Dne 24. září 2023 vstupuje v účinnost Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724, tedy akt o správě dat. Používá se také anglický název Data Governance Act (DGA).
Co nového s sebou DGA v rámci ochrany osobních údajů přináší A změní se nějakým způsobem pravidla ochrany osobních údajů stanovená v GDPR?
DGA – komerční a vědecké využití dat veřejného sektoru
Pro lepší zodpovězení těchto otázek si nejprve řekněme, co nové nařízení přináší a co je jeho cílem.
DGA představuje jeden z právních předpisů, které by měly připravit půdu pro digitální transformaci společnost a vést k lepší digitální ekonomice (ekonomice založené na datech a na efektivním využívání dat). Jinak řečeno, DGA je součástí balíčku datové regulace, jejímž cílem je celkově posílit větší a efektivnější využívání dat ve společnosti.
Nařízení DGA se zaměřuje na data v držení veřejného sektoru. Úřady, ministerstva, agentury či orgány samosprávy disponují značným množstvím informací, které by bylo možné efektivně použít i v rámci soukromého sektoru. V současnosti tato data podléhají různým režimům ochrany, například ochrana obchodního tajemství, ochrana osobních údajů, práva duševního vlastnictví atd. Jen poměrně malé množství informací, které má v držení veřejný sektor, je v dnešní době možné sdílet a opakovaně používat (tzv. open data).
Hlavní principy DGA
Základní ideou DGA je odstranit nedostatečné využívání dat shromážděných subjekty veřejného sektoru, usnadnit opakované použití těchto dat ve prospěch společnosti a díky zavedení vhodných mechanismů posílit důvěru v dobrovolné sdílení dat subjekty údajů a jejich držiteli. Právě nedostatek důvěry je jedním z hlavních faktorů, které v současné době značně stěžují poskytování a sdílení těchto dat.
Přínosem právní úpravy bude využití velkého potenciálu dat pro široké spektrum činností od vědy a výzkumu až po komerční sféru. Z pohledu komerční sféry by snadnější přístup a jednodušší využití dat veřejného sektoru mohlo výrazně pomoci zejména menším a nově vznikajícím podnikům či start‑upům. Ať už při vytváření nových služeb a produktů nebo i zefektivnění současných procesů a rozvoje stávajících služeb.
Nařízení stanoví pouze základní rámec a podmínky pro opakované použití dat tak, aby byly nediskriminační, transparentní, přiměřené, objektivně odůvodnitelné a bez omezování hospodářské soutěže. Nařízení však ukládá členským státům povinnost připravit právní a technickou infrastrukturu pro uživatele dat z komerčního sektoru. Nařízení též, až na drobné výjimky, zakazuje výhradní dohody týkající se opakovaného použití dat v držení subjektů veřejného sektoru, či omezení dostupnosti dat pro opakované použití jinými subjekty.
Základní pojmy: Data a opakované použití dat
V článku 2 bodu 1 DGA definuje data jako „veškeré digitální záznamy jednání, skutečnosti nebo informací a všechny soubory takových jednání, skutečnosti nebo informací, včetně záznamů v podobě zvukové, vizuální nebo audiovizuální nahrávky“. Nařízení dále rozlišuje data na osobní údaje, kde vhodně přejímá definici z GDPR, a na neosobní údaje, které vymezuje zcela jednoduše jako údaje jiné než osobní údaje. V tomto článku se dále zaměříme jen na problematiku osobních údajů.
Opakovaným použitím smyslu DGA je „použití dat v držení subjektů veřejného sektoru fyzickými nebo právnickými osobami pro komerční nebo nekomerční účely jiné, než je původní účel v rámci veřejného úkolu, pro který byla data vytvořena, kromě výměny dat mezi subjekty veřejného sektoru výhradně při plnění jejich veřejných úkolů.“
Vztah nařízení DGA a GDPR
DGA zdůrazňuje, že i při využití dat veřejného sektoru, pravidla ochrany osobních údajů vycházejí z principů GDPR. V případě, že dojde ke kolizi DGA a GDPR, bude mít úprava ochrany osobních údajů přednost.
DGA též přímo přebírá některé definice stanovené v GDPR. Vedle osobních údajů uveďme příkladmo souhlas, subjekt údajů či zpracování údajů.
DGA klade velký důraz zejména na zásadu transparentnosti a zásadu integrity a důvěrnosti při zpracování osobních údajů. To se promítá i do specifikace podmínek opakovaného použití dat obsažených v článku 5 DGA, jako je pseudonymizace dat či zajištění bezpečného zpracovatelského prostředí. Důvod je zřejmý, správná regulace má napomoci k větší důvěře subjektů údajů ve sdílení dat, neboť její nedostatek představuje v současnosti jeden z největších problémů (vedle nedostatečného technického zázemí) pro opakované použití dat veřejného sektoru.
Jak to bude fungovat v České republice?
V České republice se připravuje adaptační zákon o správě dat veřejné sektoru. Ten je v současné době zatím jen ve fázi věcného záměru, který předložilo Ministerstvo vnitra. Navrhovaná úprava mimo jiného (první část zákona řeší efektivní nakládaní s daty orgánů veřejné správy) upřesňuje pravidla pro opakované použití určitých kategorií dat v držení subjektů veřejného sektoru komerčním sektorem. V české terminologii se bude jednat o úpravu tzv. řízeného přístupu k datům.
Kam se obrátit s žádostí o zpřístupnění dat veřejného sektoru?
Jedním z institutů, se kterým pracuje jak nařízení, tak i připravovaná vnitrostátní úprava, je vytvoření jednotného informačního místa. Na ten se budou soukromé subjekty obracet s žádostmi o zpřístupnění a možnost opakovaného použití dat. Jednotné informační místo následně bude předávat žádosti věcně příslušným orgánům, které budou určeny členským státem, k vyřízení v otázce povolení či zamítnutí přístupu k opakovanému použití dat. Za povolení opakovaného použití dat si subjekty veřejného sektoru mohou účtovat poplatky.
V České republice by jednotným informačním místem měla být Digitální a informační agentura. Ta bude disponovat elektronickým inventárním seznamem umožňujícím vyhledávat všechny dostupné zdroje dat, včetně doprovodných informací jako je jejich formát, velikost či podmínky opakovaného použití.
Žádost o opakované použití dat bude muset příslušný subjekt vyřídit ve dvouměsíční lhůtě. Během této doby by spolu měli žadatel o použití dat a věcně příslušný subjekt vést dialog ohledně způsobu, jak na jedné straně dosáhnout maximální využití dat pro žadatelem legitimně stanovený účel zpracování, tak zároveň na straně druhé zajistit řádnou ochranu práv a zájmů dotčených subjektů údajů. V případě pochybností ohledně narušení svých práv vydaným rozhodnutím o opakované použití dat může dotčený subjekt údajů využít práva na nápravu a obrátit se ohledně přezkumu tohoto rozhodnutí na Úřad pro ochranu osobních údajů.
Nová regulace pro data brokery
Další novinkou DGA je úprava činnosti organizací zprostředkujících poskytování dat, tzv. poskytovatelů služeb zprostředkování dat. Ve zkratce lze říci, že tito poskytovatelé služeb zprostředkování dat budou představovat mezičlánek při poskytování dat mezi držiteli dat na jedné straně a uživateli dat na straně druhé. Jejich prostřednictvím bude probíhat obchodní vztah mezi držiteli a uživateli dat.
Článek 10 DGA upřesňuje, jaké všechny obchodní modely lze pod pojem služby zprostředkování dat zařadit. Jedná se například o datová tržiště či datové fondy, ale i cloudy osobních údajů nebo datová družstva.
Zájemce o poskytování služby zprostředkování dat bude povinen předložit řádné a úplné oznámení příslušnému orgánu pro služby zprostředkování dat, kterým bude v České republice Český telekomunikační úřad. Získání označení „poskytovatel služeb zprostředkování dat usazený v Unii“ pak může poskytovateli přinést větší důvěru v jeho služby.
Nařízení DGA stanovuje jednotné podmínky pro poskytování služeb opakovaného použití dat v rámci Evropské unie, včetně požadavku na neutralitu a transparentnost poskytovatele. Samotná služba zprostředkování dat musí být oddělena od jiných činností poskytovatele a poskytovatel nemůže data užít pro jiný účel než pro službu zprostředkování dat.
Neméně důležitou je zde i zásada transparentnosti zpracování osobních údajů. Je nezbytné připomenout, že na zprostředkování dat (budou-li předmětem osobní údaje) bude dopadat úprava obsažena v GDPR, včetně umožnění výkonu práv subjektu údajů zakotvených v GDPR, například práva na přístup či práva na výmaz. S ohledem na rozsah a citlivost zpracování budou data brokeři obvykle povinni jmenovat pověřence pro ochranu osobních údajů.
Jste datovým altruistou?
Další zajímavou novinkou je zavedení pojmu a pravidel tzv. datového altruismu.
Oč se jedná?
O dobrovolné sdílení dat na základě informovaného souhlasu, aniž by byla vyžadována nebo obdržena odměna, pro cíle obecného zájmu jako je zdravotní péče, zlepšení mobility nebo enviromentální otázky.
Nařízení si klade za cíl přispět ke vzniku dostatečně velkých datových souborů obsahujících data zpřístupněná právě na základě datového altruismu. Subjekty, které budou vytvářet datová uložiště pro dobrovolně poskytnuté informace, budou muset vedle podmínek stanovených pro registraci ve veřejném vnitrostátním rejstříku, jako je například nezisková povaha, splňovat i další požadavky upravené v čl. 20 DGA (transparentnost, ochrana práv subjektů údajů). Pravidla pro udělení (a odvolání) souhlasu, výkon práv a další náležitosti zpracování osobních údajů najdeme opět v GDPR.
DGA – krok směrem k digitální ekonomice
Cíle DGA jsou jasné, přispět k efektivnímu zpracování informací, včetně osobních údajů, jak ve veřejném sektoru, tak umožnit jejich využití pro vědecké, výzkumné a komerční účely.
V jakých oblastech je po datech největší poptávka? Jako příklady můžeme uvést:
Poskytování zdravotních služeb, včetně telemedicíny
Medicínský výzkum
Kybernetická bezpečnost
Ověřování zájemců o finanční produkty
Efektivní distribuce energií
Marketing a zlepšení cílení reklamy
Vývoj mobilních aplikací
Digitalizace v automobilovém průmyslu
Rozvíjená nástrojů využívajících umělou inteligenci
Po přijetí české úpravy by firmy měly mít snadnější přístup k datům veřejného sektoru. Pro inovace, přípravu nových obchodních modelů, zajištění větší bezpečnosti, ověřování a kontrolu klientů. Pokud mezi využívanými daty budou i osobní údaje, bude se na jejich další využití plně vztahovat i GDPR a všechna pravidla a povinnosti pro zpracování dat známá i z jiných oblastí a sektorů.
