou odchylku od použitelnosti čl. 5 odst. 1 a čl. 6 odst. 1 směrnice 2002/58/ES s řadou záruk, že nepřekročí rámec toho, co je nezbytné pro dosažení stanoveného cíle.

(36)

V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (8) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 10. listopadu 2020,

PŘIJALY TOTO NAŘÍZENÍ:

Článek 1

Předmět a oblast působnosti

1.   Tímto nařízením se stanoví dočasná a přísně omezená pravidla, která se odchylují od některých povinností stanovených ve směrnici 2002/58/ES, a to výhradně s cílem umožnit, aniž je tím dotčeno nařízení (EU) 2016/679, některým poskytovatelům interpersonálních komunikačních služeb nezávislých na číslech (dále jen „poskytovatelé“), aby používali konkrétní technologie pro zpracování osobních a jiných údajů v rozsahu nezbytně nutném k odhalování pohlavního zneužívání dětí on-line v rámci poskytování jejich služeb a jeho oznamování a k odstraňování materiálů pohlavního zneužívání dětí on-line z jimi poskytovaných služeb.

2.   Toto nařízení se nepoužije na skenování zvukové komunikace.

Článek 2

Definice

Pro účely tohoto nařízení se rozumí:

1)

„interpersonální komunikační službou nezávislou na číslech“ interpersonální komunikační služba nezávislá na číslech ve smyslu čl. 2 bodu 7 směrnice (EU) 2018/1972;

2)

„materiály pohlavního zneužívání dětí on-line“:

a)

dětská pornografie ve smyslu čl. 2 písm. c) směrnice 2011/93/EU;

b)

pornografické představení ve smyslu čl. 2 písm. e) směrnice 2011/93/EU;

3)

„navazováním kontaktu s dětmi“ jakékoli úmyslné jednání, které představuje trestný čin podle článku 6 směrnice 2011/93/EU;

4)

„pohlavním zneužíváním dětí on-line“ materiály pohlavního zneužívání dětí on-line a navazování kontaktu s dětmi.

Článek 3

Oblast působnosti odchylky

1.   Ustanovení cl. 5 odst. 1 a čl. 6 odst. 1 směrnice 2002/58/ES se nepoužijí na důvěrnost komunikací zahrnujících zpracování osobních a jiných údajů poskytovateli v souvislosti s poskytováním interpersonálních komunikačních služeb nezávislých na číslech, pokud:

a)

je zpracování:

i)

nezbytně nutné pro použití konkrétní technologie výhradně za účelem odhalování a odstraňování pohlavního zneužívání dětí on-line a jeho oznamování donucovacím orgánům a organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí a za účelem odhalování navazování kontaktu s dětmi a jeho oznamování donucovacím orgánům nebo organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí;

ii)

přiměřené a omezené na technologie, které poskytovatelé používají pro účely stanovené v bodě i);

iii)

omezené na údaje o obsahu a související provozní údaje, které jsou nezbytně nutné pro účely stanovené v bodě i);

iv)

omezené na to, co je nezbytně nutné pro účely stanovené v bodě i);

b)

tyto technologie používané pro účely uvedené v písm. a) bodě i) tohoto odstavce jsou v souladu s aktuálním stavem špičkového vývoje techniky používané v tomto odvětví a nejméně narušují soukromí, a to i s ohledem na zásadu záměrné a standardní ochrany údajů stanovenou v článku 25 nařízení (EU) 2016/679, a pokud jsou používány ke skenování textu v komunikaci, nejsou schopny dovodit podstatu obsahu komunikace, ale mohou pouze odhalit vzorce, které ukazují na možné pohlavní zneužívání dětí on-line;

c)

pokud jde o jakoukoli konkrétní technologii použitou k účelu stanovenému v písm. a) bodě i) tohoto odstavce, bylo provedeno předchozí posouzení vlivu na ochranu osobních údajů podle článku 35 nařízení (EU) 2016/679 a postup předchozí konzultace podle článku 36 uvedeného nařízení;

d)

pokud jde o novou technologii, tj. technologii používanou k odhalování materiálů pohlavního zneužívání dětí on-line, která nebyla použita žádným poskytovatelem v souvislosti se službami poskytovanými uživatelům interpersonálních komunikačních služeb nezávislých na číslech (dále jen „uživatelé“) v Unii před 2. srpnem 2021, a pokud jde o technologii používanou pro účely identifikace možných případů navazování kontaktu s dětmi, poskytovatel příslušnému orgánu podá zprávu o opatřeních přijatých za účelem prokázání souladu s písemným upozorněním vydaným v souladu s čl. 36 odst. 2 nařízení (EU) 2016/679 příslušným dozorovým úřadem určeným podle kapitoly VI oddílu 1 uvedeného nařízení (dále jen „dozorový úřad“) v průběhu postupu předchozí konzultace;

e)

používané technologie jsou samy o sobě dostatečně spolehlivé, neboť v co největší možné míře omezují výskyt chyb při odhalování obsahu představujícího pohlavní zneužívání dětí on-line, a pokud k takovým občasným chybám dojde, jsou jejich důsledky neprodleně napraveny;

f)

technologie používané k odhalování vzorců možného navazování kontaktu s dětmi jsou omezeny na použití příslušných klíčových ukazatelů a objektivně zjištěných rizikových faktorů, jako je věkový rozdíl a pravděpodobné zapojení dítěte do skenované komunikace, aniž je dotčeno právo na lidský přezkum.

g)

poskytovatelé:

i)

zavedli interní postupy, které mají v případě osobních a jiných údajů za cíl předcházet jejich zneužívání neoprávněnému přístupu k nim a jejich neoprávněným přenosům;

ii)

zajišťují lidský dohled a v případě potřeby lidský zásah do zpracování osobních a jiných údajů za použití technologií, na které se vztahuje toto nařízení;

iii)

zajišťují, aby materiály, které nebyly dříve identifikovány jako materiály pohlavního zneužívání dětí on-line nebo navazování kontaktu s dětmi, nebyly hlášeny donucovacím orgánům nebo organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí bez předchozího potvrzení ze strany člověka;

iv)

zavedli vhodné postupy a mechanismy nápravy s cílem zajistit, aby jim uživatelé mohli v přiměřené lhůtě podat stížnost za účelem předložení svých názorů;

v)

jasným, zřetelným a srozumitelným způsobem informují uživatele o tom, že v souladu s tímto nařízením poskytovatelé uplatňují právní odchylku od čl. 5 odst. 1 a čl. 6 odst. 1 směrnice 2002/58/ES, pokud jde o důvěrnost komunikace uživatelů, a to výhradně za účelem stanoveným v odstavci 1 písm. a) bodě i) tohoto odstavce, o odůvodnění opatření přijatých na základě této výjimky a o dopadu na důvěrnost komunikace uživatelů, včetně možnosti sdílení osobních údajů s donucovacími orgány a organizacemi jednajícími ve veřejném zájmu proti pohlavnímu zneužívání dětí;

vi)

informují uživatele o následujících skutečnostech, pokud byl jejich obsah odstraněn nebo jejich účet zablokován nebo byla pozastavena služba, která jim byla nabídnuta:

1)

možnostech uplatnit u nich prostředky nápravy;

2)

možnosti podat stížnost dozorovému úřadu; a

3)

možnosti uplatnění práva na soudní prostředek nápravy;

vii)

do 3. února 2022 a poté každoročně do 31. ledna zveřejní a předloží dozorovému úřadu a Komisi zprávu o zpracování osobních údajů podle tohoto nařízení, včetně:

1)

druhu a objemu zpracovávaných údajů;

2)

konkrétního důvodu, o který se podle nařízení (EU) 2016/679 opírá při zpracování;

3)

právního základu pro předávání osobních údajů mimo Unii podle kapitoly V nařízení (EU) 2016/679, použije-li se;

4)

počtu zjištěných případů pohlavního zneužívání dětí on-line, přičemž se rozlišuje mezi materiálem pohlavního zneužívání dětí on-line a navazováním kontaktu s dětmi;

5)

počtu případů, kdy uživatel podal stížnost v rámci interního mechanismu nápravy nebo návrh k justičnímu orgánu, a výsledku těchto stížností či návrhů;

6)

počtu a míry chyb (falešně pozitivních nálezů) různých používaných technologií;

7)

opatření použitých k omezení chybovosti a dosažené chybovosti;

8)

politiky uchovávání údajů a uplatňovaných záruk ochrany údajů podle nařízení (EU) 2016/679;

9)

názvů organizací jednajících ve veřejném zájmu proti pohlavnímu zneužívání dětí, s nimiž byly údaje sdíleny podle tohoto nařízení;

h)

pokud bylo zjištěno podezření na pohlavní zneužívání dětí on-line, jsou údaje o obsahu a související provozní údaje, jež jsou zpracovávány pro účel stanovený v písm. a) bodě i) a osobní údaje vytvořené tímto zpracováním uchovávány bezpečným způsobem, a to výhradně pro účely:

i)

neprodleného nahlášení podezření na pohlavní zneužívání dětí on-line příslušným donucovacím a justičním orgánům nebo organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí;

ii)

zablokování účtu nebo pozastavení či ukončení poskytování služby dotčenému uživateli;

iii)

vytvoření jedinečného, nepřevoditelného digitálního podpisu („hash“) údajů, které jsou spolehlivě identifikovány jako materiály pohlavního zneužívání dětí on-line;

iv)

umožnění dotčenému uživateli usilovat o nápravu od poskytovatele nebo uplatnit správní přezkum nebo soudní prostředky nápravy v záležitostech týkajících se podezření na pohlavní zneužívání dětí on-line; nebo

v)

reakce na žádosti příslušných donucovacích a justičních orgánů v souladu s platnými právními předpisy o poskytnutí údajů, které jsou nezbytné pro prevenci, odhalování, vyšetřování či stíhání trestných činů stanovených ve směrnici 2011/93/EU;

i)

údaje nejsou uchovávány déle, než je nezbytně nutné pro příslušný účel stanovený v písmenu h), a v žádném případě ne déle než 12 měsíců ode dne identifikace podezření na pohlavní zneužívání dětí on-line;

j)

každý případ odůvodněného a ověřeného podezření na pohlavní zneužívání dětí on-line je neprodleně ohlášen příslušným vnitrostátním donucovacím orgánům nebo organizacím jednajícím ve veřejném zájmu proti pohlavnímu zneužívání dětí.

2.   Do 3. dubna 2022 se podmínka stanovená v odst. 1 písm. c) nepoužije na poskytovatele, kteří:

a)

používali zvláštní technologii před 2. srpnem 2021 pro účely stanovené v odst. 1 písm. a) bodě i), aniž by předtím dokončili postup předchozí konzultace týkající se této technologie;

b)

zahájili postup předchozí konzultace před 3. zářím 2021; a

c)

v rámci postupu předchozí konzultace uvedeného v písmenu b) řádně spolupracují s příslušným dozorovým úřadem.

3.   Do 3. dubna 2022 se podmínka stanovená v odst. 1 písm. d) nevztahuje na poskytovatele, kteří:

a)

používali technologii uvedenou v odst. 1 písm. d) před 2. srpnem 2021, aniž by předtím dokončili konzultační postup týkající se této technologie;

b)

zahájili postup uvedený v odst. 1 písm. d) před 3. zářím 2021; a

c)

v souvislosti s postupem uvedeným v odst. 1 písm. d) řádně spolupracují s příslušným dozorovým úřadem.

Článek 4

Pokyny Evropského sboru pro ochranu osobních údajů

Do 3. září 2021 požádá Komise podle článku 70 nařízení (EU) 2016/679 Evropský sbor pro ochranu osobních údajů o vydání pokynů s cílem pomoci příslušným dozorovým úřadům posoudit, zda je zpracování spadající do oblasti působnosti tohoto nařízení, pokud jde o stávající a nové technologie používané pro účely stanovené v čl. 3 odst. 1 písm. a) bodě i) tohoto nařízení, v souladu s nařízením (EU) 2016/679.

Článek 5

Účinné právní prostředky nápravy

V souladu s článkem 79 nařízení (EU) 2016/679 a čl. 15 odst. 2 směrnice 2002/58/ES mají uživatelé právo na účinné právní prostředky nápravy, pokud se domnívají, že jejich práva byla porušena v důsledku zpracování osobních a jiných údajů pro účely stanovené v čl. 3 odst. 1 písm. a) bodě i) tohoto nařízení.

Článek 6

Dozorové úřady

Dozorové úřady určené podle kapitoly VI oddílu 1 nařízení (EU) 2016/679 sledují zpracování spadající do oblasti působnosti tohoto nařízení v souladu se svými pravomocemi a pravomocemi podle uvedené kapitoly.

Článek 7

Veřejný seznam organizací jednajících ve veřejném zájmu proti pohlavnímu zneužívání dětí

1.   Do 3. září 2021 poskytovatelé sdělí Komisi názvy organizací, které jednají ve veřejném zájmu proti pohlavnímu zneužívání dětí a kterým podle tohoto nařízení hlásí pohlavní zneužívání dětí on-line. Poskytovatelé pravidelně sdělují Komisi veškeré změny v tomto seznamu.

2.   Do 3. října 2021 Komise zveřejní seznam organizací, které jednají ve veřejném zájmu proti pohlavnímu zneužívání dětí a které jí byly sděleny podle prvního odstavce 1. Komise tento veřejný seznam pravidelně aktualizuje.

Článek 8

Statistiky

1.   Do 3. srpna 2022 a poté každoročně členské státy zveřejní a předloží Komisi zprávy se statistickými údaji o:

a)

celkovém počtu případů odhaleného pohlavního zneužívání dětí on-line, které oznámili poskytovatelé a organizace jednající ve veřejném zájmu proti pohlavnímu zneužívání dětí příslušným vnitrostátním donucovacím orgánům, s rozlišením, jsou-li takové informace k dispozici, absolutního počtu případů a případů oznámených vícekrát a typu poskytovatele, u jehož služby bylo sexuální zneužívání dětí on-line odhaleno;

b)

počtu dětí identifikovaných prostřednictvím opatření podle článku 3, s rozlišením podle pohlaví;

c)

počet odsouzených pachatelů.

2.   Komise statistiky uvedené v odstavci 1 tohoto článku shromažďuje a zohledňuje je při vypracovávání zprávy o provádění podle článku 9.

Článek 9

Zpráva o provádění

1.   Na základě zpráv předložených podle čl. 3 odst. 1 písm. g) bodu vii) a statistik předložených podle článku 8 vypracuje Komise do 3. srpna 2023 zprávu o provádění tohoto nařízení a předloží ji Evropskému parlamentu a Radě.

2.   Ve zprávě o provádění Komise zejména zohlední:

a)

podmínky pro zpracování osobních údajů a jiných údajů stanovené v čl. 3 odst. 1 písm. a) bodě ii) a čl. 3 odst. 1 písm. b), c) a d);

b)

přiměřenost odchylky stanovené tímto nařízením, včetně posouzení statistik předaných členskými státy podle článku 8;

c)

technický pokrok v oblasti činností, na které se vztahuje toto nařízení, a rozsah, v jakém tento pokrok zlepšuje přesnost a snižuje počet a míru chyb (falešné pozitivní nálezy).

Článek 10

Vstup v platnost a použitelnost

Toto nařízení vstupuje v platnost třetím dnem po vyhlášení v Úředním věstníku Evropské unie.

Použije se do 3. srpna 2024.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 14. července 2021.

Za Evropský parliament

Předseda

D. M. SASSOLI

Za Radu

předseda

A. LOGAR


(1)  Úř. věst. C 10, 11.1.2021, s. 63.

(2)  Postoj Evropského parlamentu ze dne 6. července 2021 (dosud nezveřejněno v Úředním věstníku) a rozhodnutí Rady ze dne 12. července 2021.

(3)  Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(4)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(5)  Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice) (Úř. věst. L 108, 24.4.2002, s. 33).

(6)  Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (Úř. věst. L 321, 17.12.2018, s. 36).

(7)  Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).

(8)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).


© Evropská unie, https://eur-lex.europa.eu/ , 1998-2022
Zavřít
MENU