EVROPSKÁ KOMISE
V Lucemburku dne 24.6.2020
COM(2020) 264 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů
{SWD(2020) 115 final}
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů
1Pravidla ochrany údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci
Toto je první zpráva o hodnocení a posouzení obecného nařízení o ochraně osobních údajů (dále jen „nařízení GDPR“), zejména o uplatňování a fungování pravidel předávání osobních údajů do třetích zemí a mezinárodním organizacím a pravidel týkajících se spolupráce a soudržnosti podle čl. 97 nařízení GDPR.
Nařízení GDPR, které je v platnosti od 25. května 2018, je ústředním prvkem rámce EU zaručujícího základní práva na ochranu osobních údajů, jak je zakotveno v Listině základních práv Evropské unie (čl. 8) a ve Smlouvách (čl. 16 Smlouvy o fungování Evropské unie, dále jen „SFEU“). Nařízení GDPR posílilo záruky na ochranu osobních údajů, poskytuje jednotlivcům další a silnější práva, zvýšilo transparentnost a zajišťuje, aby všechny osoby, které pracují s osobními údaji, jež spadají do oblasti působnosti nařízení, byly více právně odpovědné a zodpovědné. Poskytuje nezávislým úřadům pro ochranu osobních údajů silnější a harmonizované donucovací pravomoci a zavádí nový systém správy a řízení. Vytváří rovněž rovné podmínky pro všechny společnosti působící na trhu EU bez ohledu na to, kde mají sídlo, a zajišťuje volný tok údajů v rámci EU, čímž posiluje vnitřní trh.
Nařízení GDPR je důležitou součástí přístupu k technologiím zaměřeným na člověka a je kompasem při používání dvojice zelené a digitální transformace, které jsou charakteristické pro tvorbu politik EU. Tato skutečnost byla nedávno zdůrazněna v Bílé knize o umělé inteligenci
a ve sdělení o evropské strategii pro data
(dále jen „datová strategie“) z února 2020.
V hospodářství, které je stále více založeno na zpracovávání údajů, včetně osobních údajů, je nařízení GDPR základním nástrojem k zajištění lepší kontroly jednotlivců nad jejich osobními údaji a nad zpracováním těchto údajů k legitimním účelům, a to zákonným, jasným a transparentním způsobem. Nařízení GDPR zároveň pomáhá podporovat důvěryhodné inovace zejména prostřednictvím přístupu založeného na posouzení rizik a zásad, jako je ochrana soukromí již ve fázi návrhu. Komise navrhla doplnit legislativní rámec ochrany údajů a soukromí
prostřednictvím nařízení o soukromí a elektronických komunikacích
, které má nahradit stávající směrnici o soukromí a elektronických komunikacích
. Tento návrh je v současné době projednáván spolunormotvůrci a je velmi důležité zajistit jeho rychlé přijetí.
Jako součást klíčových priorit Komise, jimiž jsou „Evropa připravená na digitální věk“ a „Zelená dohoda pro Evropu“ mohou být vyvinuty nové iniciativy s cílem posílit postavení občanů, aby mohli hrát aktivnější úlohu v digitální transformaci, a lépe využít digitální nástroje k dosažení cílů klimaticky neutrální společnosti a udržitelnějšího rozvoje. Nařízení GDPR stanovuje pro tyto iniciativy rámec a zajišťuje, aby byly koncipovány k účinnému posílení postavení jednotlivců.
Datová strategie vyzývá k vytvoření „jednotného evropského datového prostoru“, skutečného jednotného trhu s údaji i deseti sektorových společných evropských datových prostorů relevantních pro dvojici zelené a digitální transformace. Pro všechny tyto priority je klíčový jasný a proveditelný rámec bezpečného sdílení údajů a zvýšení dostupnosti dat. Strategie pro data také oznámila záměr Komise prozkoumat v budoucích právních předpisech způsoby jak umožnit používání údajů uchovávaných ve veřejných databázích k účelům vědeckého výzkumu, a to způsobem, který by byl v souladu s nařízením GDPR. Datové prostory mají být podporovány federací evropských cloudových služeb, které zajišťují zpracování osobních údajů a služby cloudové infrastruktury v souladu s nařízením GDPR. Nařízení GDPR zajišťuje vysokou úroveň ochrany osobních údajů a ústřední úlohu pro jednotlivce ve všech těchto datových prostorech a zároveň poskytuje pro různé přístupy nezbytnou flexibilitu.
Potřeba zajistit důvěru a poptávka po ochraně osobních údajů se rozhodně neomezují na EU. Jednotlivci po celém světě stále více oceňují soukromí a bezpečnost svých údajů. Jak vyplývá z nedávného globálního průzkumu, domnívají se, že je to důležitý faktor, který ovlivňuje jejich rozhodování o nákupech a chování na internetu. Rostoucí počet společností na tuto poptávku po ochraně soukromí reaguje zejména tím, že dobrovolně rozšiřuje některá práva a záruky stanovené v nařízení GDPR i na zákazníky sídlící mimo EU. Mnoho podniků rovněž propaguje respektování osobních údajů jakožto konkurenční výhodu a obchodní přínos v rámci celosvětového trhu tím, že nabízí inovativní produkty a služby s novými řešeními v oblasti ochrany soukromí a bezpečnosti údajů. To, že jsou aktéři ze soukromého a veřejného sektoru ve větší míře schopni shromažďovat a zpracovávat údaje ve velkém měřítku, vyvolává navíc důležité a složité otázky, které staví téma ochrany soukromí stále více do centra veřejné diskuse v různých částech světa.
Přijetí nařízení GDPR podnítilo další země v mnoha regionech světa, aby následovaly tento příklad. Jedná se o vskutku globální trend, který se uplatňuje od Chile po Jižní Koreu, od Brazílie po Japonsko, od Keni po Indii a od Kalifornie po Indonésii. Vedoucí úloha EU v oblasti ochrany osobních údajů ukazuje, že EU může jednat jako tvůrce globálních standardů pro regulaci digitální ekonomiky a že je vítána důležitými hlasy mezinárodního společenství, jako je generální tajemník OSN António Guterres, který poukázal na to, jak nařízení GDPR „vytváří příklad pro ostatní [...] inspiruje podobná opatření jinde“ a „naléhavě vyzval EU a její členské státy, aby i nadále stály na pozici lídra při utváření podoby digitálního věku a aby stály inovací a regulací na poli technologií“.
Současná krize v důsledku pandemie COVID-19 nabízí názorný příklad toho, jak se globalizuje debata o ochraně soukromí během krize i v situaci, kdy se se z této krize celý svět snaží vzchopit. V EU přijalo několik členských států mimořádná opatření na ochranu veřejného zdraví. V nařízení GDPR je jasně stanoveno, že každé omezení musí respektovat podstatu základních lidských práv a svobod a musí být v demokratické společnosti nutným a přiměřeným opatřením na ochranu veřejného zájmu, jakým je veřejné zdraví. S postupným rušením opatření proti šíření nákazy je třeba, aby subjekty s rozhodovací pravomocí zohlednily očekávání občanů v to, že jim budou nabídnuta digitální řešení, která jsou důvěryhodná a respektují právo na soukromí a ochranu osobních údajů.
V mnoha zemích se zavedená ochrana soukromí typu dobrovolné registrace uživatelů, minimalizace údajů a bezpečnosti či vyloučení geolokalizace považuje za zásadní prvek zajištění spolehlivosti a společenské přijatelnosti řešení, která se zakládají na využívání dat, zaměřených na sledování a omezování šíření viru, kalibrace protiopatření ve veřejné politice, pomoc pacientům nebo provádění výstupních strategií. V EU se ukázalo, že právní rámec ochrany osobních údajů a soukromí je dostatečně pružným nástrojem, který umožňuje vypracovat praktická řešení (např. aplikace pro sledování) a zároveň zajistit vysokou úroveň ochrany osobních údajů. V této souvislosti vydala Komise dne 16. dubna 2020 pokyny k aplikacím na podporu boje proti pandemii ve vztahu k ochraně osobních údajů.
Ochrana osobních údajů je rovněž prostředkem k předcházení manipulaci s rozhodováním občanů, zejména prostřednictvím mikrocílení („micro-targeting“) na voliče využívajícího nezákonné zpracování osobních údajů, k zabránění zásahům do demokratických procesů a zachování otevřené diskuse, spravedlnosti a transparentnosti, které jsou v demokracii zásadní. Z tohoto důvodu Komise v září 2018 zveřejnila své pokyny k uplatňování práva Unie o ochraně údajů ve volebním kontextu.
Při tomto hodnocení a přezkumu Komise zohlednila příspěvky Rady, Evropského parlamentu, Evropského sboru pro ochranu osobních údajů (dále jen „sbor“) a jednotlivých orgánů pro ochranu osobních údajů, expertní skupiny více zúčastněných stran a dalších zúčastněných stran, a to i prostřednictvím zpětné vazby poskytnuté k plánu
Obecně převládá názor je, že nařízení GDPR dva roky poté, co začalo platit, úspěšně splnilo své cíle zaměřené na posílení ochrany práva jednotlivců na ochranu osobních údajů a zajistilo volný tok osobních údajů v rámci EU. Byla však rovněž zjištěna řada oblastí pro budoucí zlepšení. Komise se stejně jako většina zúčastněných stran a úřadů pro ochranu osobních údajů domnívá, že by v této fázi bylo předčasné vyvozovat konečné závěry ohledně uplatňování nařízení GDPR Je pravděpodobné, že při řešení většiny otázek, které členské státy a zúčastněné strany identifikovaly, pomohou zkušenosti s uplatňováním nařízení GDPR v nadcházejících letech. Tato zpráva nicméně upozorňuje na problémy, které se dosud vyskytly při uplatňování nařízení GDPR, a uvádí možné způsoby, jak je řešit.
I přes svůj důraz na dvě otázky, na něž se upozorňuje v čl. 97 odst. 2 nařízení GDPR, konkrétně na otázku mezinárodního předávání a otázku mechanismů spolupráce a jednotnosti, zaujímají toto hodnocení a přezkum širší přístup, který se zabývá rovněž otázkami, které během posledních dvou let vznesli různí aktéři.
2hlavní zjištění
Prosazování nařízení GDPR a fungování mechanismů spolupráce a jednotnosti
Nařízení GDPR zavedlo inovativní systém správy a řízení založený na nezávislých úřadech pro ochranu osobních údajů v členských státech a jejich spolupráci v přeshraničních případech a v rámci Evropského sboru pro ochranu osobních údajů („sbor“). Panuje obecný názor, že úřady pro ochranu osobních údajů vyváženě využily svých posílených nápravných pravomocí, včetně varování a udělení důtek, pokut a dočasných nebo konečných omezení zpracování osobních údajů. Komise poznamenává, že úřady použily správní pokuty v rozmezí od několika tisíc eur až do několika milionů eur v závislosti na závažnosti protiprávního jednání. Jiné sankce, jako je zákaz zpracování osobních údajů, mohou mít stejný, ne-li vyšší odrazující účinek než pokuty. Konečným cílem nařízení GDPR je změnit kulturu a chování všech zúčastněných aktérů ve prospěch jednotlivců. Podrobnější informace o využívání nápravných pravomocí ze strany úřadů pro ochranu osobních údajů jsou uvedeny v průvodním pracovním dokumentu útvarů Komise.
Je sice ještě brzy na úplné posouzení toho, jak fungují nové mechanismy spolupráce a jednotnosti, úřady pro ochranu osobních údajů ale již navázaly spolupráci prostřednictvím mechanismu jednotného kontaktního místa a prostřednictvím velkého využívání vzájemné pomoci. Při rozhodování o mnoha přeshraničních případech se používá mechanismus jednotného kontaktního místa, který je klíčovým aktivem vnitřního trhu. V současné době se očekávají důležitá rozhodnutí s přeshraničním rozměrem, která budou mechanismu jednotného kontaktního místa podléhat. Tato rozhodnutí, která se často týkají velkých nadnárodních technologických společností, budou mít značný dopad na práva jednotlivců v mnoha členských státech.
Vytváření skutečně společné evropské kultury ochrany osobních údajů mezi úřady pro ochranu údajů stále probíhá. Úřady pro ochranu osobních údajů dosud plně nevyužily nástrojů nařízení GDPR, jako jsou společné operace, které by mohly vést ke společným vyšetřováním. Nalézt společný přístup někdy znamenalo sestoupit k nejnižšímu společnému jmenovateli, v důsledku čehož nebyly využity příležitosti k posílení harmonizace.
Je třeba dosáhnout dalšího pokroku, aby se vyřizování přeshraničních případů zefektivnilo a harmonizovalo v celé EU, a to i z procesního hlediska, například pokud jde o vyřizování stížností, kritéria přípustnosti stížností, délku řízení z důvodu různých časových rámců nebo neexistence lhůt v rámci vnitrostátního správního práva procesního, okamžik řízení, kdy je přiznáno právo být vyslechnut, nebo informace a zapojení stěžovatelů v průběhu řízení. Proces úvah, který sbor v souvislosti s tímto procesem zahájil, je vítán a Komise se těchto jednání účastní.
Činnosti a pokyny sboru mají klíčový význam pro konzistentní další rozvoj výměn mezi sborem a zúčastněnými stranami. Ke konci roku 2019 přijal výbor 67 dokumentů včetně 10 nových pokynů a 43 stanovisek. Zúčastněné strany pokyny sboru obecně vítají a požadují další pokyny ohledně klíčových konceptů nařízení GDPR, ale poukazují rovněž na nesrovnalosti mezi vnitrostátními pokyny a pokyny sboru. Zdůrazňují potřebu praktičtějšího poradenství, zejména konkrétnějších příkladů, a potřebu vybavit úřady pro ochranu osobních údajů nezbytnými lidskými, technickými a finančními zdroji, aby mohly účinně plnit své úkoly.
Komise soustavně zdůrazňovala povinnost členských států vyčlenit na vnitrostátní úřady pro ochranu osobních údajů dostatečné lidské, finanční a technické zdroje. Většina úřadů měla prospěch z navýšení počtu zaměstnanců a rozpočtu mezi lety 2016 a 2019, přičemž největší relativní zvýšení počtu zaměstnanců využily irské, nizozemské, islandské, lucemburské a finské úřady. Vzhledem k tomu, že největší nadnárodní technologické společnosti mají sídlo v Irsku a Lucembursku, jednají úřady pro ochranu osobních údajů těchto zemí jako vedoucí úřady v mnoha významných přeshraničních případech a je možné, že budou potřebovat větší zdroje, než by odpovídalo jejich počtu obyvatel. Situace je však mezi členskými státy stále nerovnoměrná a celkově není uspokojivá. Úřady pro ochranu osobních údajů hrají zásadní úlohu při zajišťování, aby bylo nařízení GDPR prosazováno na vnitrostátní úrovni a aby mechanismy spolupráce a jednotnosti v rámci funkcí sboru účinně fungovaly, a to konkrétně i mechanismus jednotného kontaktního místa pro přeshraniční případy. Členské státy se proto vyzývají, aby těmto úřadům poskytly odpovídající zdroje, jak vyžaduje nařízení GDPR.
Pravidla jsou harmonizována, ale stále přetrvává jistá roztříštěnost a odlišné přístupy
Komise sleduje provádění nařízení GDPR ve vnitrostátních právních předpisech. V době vypracování této zprávy přijaly všechny členské státy s výjimkou Slovinska nové právní předpisy nebo upravily své vnitrostátní právo v oblasti ochrany osobních údajů. Slovinsko bylo požádáno, aby Komisi poskytlo objasnění k dokončení tohoto procesu.
Nařízení GDPR stanoví jednotný přístup k pravidlům ochrany osobních údajů v celé EU. Vyžaduje však, aby členské státy v některých oblastechpřijaly právní předpisy, a v jiných oblastech jim dává možnost nařízení GDPR dále specifikovat . V důsledku toho přetrvává určitá míra roztříštěnosti, která je způsobena zejména rozsáhlým používáním volitelných doložek o specifikacích. Například rozdíl mezi členskými státy v určení věku dětí, pokud jde o souhlas s poskytováním služeb informační společnosti, vytváří pro děti a jejich rodiče nejistotu, pokud jde o uplatňování jejich práv na ochranu osobních údajů na jednotném trhu. Tato roztříštěnost také vyvolává problémy při přeshraničním podnikání, v inovacích, zejména pokud jde o nový technologický rozvoj a řešení v oblasti kybernetické bezpečnosti. V zájmu efektivního fungování vnitřního trhu a zamezení zbytečné zátěži pro společnosti je rovněž nezbytné, aby vnitrostátní právní předpisy nepřekračovaly meze stanovené v nařízení GDPR nebo zavedly další požadavky, pokud není stanovena žádná mez.
Konkrétní výzvou pro vnitrostátní právní předpisy je sladění práva na ochranu osobních údajů se svobodou projevu a informací a zajištění řádného vyvážení těchto práv. Některé vnitrostátní právní předpisy stanoví zásadu přednosti svobody projevu, zatímco jiné stanoví přednost ochrany osobních údajů a výjimky z uplatňování pravidel ochrany osobních údajů používají pouze ve specifických situacích, např. v případě, kdy se jedná o osobu s veřejným postavením. A konečně jiné členské státy stanoví určité vyvážení ze strany zákonodárce a/nebo posouzení jednotlivých případů, pokud jde o odchylky od některých ustanovení nařízení GDPR.
Komise bude ve svém hodnocení vnitrostátních právních předpisů pokračovat. Sladění musí být stanoveno zákonem, musí respektovat podstatu těchto základních práv a musí být přiměřené a nezbytné. Pravidla ochrany osobních údajů (jakož i jejich výklad a uplatňování) by neměla ovlivnit uplatňování svobody projevu a informací například tím, že se vytvoří odrazující účinek nebo tlak na novináře, aby zveřejňovali své zdroje. Vyvážení těchto dvou práv ve vnitrostátních právních předpisech by mělo být upraveno judikaturou Soudního dvora a Evropského soudu pro lidská práva.
Právní předpisy členských států uplatňují při provádění odchylek od obecného zákazu zpracování zvláštních kategorií osobních údajů různé přístupy, pokud jde o úroveň specifikace a záruk, včetně účelů ochrany zdraví a výzkumu. V zájmu řešení tohoto problému Komise nejprve zmapuje různé přístupy členských států a následně podpoří zavedení kodexu (kodexů) chování, který by přispěl k jednotnějšímu přístupu v této oblasti a usnadnil přeshraniční zpracování osobních údajů. Harmonizovaný přístup navíc podpoří budoucí pokyny sboru týkající se používání osobních údajů v oblasti vědeckého výzkumu. Komise bude sboru poskytovat informace zejména v souvislosti s výzkumem v oblasti zdraví, a to i formou konkrétních otázek a analýz specifických scénářů, které obdržela od výzkumné obce.
Posílení postavení jednotlivců, aby měli pod kontrolou své osobní údaje
Podle průzkumu základních práv slyšelo o nařízení GDPR 69 % obyvatel EU starších 16 let a 71 % lidí v EU ví o svém vnitrostátním úřadu pro ochranu osobních údajů.
Jednotlivci si stále více uvědomují svá práva: práva na přístup, opravu, výmaz a přenositelnost svých osobních údajů, právo vznést námitku proti zpracování, jakož i práva na zvýšenou transparentnost. Nařízení GDPR posílilo procesní práva zahrnující právo podat stížnost u úřadu pro ochranu osobních údajů, a to i prostřednictvím zástupných žalob, a právo na soudní ochranu. Jednotlivci tato práva stále více využívají, je však třeba usnadnit jejich výkon a jejich plné prosazování. Úvahy vedené sborem vyjasní a dále usnadní výkon práv jednotlivců, zatímco navrhovaná směrnice o zástupných žalobách by měla jednotlivcům umožnit podávat hromadné žaloby ve všech členských státech a sníží náklady na přeshraniční činnosti.
Právo na přenositelnost údajů má jasný potenciál, který dosud není plně využíván, aby se jednotlivci dostali do centra datové ekonomiky, a to tak, že budou mít možnost přecházet mezi různými poskytovateli služeb, kombinovat různé služby, využívat jiné inovativní služby a zvolit si služby, které nejvíce respektují ochranu osobních údajů. To nepřímo podpoří hospodářskou soutěž a inovace. Uvolnění tohoto potenciálu je jednou z priorit Komise, a to zejména vzhledem k tomu, že rostoucí využívání zařízení „internetu věcí“ generuje stále více údajů ze strany spotřebitelů, kterým hrozí, že se budou čelit nekalým praktikám a účinkům blokování výběru („lock-in“). Přenositelnost by mohla přinést významné výhody, pokud jde o zdraví a wellness, sníženou ekologickou stopu a přístup k veřejným a soukromým službám, vyšší produktivitu ve výrobě a vyšší kvalitu a bezpečnost výrobků.
V datové strategii byla zdůrazněna potřeba řešit obtíže, jako je nedostatek standardů umožňujících poskytování údajů ve strojově čitelném formátu, aby se zvýšilo účinné využívání práva na přenositelnost údajů, které je v současné době omezeno na několik málo odvětví (např. bankovnictví a telekomunikace). Toho by mohlo být dosaženo zejména prostřednictvím navržení vhodných nástrojů, standardizovaného formátu a rozhraní. Tohoto zvýšeného využívání by mohlo být dosaženo zejména zavedením technických rozhraní a strojově čitelných formátů umožňujících přenositelnost dat v reálném čase. Častější využívání práva na přenositelnost by mohlo mimo jiné usnadnit jednotlivcům možnost využití jejich údajů pro veřejné blaho (například podpora výzkumu v oblasti zdravotnictví), pokud si to přejí („datový altruismus“). Při přípravě balíčku předpisů o digitálních službách Komise šířeji prozkoumá úlohu údajů a postupů souvisejících s údaji v ekosystému platforem.
Příležitosti a výzvy pro organizace, zejména malé a střední podniky
Nařízení GDPR společně s nařízením o volném toku neosobních údajů nabízí společnostem příležitosti tím, že podporují hospodářskou soutěž a inovace, zajišťují volný tok údajů v rámci EU a vytvářejí rovné podmínky se společnostmi se sídlem mimo EU. Právo na přenositelnost se ve spojení s rostoucím počtem osob, které hledají řešení, jež jsou příznivější pro ochranu soukromí, má potenciál snížit překážky vstupu na trh pro podniky a otevřít možnosti růstu na základě důvěry a inovací. Některé zúčastněné strany uvádějí, že uplatňování nařízení GDPR je náročné zejména pro malé a střední podniky (MSP). V souladu s přístupem založeným na rizicích by nebylo vhodné stanovit odchylky na základě velikosti provozovatelů, protože jejich velikost není sama o sobě ukazatelem rizik, které může pro jednotlivce představovat zpracování osobních údajů prováděné společností. Některé úřady pro ochranu osobních údajů však poskytly praktické nástroje usnadňující provádění nařízení GDPR malými a středními podniky s nízkorizikovými činnostmi zpracování. Toto úsilí je třeba zintenzívnit a rozšířit nejlépe v rámci společného evropského přístupu, aby se nevytvářely překážky fungování jednotného trhu.
Úřady pro ochranu údajů vyvinuly řadu činností na pomoc malým a středním podnikům v souladu s obecným nařízením o ochraně osobních údajů, například poskytnutím šablon ke zpracování smluv a záznamů o zpracování, seminářů a telefonních linek pro konzultace. Řada těchto iniciativ využila financování EU. Měly by být zváženy další činnosti usnadňující použití nařízení GDPR pro malé a střední podniky.
Nařízení GDPR dává všem typům společností a organizací k dispozici sadu nástrojů, které jim mají pomoci prokázat dodržování předpisů, jako jsou kodexy chování, mechanismy vydávání osvědčení a standardní smluvní doložky. Tato sada nástrojů by měla být použita v plném rozsahu. Malé a střední podniky zdůrazňují zejména význam a užitečnost kodexů chování, které jsou přizpůsobeny jejich situaci a nepředstavují nepřiměřené náklady. Pokud jde o systémy certifikace, jsou bezpečnost (včetně kybernetické bezpečnosti) a ochrana údajů již od návrhu klíčovými prvky, které je třeba zohlednit v rámci nařízení GDPR, a těží ze společného a ambiciózního přístupu v celé EU. Komise v současné době pracuje na standardních smluvních doložkách mezi správci a zpracovateli údajů, přičemž vychází z probíhající práce na modernizaci standardních smluvních doložek pro mezinárodní předávání.
Použití nařízení GDPR na nové technologie
Nařízení GDPR, které bylo formulováno technologicky neutrálním způsobem, je založeno na zásadách, a je proto koncipováno tak, aby zahrnovalo vyvíjející se nové technologie.
Je považováno za nezbytný a pružný nástroj k zajištění, aby byl vývoj nových technologií v souladu se základními právy. Právní rámec pro ochranu osobních údajů a ochranu soukromí prokázal svou důležitost a pružnost během krize COVID-19, zejména pokud jde o návrh aplikací pro sledování a další technologická řešení v boji proti pandemii. Úkolem bude nyní vyjasnit, jak se osvědčené zásady uplatní na konkrétní technologie, jako je umělá inteligence, technologie blockchain, internet věcí nebo rozpoznávání obličeje, které vyžadují průběžné monitorování. Například Bílá kniha Komise o umělé inteligenci zahájila veřejnou diskusi o případných zvláštních okolnostech, které by mohly odůvodnit využití umělé inteligence k účelům vzdálené biometrické identifikace na veřejných místech (např. rozpoznávání obličeje) a společné záruky. V tomto ohledu by orgány pro ochranu osobních údajů měly být připraveny provázet procesy technického návrhu již v rané fázi.
Významným prvkem ochrany jednotlivců je navíc silné a účinné prosazování nařízení GDPR ve vztahu k velkým digitálním platformám a integrovaným společnostem, a to i v oblastech, jako je reklama na internetu a mikrocílení.
Vývoj moderní sady nástrojů pro předávání údajů
Nařízení GDPR nabízí modernizovanou sadu nástrojů k usnadnění předávání osobních údajů z EU do třetí země nebo mezinárodní organizaci a zároveň zajišťuje, aby údaje i nadále požívaly vysoké úrovně ochrany. V posledních dvou letech Komise zintenzivnila svou činnost za účelem využití plného potenciálu nástrojů v rámci nařízení GDPR.
Patřilo tam i aktivní zapojení klíčových partnerů s cílem dosáhnout „rozhodnutí o odpovídající ochraně“. Účinkem takového rozhodnutí je umožnit bezpečný a volný tok osobních údajů do dotčené třetí země, aniž by vývozce údajů musel poskytovat další záruky nebo získat jakékoli povolení. Zejména rozhodnutí o vzájemné odpovídající ochraně mezi EU a Japonskem, která vstoupila v platnost v únoru 2019, vytvořila největší oblast volného a bezpečného toku údajů na světě. V pokročilé fázi je také proces o odpovídající ochraně s Korejskou republikou a probíhají průzkumné rozhovory s dalšími důležitými partnery v Asii a Latinské Americe.
Odpovídající ochrana rovněž hraje důležitou úlohu v souvislosti s budoucími vztahy se Spojeným královstvím za předpokladu, že budou splněny příslušné podmínky. Představuje podpůrný faktor pro obchod, včetně digitálního obchodu, a zásadní předpoklad pro úzkou a náročnou spolupráci v oblasti prosazování práva a bezpečnosti. Vysoký stupeň sbližování v oblasti ochrany osobních údajů je navíc důležitým prvkem zajištění rovných podmínek mezi dvěma tak úzce integrovanými ekonomikami. V souladu s politickým prohlášením o budoucím vztahu mezi EU a Spojeným královstvím provádí Komise v současné době posouzení odpovídající ochrany jak podle nařízení GDPR, tak podle směrnice o prosazování práva.
V rámci prvního hodnocení nařízení GDPR se od Komise rovněž požaduje přezkoumat rozhodnutí o odpovídající ochraně, která byla přijata podle dřívějších pravidel. Útvary Komise zahájily s každou z 11 dotčených třetích zemí a území intenzivní dialog s cílem posoudit, jak se jejich systémy ochrany osobních údajů vyvinuly od přijetí rozhodnutí o odpovídající ochraně a zda splňují standard stanovený v nařízení GDPR. Potřeba zajistit kontinuitu takových rozhodnutí jakožto klíčového nástroje pro obchod a mezinárodní spolupráci je jedním z faktorů, který podnítil některé z těchto zemí a území k modernizaci a posílení jejich práva v oblasti ochrany soukromí. S některými z těchto zemí a území jsou projednávány další bezpečnostní záruky, které řeší příslušné rozdíly v ochraně. Ale vzhledem k tomu, že Soudní dvůr v rozsudku, který má být vynesen dne 16. července, může poskytnout vysvětlení, která by mohla být relevantní pro některé prvky ochrany odpovídající standardu, podá Komise zprávu o hodnocení stávajících rozhodnutí o odpovídající ochraně odděleně poté, co Soudní dvůr vynese v této věci rozsudek.
Kromě své činnosti zaměřené na odpovídající ochranu pracuje Komise na komplexní modernizaci standardních smluvních doložek, aby je aktualizovala s ohledem na nové požadavky, které nařízení GDPR zavedlo. Cílem je lépe zohlednit skutečnosti operací zpracování osobních údajů v moderní digitální ekonomice a zvážit případnou potřebu dalšího vyjasnění určitých ochranných opatření, a to i s ohledem na nadcházející judikaturu Soudního dvora. Tyto doložky představují zdaleka nejpoužívanější mechanismus předávání údajů, přičemž tisíce společností z EU jich využívají k tomu, aby svým klientům, dodavatelům, partnerům a zaměstnancům poskytly širokou škálu služeb.
Sbor se rovněž aktivně podílel na rozvoji mezinárodních aspektů nařízení GDPR. Zahrnuje to aktualizaci pokynů pro stávající mechanismy předávání údajů, jako jsou závazná podniková pravidla a tzv. „odchylky“, jakož i rozvoj právní infrastruktury pro používání nových nástrojů zavedených nařízením GDPR tj. kodexy chování a vydávání osvědčení.
Aby zúčastněné strany mohly plně využívat sady nástrojů GDPR pro předávání osobních údajů, je důležité, aby sbor zintenzivnil svou probíhající práci na různých mechanismech předávání, včetně dalšího zefektivnění procesu schvalování závazných podnikových pravidel, dokončení pokynů ohledně kodexů chování a vydávání osvědčení jakožto nástrojů pro předávání a vyjasnění vzájemného vztahu mezi pravidly mezinárodního předávání údajů (kapitola V) s územní působností nařízení GDPR (čl. 3).
Dalším důležitým aspektem mezinárodního rozměru pravidel EU pro ochranu osobních údajů je rozšířená územní působnost nařízení GDPR, která se rovněž vztahuje na činnosti zpracování zahraničními subjekty, které jsou na trhu EU aktivní. Aby byl zajištěn účinný soulad s nařízením GDPR a skutečně rovné podmínky, je nezbytné, aby se toto rozšíření náležitě promítlo do prosazovacích opatření úřadů pro ochranu osobních údajů. Tato opatření by se měla případně vztahovat zejména na zástupce správce nebo zpracovatele údajů v EU, kteří mohou být obesláni vedle nebo namísto společnosti se sídlem mimo EU. Tento přístup by měl být důsledněji sledován, aby bylo možné vyslat jasný signál o tom, že neexistence provozovny v EU nezbavuje zahraniční provozovatele jejich povinností vyplývajících z nařízení GDPR.
Podpora sbližování a mezinárodní spolupráce v oblasti ochrany osobních údajů
Nařízení GDPR se již objevilo jako klíčový referenční bod na mezinárodní úrovni a působilo jako katalyzátor pro mnoho zemí na celém světě, aby zvážily zavedení moderních pravidel na ochranu soukromí. Tento trend ke sbližování na celosvětové úrovni představuje velmi pozitivní vývoj, který přináší nové příležitosti k lepší ochraně jednotlivce v EU při předávání jejich osobních údajů do zahraničí a zároveň usnadňuje toky údajů.
V návaznosti na tento trend Komise zintenzivnila svůj dialog v rámci řady dvoustranných, regionálních a mnohostranných fór s cílem podpořit celosvětovou kulturu respektování soukromí a rozvíjet prvky sbližování různých systémů ochrany soukromí. Komise se ve svém úsilí opírala a bude se i nadále opírat o aktivní podporu Evropské služby pro vnější činnost a sítě delegací EU ve třetích zemích a o diplomatické zastoupení v mezinárodních organizacích. To rovněž umožnilo větší soudržnost a doplňkovost mezi různými aspekty vnějšího rozměru politik EU – od obchodu po nové partnerství mezi EU a Afrikou. Skupiny G20 a G7 rovněž nedávno uznaly přínos ochrany osobních údajů pro důvěru v digitální ekonomiku a toky údajů zejména prostřednictvím iniciativy „Data Free Flow with Trust“ (volný tok dat s důvěrou), původně navržené japonským předsednictvím G20. Strategie v oblasti údajů zdůrazňuje záměr Komise pokračovat v podpoře sdílení osobních údajů s důvěryhodnými partnery a zároveň bojovat proti zneužívání, jako je nepřiměřený přístup (zahraničních) veřejných orgánů k osobním údajům.
Komise podporuje sbližování norem v oblasti ochrany osobních údajů na mezinárodní úrovni jako způsob, jak usnadnit toky údajů a tím i obchod, a je rovněž odhodlána řešit digitální protekcionismus, jak bylo nedávno zdůrazněno v datové strategii. Za tímto účelem vypracovala zvláštní ustanovení o tocích údajů a ochraně údajů v obchodních dohodách, které systematicky tabeluje jako dvoustranné obchodní dohody – naposledy s Austrálií, Novým Zélandem a Spojeným královstvím – a mnohostranná jednání, jako je stávající jednání o elektronickém obchodování v rámci WTO. Tato horizontální ujednání vylučují neopodstatněná omezení, například požadavky na povinnou lokalizaci údajů, a zároveň zachovávají regulační samostatnost stran při ochraně základního práva na ochranu údajů.
Proto by měly být dále prozkoumány synergie mezi obchodem a nástroji na ochranu osobních údajů, aby se zajistily bezplatné a bezpečné mezinárodní toky údajů, které jsou zásadní pro obchodní činnost, konkurenceschopnost a růst evropských společností včetně malých a středních podniků ve stále více digitalizované ekonomice.
Stejně důležité je zajistit, aby společnosti, které působí na evropském trhu, byly vyzvány na základě legitimního požadavku na sdílení údajů pro účely vymáhání práva a mohly údaje sdílet bez rizika, že budou čelit kolizi právních předpisů, a v plném souladu se základními právy EU. Ke zlepšení takových předávání údajů a zamezení kolizi norem je Komise odhodlána vyvinout, ve spolupráci se svými mezinárodními partnery, vhodné právní rámce na podporu efektivních forem spolupráce, zejména zajištěním nezbytných záruk ochrany osobních údajů, a tím přispět k účinnějšímu boji proti trestné činnosti.
V neposlední řadě by měla být ještě více posílena spolupráce „na místě“ mezi evropskými a mezinárodními regulačními orgány, a to zejména v době, kdy problémy spojené s dodržováním pravidel ochrany soukromí nebo incidenty v oblasti bezpečnosti údajů mohou mít dopad na velký počet jednotlivců současně v několika jurisdikcích. Především to vyžaduje, aby byly vytvořeny vhodné právní nástroje pro užší formy spolupráce a vzájemné pomoci, včetně nezbytné výměny informací v souvislosti s vyšetřováním. V tomto duchu Komise rovněž zřizuje akademii pro ochranu osobních údajů (Data Protection Academy), tedy platformu, kde by orgány EU a zahraniční úřady pro ochranu osobních údajů sdílely znalosti, zkušenosti a osvědčené postupy s cílem usnadnit a podpořit spolupráci donucovacích orgánů.
3Další postup
K dosažení plného potenciálu nařízení GDPR je důležité zavést harmonizovaný přístup a společnou evropskou kulturu ochrany osobních údajů a podporovat účinnější a harmonizovanější vyřizování přeshraničních případů. To představuje zásadní cíl reformy pravidel EU pro ochranu osobních údajů, který je v linii očekávání občanů i podniků. Stejně důležité je zajistit, aby všechny nástroje, které jsou k dispozici v nařízení GDPR, byly plně využívány k zajištění účinného uplatňování pro jednotlivce i podniky.
Komise bude pokračovat ve dvoustranných jednáních s členskými státy o provádění nařízení o GDPR a v případě potřeby bude i nadále využívat všechny nástroje, které má k dispozici, aby podpořila dodržování povinností členských států vyplývajících z nařízení GDPR.
Vzhledem k probíhajícímu posuzování vnitrostátních právních předpisů, krátkému období praktické zkušenosti od vstupu nařízení GDPR v platnost a ke skutečnosti, že právní předpisy pro jednotlivá odvětví jsou v mnoha členských státech stále předmětem revize, je dosud příliš brzy na to, aby bylo možné vyvodit konečné závěry o stávající míře roztříštěnosti. Pokud jde o možnou kolizi norem v důsledku toho, že členské státy provádějí specifikační doložky, je nejprve nutné lépe pochopit důsledky pro správce a zpracovatele.
V návaznosti na tyto otázky přispívá příslušná judikatura vnitrostátních soudů a Soudního dvora k vytvoření jednotného výkladu pravidel ochrany osobních údajů. Vnitrostátní soudy v nedávné době vydaly rozsudky, které ruší platnost ustanovení vnitrostátních právních předpisů, které se od nařízení GDPR odchylují.
Pokud jde o mezinárodní rozměr, Komise se bude i nadále zaměřovat na podporu sbližování pravidel ochrany osobních údajů jako způsob zajištění bezpečných toků údajů. To zahrnuje různé formy předchozí činnosti, například v kontextu probíhajících reforem nových nebo aktualizovaných právních předpisů v oblasti ochrany osobních údajů, nebo prosazování koncepce „Data Free Flow with Trust“ na mnohostranných fórech. Spadají sem rovněž různé dialogy o odpovídající ochraně a modernizaci a rozšíření našich sad nástrojů pro předávání údajů prostřednictvím aktualizace standardních smluvních doložek a položení základů mechanismům vydávání osvědčení. Tato činnost rovněž zahrnuje mezinárodní jednání, například v oblasti přeshraničního přístupu k elektronickým důkazům, aby se zajistilo předávání údajů s příslušnými zárukami v oblasti ochrany osobních údajů. Tím, že se Komise zapojí do jednání o mezinárodní spolupráci a vzájemné pomoci mezi donucovacími orgány v oblasti ochrany osobních údajů, bude usilovat o to, aby sbližování přešlo „z knih do reality“.
Na základě tohoto hodnocení uplatňování nařízení GDPR od května 2018 byla níže uvedená opatření určena jako potřebná na podporu jeho uplatňování. Komise bude sledovat jejich provádění také s ohledem na nadcházející hodnotící zprávu v roce 2024.
Provádění a doplňování právního rámce
Členské státy by měly
-dokončit harmonizaci svých odvětvových právních předpisů s nařízením GDPR;
-zvážit omezení používání specifikačních doložek, které by mohly vést k roztříštěnosti a ohrozit volný tok údajů v rámci EU;
-posoudit, zda jsou vnitrostátní právní předpisy, kterými se nařízení GDPR provádí, za všech okolností v rámci mezí stanovených v právních předpisech členských států.
Komise bude:
-pokračovat ve dvoustranných jednáních s členskými státy ohledně souladu vnitrostátních právních předpisů s nařízením GDPR včetně nezávislosti a zdrojů vnitrostátních úřadů pro ochranu osobních údajů; využívat veškeré nástroje, které má k dispozici, včetně řízení o porušení povinnosti, aby bylo zajištěno dodržování nařízení GDPR členskými státy;
-podporovat další jednání a vnitrostátní postupy mezi členskými státy v otázkách, které jsou předmětem další specifikace na vnitrostátní úrovni, a snižovat tak úroveň roztříštěnosti jednotného trhu, jako je zpracování osobních údajů týkajících se zdraví a výzkumu nebo které jsou předmětem vyvažování s jinými právy, jako je svoboda projevu;
-podporovat jednotné uplatňování rámce pro ochranu osobních údajů ve vztahu k novým technologiím na podporu inovací a technologického vývoje;
-používat expertní skupinu členských států pro GDPR (zřízenou během přechodné fáze před zavedením nařízení GDPR) k usnadnění diskusí a sdílení zkušeností mezi členskými státy a Komisí;
-zkoumat, zda by s ohledem na další zkušenosti a příslušnou judikaturu bylo vhodné navrhnout možné budoucí cílené změny některých ustanovení nařízení GDPR, zejména pokud jde o záznamy zpracování ze strany malých a středních podniků, které nemají zpracování osobních údajů za svou hlavní podnikatelskou činnost (nízké riziko), a možnou harmonizaci věku dětí, pokud jde o souhlas s poskytováním služeb informační společnosti.
Využití celého potenciálu nového systému správy a řízení
Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:
-rozvíjely účinná ujednání mezi úřady pro ochranu osobních údajů, pokud jde o fungování mechanismů spolupráce a jednotnosti, a to i pokud jde o procedurální aspekty, s využitím odborných znalostí jeho členů a posílením zapojení jeho sekretariátu;
-podporovaly harmonizaci při uplatňování a prosazování nařízení GDPR za použití všech prostředků, které mají k dispozici, včetně dalšího vyjasnění klíčových pojmů nařízení GDPR a zajištění toho, aby vnitrostátní pokyny byly plně v souladu s pokyny přijatými sborem;
-podporovaly používání všech nástrojů stanovených v nařízení GDPR, aby se zajistilo jednotné uplatňování tohoto nařízení;
-posílily spolupráci mezi úřady pro ochranu osobních údajů, například prováděním společných šetření.
Komise bude:
-nadále pečlivě sledovat účinnou a úplnou nezávislost vnitrostátních úřadů pro ochranu osobních údajů;
-podporovat spolupráci mezi regulačními orgány (zejména v oblastech, jako je hospodářská soutěž, elektronické komunikace, bezpečnost sítí a informačních systémů a spotřebitelská politika);
-podporovat úvahy v rámci sboru o postupech uplatňovaných vnitrostátními úřady pro ochranu osobních údajů s cílem zlepšit spolupráci v přeshraničních případech.
Členské státy:
-budou úřadům pro ochranu osobních údajů přidělovat prostředky, které jsou dostatečné k plnění jejich úkolů.
Podpora zúčastněných stran
Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:
-přijaly další praktické, snadno srozumitelné pokyny, které poskytnou jasné odpovědi a zamezí nejasnostem v otázkách týkajících se uplatňování nařízení GDPR například ohledně zpracování údajů dětí a práv údajů subjektu, včetně výkonu práva na přístup a práva na výmaz, a v tomto procesu konzultoval se zúčastněnými stranami;
-přezkoumaly pokyny, pokud jsou nezbytná další upřesnění na základě zkušeností a vývoje, včetně judikatury Soudního dvora;
-vyvinuly praktické nástroje, jako jsou harmonizované formuláře pro porušení ochrany osobních údajů a zjednodušené záznamy o činnostech zpracování údajů, které malým a středním podnikům pomohou splnit jejich povinnosti.
Komise bude:
-poskytovat standardní smluvní doložky jak pro mezinárodní předávání, tak pro správce/zpracovatele;
-poskytovat nástroje objasňující/podporující uplatňování pravidel ochrany osobních údajů u dětí
;
-v souladu s datovou strategií zkoumat praktické prostředky, jak usnadnit větší využívání práva na přenositelnost ze strany jednotlivců, jako například jim umožní větší kontrolu nad tím, kdo může získávat a používat strojově generované údaje;
-podporovat standardizaci/vydávání osvědčení zejména v otázkách kybernetické bezpečnosti prostřednictvím spolupráce mezi Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA), úřady pro ochranu osobních údajů a sborem;
-v případě potřeby využívat svého práva požádat sbor o vypracování pokynů a stanovisek ke konkrétním otázkám, které budou pro zúčastněné strany důležité;
-v případě potřeby poskytovat pokyny, přičemž bude plně respektovat úlohy sboru;
-podporovat činnosti úřadů pro ochranu osobních údajů, které napomáhají při provádění plnění povinností malých a středních podniků při zavádění nařízení GDPR prostřednictvím finanční podpory zejména na praktické vedení a digitální nástroje, které lze replikovat v jiných členských státech.
Pobídky k inovacím
Komise bude:
-sledovat uplatňování nařízení GDPR na nové technologie, a to i s ohledem na možné budoucí iniciativy v oblasti umělé inteligence a v rámci datové strategie;
-podporovat, a to i prostřednictvím finanční podpory, vypracovávání kodexů chování EU v oblasti zdraví a výzkumu;
-pozorně sledovat vývoj a používání aplikací v kontextu pandemie COVID-19.
Sbor se vyzývá, aby:
-vydával pokyny k uplatňování nařízení GDPR v oblasti vědeckého výzkumu, umělé inteligence, technologie blockchain a dalšího technologického vývoje;
-přezkoumal pokyny, pokud jsou nezbytná další upřesnění na základě technologického vývoje.
Další rozvoj sady nástrojů pro předávání údajů
Komise bude:
-pokračovat v dialogu o odpovídající ochraně se třetími zeměmi, které o to projeví zájem, v souladu se strategií stanovenou ve sdělení z roku 2017 nazvaném „Výměna a ochrana osobních údajů v globalizovaném světě“, pokud možno včetně zahrnutí předávání údajů donucovacím orgánům (podle směrnice o prosazování práva) a jiným orgánů veřejné moci; to zahrnuje dokončení procesu o odpovídající ochraně s Korejskou republikou co nejdříve;
-dokončovat probíhající hodnocení stávajících rozhodnutí o odpovídající ochraně a podá zprávu Evropskému parlamentu a Radě;
-dokončovat práci na modernizaci standardních smluvních doložek s cílem aktualizovat je s ohledem na nařízení GDPR, přičemž budou zahrnuty všechny relevantní scénáře předávání údajů a lépe zohledněny moderní obchodní postupy.
Sbor se vyzývá, aby:
-dále vyjasnil vzájemný vztah mezi pravidly pro mezinárodní předávání údajů (kapitola V) s územním rozsahem působnosti GDPR (čl. 3);
-zajistil účinné prosazování vůči provozovatelům se sídlem ve třetích zemích, které spadají do územní působnosti nařízení GDPR, včetně případného jmenování zástupce (čl. 27);
-zjednodušil posuzování a případné schválení závazných podnikových pravidel s cílem urychlit tento proces;
-dokončil práci na architektuře, postupech a hodnotících kritériích pro kodexy chování a mechanismy pro vydávání osvědčení jako nástroje pro předávání údajů.
Podpora sbližování a rozvoj mezinárodní spolupráce
Komise bude:
-podporovat probíhající reformní procesy ve třetích zemích týkající se nových nebo modernizovaných pravidel ochrany osobních údajů sdílením zkušeností a osvědčených postupů;
-spolupracovat s africkými partnery na podpoře sbližování právních předpisů a podporovat budování kapacit orgánů dohledu jako součást digitální kapitoly nového partnerství mezi EU a Afrikou;
-posuzovat možnosti usnadnění spolupráce mezi soukromými provozovateli a donucovacími orgány zejména včetně vyjednání dvoustranných a mnohostranných rámců pro předávání údajů v souvislosti s přístupem zahraničních donucovacích orgánů k elektronickým důkazům, aby se zabránilo konfliktům při současném zajištění vhodných záruk ochrany údajů;
-spolupracovat s mezinárodními a regionálními organizacemi, jako jsou OECD, ASEAN nebo skupina G20, na podpoře důvěryhodných toků údajů založených na přísných standardech pro ochranu údajů, a to i v souvislosti s iniciativou toku údajů s důvěrou;
-pracovat na založení akademie pro ochranu údajů (Data Protection Academy) s cílem usnadnit a podpořit jednání mezi evropskými a mezinárodními regulačními orgány;
-podporovat mezinárodní spolupráci v oblasti vymáhání práva mezi orgány dohledu, mimo jiné prostřednictvím jednání o dohodách o spolupráci a vzájemné pomoci.