Přelomové obecné nařízení o ochraně osobních údajů, GDPR, slavilo v roce 2023 již 5 let účinnosti. Tento klíčový předpis přinesl unifikovaný rámec ochrany osobních údajů. Interpretace i samotná praxe se pochopitelně dále vyvíjejí, a to především v návaznosti na judikaturu Soudního dvora EU, pokyny Evropského sboru pro ochranu osobních údajů (EDPB), ale i rozvoj digitalizace, technických nástrojů pro zpracování informací a již schválené nebo připravované legislativní předpisy, např. v oblastech umělá inteligence či sdílení dat.
Evropská komise zahájila práce na dalším hodnocení GDPR. Kdokoliv se může zapojit a do 8. února 2024 zaslat připomínky či komentáře k GDPR a jeho fungování v praxi.
Obstojí současné znění GDPR v dynamicky se měnícím faktickém i právním prostředí?
Revize číslo jedna
První kolo revize GDPR proběhlo v roce 2020. Evropská komise předložila svou Zprávu o hodnocení a přezkumu GDPR Evropskému parlamentu.
Komise dospěla k ne příliš překvapivým zjištěním. Prvním z nich byla přetrvávající roztříštěnost implementace GDPR mezi členskými státy, což ztěžuje přeshraniční business a inovace. Ke zlepšení této situace bylo členským státům mj. doporučováno alokovat dostatečné zdroje pro dozorové úřady. Rozdíly mezi kapacitami a možnostmi jednotlivých dozorovým úřadům jsou místy skutečně propastné, což znemožňuje jejich činnost v rovných podmínkách. ČR v tomto kontextu nebyla zmíněna.
V souvislosti s hlavním zadáním zprávy z roku 2020, jímž byla oblast předávání osobních údajů do třetích zemí a mezinárodním organizacím a mechanismu spolupráce jednotnosti, se Evropská komise zavázala k vytvoření souboru nástrojů pro předávání osobních údajů, včetně modernizovaných standardních smluvních doložek. Svému slibu dostála. Praxe dnes již disponuje o něco životaschopnějšími standardními smluvními doložkami.
Kdy budou kodexy chování a GDPR certifikáty?
Nedostatkem je, že Evropská komise ve své zprávě neobsáhla některé nové nástroje, které sice GDPR upravilo, ale v praxi se používají jen velmi omezeně. Jedná se zejména o kodexy chování, závazná podniková pravidla či certifikační mechanismy. U těchto témat bylo pouze řečeno, že EDPB by měl navýšit intenzitu svojí činnosti a vyjasnit pravidla týkající se předávání osobních údajů do třetích zemí nebo mezinárodním organizacím a teritoriální dopad článku 3 GDPR.
Jde výklad Evropského sboru nad rámec GDPR?
Výrazným nedostatkem zprávy byla také to, že se Komise nevěnovala nesouladu některých pokynů EDPB a samotného nařízení.
Jedná se např. o oblast automatizovaného rozhodování. Úzký výklad „nezbytnosti“, který EDPB zastává, je v praxi často překážkou poskytování služby v reálném čase, kdy obvykle není možno prokázat tuto „nezbytnost“ zpracování pro uzavření smlouvy. To je výraznou brzdou pro poskytování inovativních služeb.
Dobrým příkladem je sektor pojišťovnictví, konkrétně nabídka pojištění vozidel prostřednictvím mobilní aplikace. Zájemce o pojištění zašle fotografii vozidla a uvede požadované informace, na základě čehož je mu pak zaslaná nabídka pojištění s automatizovaně vypočtenou výši pojistného. V případě akceptace nabyde smlouva platnost zaplacením tohoto pojistného. Úzký výklad „nezbytnosti“ je zde překážkou poskytování služby v reálném čase, kdy není možno prokázat tuto „nezbytnost“ pro uzavření smlouvy. Podobně může být argumentováno u nabídek cestovního pojištění nebo vyřizování pohledávek.
Dalším příkladem, kdy jdou některé požadavky EDPB nad rámec regulace, je výklad souhlasu dle článku 22 odst. 2 písm. c) GDPR. Pokyny EDPB k souhlasu se zpracováním osobních údajů uvádějí, že správci opírající se o souhlas jakožto právní základ profilování mají prokázat, že subjekt osobních údajů přesně porozumí obsahu tohoto souhlasu (str. 12-13 pokynů). Požadavek na přesné porozumění obsahu souhlasu v této věci je disproporční a prakticky nerealizovatelný, a to i v kontextu podmínek informovanosti subjektu údajů dle článků 13 až 15 GDPR.
Práce EDPB je rozhodně přínosná a ve většině případů pomáhá efektivnímu a konzistentnímu výkladu GDPR. V některých případech však podle mého názoru Evropský sbor pro ochranu osobních údajů svůj mandát částečně překračuje, resp. vykládá normativní text extenzivním způsobem, který naopak může být jednotné aplikaci regulatorního rámce na škodu.
Co bude s GDPR dále?
V reakci na zprávu Evropské komise přijal Evropský parlament v březnu 2021 usnesení, v němž označil za klíčové výzvy aplikace GDPR:
nedostatečné prostředky poskytnuté malým a středním podnikům, aby zvládly uplatňování GDPR,
nerovnoměrné nebo neexistující prosazování GDPR, a
nedostatečnou spolupráci a soudržnost vnitrostátních orgánů pro ochranu údajů v důsledku různých výkladů GDPR.
Výsledkem prvního kola revize nebylo znovuotevření nařízení. To by po uplynutí tak krátké doby od přijetí ostatně bylo spíš předčasné a kontraproduktivní. Zřejmě i proto se zpráva nedočkala velkého mediálního zájmu. Jinak to však může být v dalším kole revize, které by se mělo uskutečnit v roce 2024.
Revize GDPR číslo 2 byla spuštěna!
V roce 2024 proběhne značně obsáhlejší revize GDPR. Není vyloučeno ani otevření textu GDPR pro případné novelizace. To již Evropská komise avizovala v roce 2020, kdy naznačila potřebu změny a částečně mírnější režim, zejména pokud jde o záznamy o zpracování malými a středními podniky, které nemají zpracování osobních údajů jako hlavní předmět své činnosti, a případnou harmonizaci věku nezletilého u udělování souhlasu v online prostředí podle článku 8 GDPR.
Jak vidí nutnost revize GDPR Rada EU?
Jinak se k problematice případných úprav GDPR postavila Rada EU. Ta během listopadu 2023 vypracovala svou pozici k evaluaci GDPR, ve které uvedla, že považuje GDPR za úspěšné jak z pohledu zvýšené úrovně ochrany jednotlivců, tak z pohledu inspirace v celosvětovém měřítku. Rada tak nepožaduje komplexní revizi GDPR.
Na straně druhé ale Rada předkládá několik návrhů ke zlepšení, konkrétně v těchto oblastech:
Mezinárodní předávání osobních údajů. Rada vyzývá Evropskou komisi, aby přednostně dokončila přezkum stávajících rozhodnutí o přiměřenosti ochrany dat v dalších státech a aby předložila komplexní strategii pro přijímání budoucích rozhodnutí. Rada bere na vědomí, že některé nástroje přenosu nebyly plně využívány, a to z důvodu složitosti procesu jejich přijímání. Proto se domnívá, že je třeba poskytnout další pokyny a podporu, které by usnadnily přijetí a využívání nástrojů jako jsou kodexy chování, certifikace a závazná podniková pravidla.
Digitalizace. Rada zdůraznila nutnost konzistence nových evropských předpisů z oblasti datové regulace a GDPR. Proto vyzývá EDPB, aby v případě potřeby přijal specializovaná stanoviska a pokyny, které objasní, jak je třeba ustanovení GDPR uplatňovat ve světle nových právních předpisů, např. DSA, DMA, Data Act atd. Rada rovněž vnímá potřebu bližších pokynů k anonymizaci a pseudonymizaci údajů a taktéž k profilování a bodovému hodnocení (scoring), které jsou optikou Rady integrovány do technologických řešeních mnoha sektorů. To může znamenat významná rizika pro práva subjektů údajů.
Rada vyzvala EDPB k vypracování dalších pokynů ve věcech ochrany nezletilých a zpracování osobních údajů pro účely výzkumu a archivace.
Prostor ponechaný vnitrostátním právním předpisům pro vymezení konkrétního rámce pro určitý druh zpracovatelských činností podle Rady zůstávají přínosné. Z mého pohledu se jedná o tvrzení v rozporu s cílenou unifikací, což se projevuje především u přeshraničních obchodních vztahů.
Co by mohlo být obsahem revize?
Z výše uvedeného lze dedukovat směr, kterým by se obsah revize GDPR mohl ubírat. Navzdory tomu, že GDPR je většinově hodnoceno jako kvalitní legislativní předpis s globálním přesahem, jsou i zde určité aspekty, na které by nejspíš stálo za to podívat se novou optikou.
Inovace
Jednou z priorit Evropské komise by mělo být zajištění plné kompatibility a funkčnosti s novou datovou a kybebezpečností legislativou, která před 6 lety neexistovala. To je relevantní jak z pohledu právní jistoty, tak z pohledu absence (i nezamýšlených) bariér inovací a nových technologií. GDPR by tak mělo dostát své reputaci jakožto „future proof základ arzenálu digitálních předpisů EU, které utvářejí datovou ekonomiku EU“.
Typicky se jedná o úpravu umělé inteligence (UI) a IoT. Doposud neexistuje jasný právní základ pro trénování a testování nových IT aplikací a systémů, zejména se speciálními kategoriemi osobních údajů, jako jsou např. zdravotní osobní údaje. Návrh AIA v komisní verzi poskytuje právní základ v článku 10(5). Ten je však bohužel omezen na vývoj vysoce rizikové umělé inteligence a použije se pouze v případě, kdy je testování nezbytně nutné pro účely prevence diskriminace. Vývoj a testování systémů umělé inteligence na osobních údajích však může být důležitý i pro další veřejné zájmy a cíle. Dále se jako prakticky komplikované může ukázat dodržování zásady minimalizace údajů, kdy požadavky na efektivní fungování UI jsou opačné – k vývoji algoritmu je potřebné velké množství dat.
Dalšími oblastmi náležícími do této kategorie jsou sdílení dat nebo blockchain. Ve vztahu k legislativní úpravě sdílení dat bude nezbytné posoudit právo na přenositelnost dle článku 20 GDPR. Podle mého názoru je zásadní upřesnit pravidla pro přenositelnost tzv. odvozených údajů, tedy dat, které správci neposkytl přímo subjekt údajů. Zejména u informací citlivých z obchodního hlediska nebo údajů, které správci sami vytvořili a analyzovali/obohatili a které jsou předmětem jejich vlastnictví, je široký výklad práva na přenositelnost, který zastává zejména Evropský sbor, problematický.
U blockchain se skýtá zajímavá otázka v souvislosti s právem na výmaz dle GDPR. Základní potenciální nesoulad plyne přímo z permanentní povahy blockchainu, u kterého by realizace práva na výmaz znamenala narušení integrity dat a samotné základní funkce. Právo na výmaz bude nezbytné interpretovat tak, aby se nejednalo o regulatorní překážku blokující další vývoj této technologie.
Anonymizace
Ani s anonymizaci to není až tak ideální. Digitalizace často vyžaduje analyzování většího objemu dat, k čemuž často stačí anonymizované údaje. Pokud však – jak je uvedeno v bodě odůvodnění 26 GDPR a většinově vykládáno – jsou osobní údaje definovány objektivně, a nikoli ve vztahu k příslušnému správci údajů, je často obtížné zajistit skutečnou anonymizaci dat. Možností by bylo uložit správcům údajů povinnost, aby průběžně zajišťovali dostatečnost svých postupů k prevenci rizik opětovné identifikace, a aby svá opatření upravili, pokud je to nezbytné. Zde je vhodnou inspiraci nedávný rozsudek SDEU.
Vztah ke třetím zemím
Z praxe je znatelný i patrný nedostatek v oblasti nástrojů pro mezinárodní předávání údajů do třetích zemí. Konkrétně by v návaznosti na EU-US Data Privacy Framework měla Evropská komise posílit flexibilitu přijímání a množství rozhodnutí o přiměřenost, a to i v hledáčku Damoklova meče Schrems III. Taktéž je nutno posoudit rovinu požadavků na ochranu osobních údajů a kybernetické bezpečnosti v kontextu vztahu ke třetím zemím, třeba u chystané úpravy cloudů (EU Cloud Certification Scheme, EUCS).
Kodexy chování
Za hlubší úvahu a analýzu by jistě stál i nízký počet dosud přijatých kodexů chování podle článku 41 GDPR. Je možné, že jejich nízký počet souvisí s extenzivním výkladem požadavků GDPR ze strany EDPB? GDPR v čl. 41 hovoří o tom, že k monitorování souladu s kodexem může být ustanoven odborný orgán. Podle EDPB se ovšem jedná o nutnou podmínku pro schválení kodexu. Nebo jsou příčinou nízkého počtu schválených kodexů další požadavky národních dohledových orgánů ještě nad tento rámec?
Závazná podniková pravidla
Taktéž by nebylo od věci zlepšit velmi malou míru využívání dalšího nástroje pro předávání osobních údajů do třetích zemí, tzv. závazných podnikových pravidel dle článku 47 GDPR. Relativně nízký počet schválených závazných podnikových pravidel, cca 50, často plyne z dlouhého schvalovacího procesu a opětovně požadavků EDPB jdoucích nad rámec GDPR. Takto rigidní proces je pro mnohé podniky odrazujícím.
Mandát EDPB
To nás vede přímo k další, již naznačené oblasti, a tedy roli EDPB a dopadu jeho pokynů.
Dosavadní zkušenosti ukazují, že existují oblasti, jako je mezinárodní předávání údajů, právo na přístup či porušení ochrany údajů, v nichž EDPB dostatečně neuplatňuje přístup založený na riziku a zásadě proporcionality zakotvené v GDPR anebo některá ustanovení (např. nezbytnost v článku 22 GDPR) interpretuje nad rámec normativního textu. Toto téma snad Evropská komise v plánované hodnotící zprávě neopomene, jako tomu bylo posledně.
Stihne se to do května?
Ke zveřejnění hodnotící zprávy Evropské komise by mělo dojít v květnu tohoto roku. Tento termín však může být posunut z důvodu nadcházejících voleb do Evropského parlamentu a následného přesunu mandátu k vydání zprávy pod Evropskou komisi.
Můžeme se vyjádřit?
Určitě ano. Evropské komise již zahájila veřejnou konzultaci. Touto formou bude možné sdělit kritiku i návrhy na zlepšení současného GDPR rámce.
Jaké hlavní nedostatky jste objevili vy? Dejte nám vědět na [email protected], naše redakce připomínky konsoliduje a pošle je Evropské komisi.