Prostředí digitální regulace v Evropské unii se rozšiřuje závratným tempem. S tím, jak EU zavádí rámce upravující data, umělou inteligenci a kybernetickou bezpečnost, vyvstává zásadní výzva v oblasti zajištění souladu (compliance): pochopení toho, jak tyto nové právní předpisy interagují s obecným nařízením o ochraně osobních údajů (GDPR).
V reakci na to vydala Mezinárodní asociace odborníků na ochranu soukromí (IAPP) komplexní sérii mapování, která podrobně popisuje přesné právní průsečíky mezi GDPR a šesti klíčovými digitálními předpisy EU. Základní pravidlo napříč celým tímto ekosystémem je jasné: kdykoli dochází ke zpracování osobních údajů, mají přednost pravidla, záruky ochrany a kontrolní pravomoci dozorových úřadů podle GDPR.
Níže je uveden podrobný rozbor toho, jak se těchto šest klíčových předpisů prolíná s rámcem GDPR.
1. Akt o datech (Data Act)
Akt o datech si klade za cíl snížit právní a technické překážky pro opakované použití dat držených soukromými společnostmi, přesto se úzce prolíná se stávající ochranou osobních údajů.
Přednost práva a práva subjektů: Pokud jsou osobní a neosobní údaje neoddělitelně spjaty, mají v případě rozporu přednost pravidla GDPR (čl. 1 odst. 5). Pokud uživatel podle Aktu o datech splňuje definici subjektu údajů podle GDPR, jeho práva vyplývající z Aktu o datech doplňují jeho stávající práva podle GDPR.
Přístup k údajům a minimalizace: Držitelé dat nemohou uživatelům účtovat poplatky za přístup k datům vygenerovaným propojenými produkty, mohou však zpoplatnit třetí strany. Propojené produkty by neměly být navrženy tak, aby vynucovaly uchovávání nebo zpracování osobních údajů nad rámec toho, co je nezbytné, což odráží zásadu minimalizace údajů stanovenou v GDPR.
Přísný zákaz profilování: Třetím stranám je zakázáno používat získaná data k profilování, s výjimkou případů, kdy je to nezbytně nutné k poskytnutí služby vyžádané uživatelem. Tento zákaz platí bez ohledu na obvyklé výjimky GDPR, které umožňují profilování na základě souhlasu nebo plnění smlouvy.
Žádosti subjektů veřejného sektoru: Žádosti o data ze strany orgánů veřejné moci musí být konkrétní a přiměřené.
2. Akt o správě dat (Data Governance Act - DGA)
DGA zavádí regulační rámec pro veřejné sdílení osobních i neosobních údajů a formálně přejímá všechny základní definice GDPR.
Opakované použití dat a DPIA: Subjekty veřejného sektoru, které chtějí sdílet chráněná data, je musí anonymizovat. Pokud by anonymizace učinila data nepoužitelnými, může být povoleno jejich vzdálené nebo lokální (on-premise) opakované použití v rámci bezpečného prostředí zpracování, avšak za předpokladu, že je provedeno posouzení vlivu na ochranu osobních údajů (DPIA) a předchozí konzultace s dozorovým úřadem podle článků 35 a 36 GDPR.
Zprostředkování dat a datový altruismus: Zvláštní služby zprostředkování dat jsou navrženy tak, aby pomáhaly jednotlivcům uplatňovat jejich práva podle GDPR (např. právo na přístup, opravu, výmaz a přenositelnost). Organizace pro datový altruismus používají standardizovaný formulář EU pro souhlas a musí zajistit, aby subjekty údajů mohly snadno udělit nebo odvolat souhlas v souladu s GDPR.
Mezinárodní předávání: DGA vyžaduje, aby poskytovatelé dat přijali technická, právní a organizační opatření k zamezení nezákonného mezinárodního předávání nebo přístupu vládních orgánů k neosobním údajům. Tento rámec do značné míry odráží přísná omezení pro předávání, která GDPR uvaluje na osobní údaje.
3. Akt o digitálních trzích (Digital Markets Act - DMA)
DMA se zaměřuje na velké platformy působící jako strážci přístupu („gatekeepers“), přičemž doplňuje GDPR posílením volby uživatelů, přístupu k datům a nepřetržité přenositelnosti dat.
Zákazy týkající se dat ze základních platforem: Strážcům přístupu je zakázáno zpracovávat, propojovat nebo křížově využívat osobní údaje shromážděné napříč jejich základními službami platformy (např. pro online reklamu), pokud nezískají výslovný souhlas uživatele nebo nemají platný právní základ podle čl. 6 odst. 1 písm. c) až e) GDPR.
Přenosnost dat v reálném čase: Na rozdíl od článku 20 GDPR, který je omezen zákonným základem zpracování, článek 6 odst. 9 DMA vyžaduje, aby strážci přístupu poskytovali nepřetržitou a bezplatnou přenosnost dat v reálném čase bez ohledu na původní právní základ zpracování.
Omezení pro podnikové uživatele: Strážci přístupu musí podnikovým uživatelům poskytnout nepřetržitý přístup k datům generovaným jejich produkty. Pokud se však jedná o osobní údaje, musí podnikový uživatel předem získat souhlas koncového uživatele a striktně dodržovat zásadu minimalizace údajů podle GDPR.
Anonymizace u internetových vyhledávačů: Strážci přístupu musí sdílet údaje o hodnocení, dotazech, kliknutích a zobrazeních s internetovými vyhledávači třetích stran, mají však zákonnou povinnost anonymizovat veškeré v nich obsažené osobní údaje, aby zabránili zpětné identifikaci (reidentifikaci).
4. Akt o digitálních službách (Digital Services Act - DSA)
DSA uplatňuje odstupňované povinnosti vůči online zprostředkovatelům a platformám s cílem zmírnit systémová online rizika a problémy spojené s moderováním obsahu při zachování základních práv na soukromí.
Klíčové průsečíky mezi DSA a GDPR
Oblast regulace | Povinnost podle DSA | Soulad s GDPR |
Sledování nezákonného obsahu | Poskytovatelé zprostředkovatelských služeb mohou provádět dobrovolné vyšetřování za účelem odstranění nezákonného obsahu. | Zpracování se musí opírat o pevný právní základ, např. oprávněné zájmy (čl. 6 odst. 1 písm. f)). |
Klamavá uživatelská rozhraní | Platformy mají zakázáno používat klamavá uživatelská rozhraní (tzv. temné vzorce / dark patterns). | Tento zákaz ustupuje úpravě GDPR, pokud je ovlivňováno zpracování osobních údajů nebo chování subjektu údajů při udělování souhlasu. |
Reklama a profilování | Platformy musí být ohledně reklamy transparentní a poskytovat informace i poté, co ke zpracování dojde. | Zakazuje se používání zvláštních kategorií osobních údajů (např. citlivých údajů) pro cílenou reklamu založenou na profilování. |
Doporučovací systémy | Velké platformy (VLOP/VLOSE) musí uživatelům poskytnout alespoň jednu možnost doporučování obsahu, která není založena na profilování. | Algoritmy zobrazující obsah mohou představovat automatizované „rozhodnutí“ ve smyslu čl. 22 odst. 1 GDPR. |
Ochrana nezletilých | Platformy musí zavést vysoká opatření pro zajištění soukromí a bezpečnosti nezletilých. | Tento požadavek DSA může sloužit jako oficiální právní základ pro zpracování podle čl. 6 odst. 1 písm. c) GDPR. |
5. Akt o umělé inteligenci (AI Act)
Přestože je Akt o umělé inteligenci v podstatě předpisem o bezpečnosti výrobků a GDPR představuje rámec pro ochranu základních lidských práv, jejich strukturální průsečík má mimořádně závažné důsledky.
Korekce zkreslení (bias) vs. citlivé údaje: Akt o UI (čl. 10 odst. 5) výjimečně povoluje zpracování zvláštních kategorií osobních údajů, pokud je to „nezbytně nutné“ pro monitorování, detekci a nápravu zkreslení u vysoce rizikových systémů UI. To se opírá o výjimku podle čl. 9 odst. 2 písm. g) GDPR týkající se „významného veřejného zájmu“.
Posouzení vlivu: Před nasazením vysoce rizikových systémů UI musí určité subjekty provést posouzení vlivu na základní práva (FRIA). Pokyny IAPP zdůrazňují, že posouzení FRIA má doplňovat, nikoli nahrazovat standardní posouzení vlivu na ochranu osobních údajů (DPIA) podle GDPR.
Lidský dohled a protokolování (logy): Akt o UI nařizuje automatizované protokolování a vedení záznamů za účelem sledovatelnosti. Avšak zachycení osobních údajů v těchto systémových protokolech může subjektu údajů zkomplikovat uplatnění standardních práv podle GDPR, jako je právo na výmaz nebo právo vznést námitku.
Regulační pískoviště pro UI (AI sandboxes): Testování systémů UI v provozních pískovištích (sandboxes) umožňuje experimentální zpracování dat. Vývojáři však musí i nadále určit platný právní základ podle GDPR, ačkoli členské státy mohou uplatnění výjimky „významného veřejného zájmu“ pro prostředí pískovišť vykládat odlišně.
6. Směrnice NIS2
Směrnice NIS2 stanovuje základní úroveň pro řízení kybernetických rizik, přičemž se přímo kříží s GDPR, pokud jde o hlášení incidentů a zpracování dat ze sítí.
Dvojí ohlašovací řetězce: Po zjištění významného kybernetického incidentu musí povinné subjekty podle NIS2 informovat příjemce služeb, příslušné orgány a týmy CSIRT. Pokud tento incident zahrnuje porušení zabezpečení osobních údajů (data breach), spouští to současně pravidla GDPR pro povinné ohlášení ze strany správců a zpracovatelů.
Zpracování v rámci bezpečnostní infrastruktury: Základní a důležité subjekty (essential and important entities) jsou ze zákona oprávněny zpracovávat osobní údaje za účelem zajištění bezpečnosti sítí a informačních systémů. Toto zpracování představuje právní povinnost podle čl. 6 odst. 1 písm. c/e) GDPR nebo spadá pod rámec oprávněného zájmu (čl. 6 odst. 1 písm. f)).
Inovativní kybernetická obrana: Využívání nástrojů UI k odhalování a předcházení kybernetickým útokům podle NIS2 musí být i nadále v souladu se základními zásadami GDPR, a to včetně záměrné a standardní ochrany osobních údajů (Privacy by Design and by Default – článek 25).
Zákaz dvojího trestání u pokut: K zabránění ukládání nepřiměřených správních sankcí zavádí NIS2 přísné ochranné opatření: pokud dozorový úřad podle GDPR uloží správní pokutu za porušení zabezpečení osobních údajů, příslušné vnitrostátní orgány nemohou daný subjekt postihnout samostatnou správní pokutou za přesně stejné jednání podle směrnice NIS2 (článek 34).
Cesta vpřed pro zajištění souladu (Compliance)
Posuzování těchto předpisů izolovaně již není pro compliance, právní týmy ani týmy pro ochranu soukromí reálné. Vzhledem k tomu, že Evropská unie neustále zdokonaluje svůj digitální ekosystém, poskytují mapovací zdroje nezbytný strategický plán. Díky identifikaci míst, kde se tyto odlišné zákony překrývají, mohou moderní organizace vybudovat sjednocené infrastruktury pro správu dat (data governance), které uspokojí vícero regulačních mandátů současně – a tím zmírnit rizika při maximalizaci provozní efektivity.
