Uniklý návrh na úpravu (nejen) GDPR představuje dosud nejvýznamnější aktualizaci rámce ochrany osobních údajů v Evropské unii od přijetí nařízení (EU) 2016/679. Cílem není vytvořit nový předpis, ale upravit a zpřesnit samotné GDPR, přičemž změny reagují na technologický vývoj, nástup umělé inteligence, nové způsoby využívání dat a potřebu větší právní jistoty pro správce i subjekty údajů.
Návrh přináší řadu upřesnění klíčových pojmů, jako je například vymezení osobních údajů s ohledem na identifikovatelnost fyzické osoby, zúžení rozsahu zvláštních kategorií údajů, úpravu výjimek z informační povinnosti či vyjasnění pravidel pro automatizované rozhodování. Významné novinky se dotýkají i zpracování dat pro trénink systémů umělé inteligence, kde se nově předpokládá možnost opřít se o právní titul oprávněného zájmu. Úprava má zároveň zjednodušit administrativní zátěž podniků, sjednotit metodiky posouzení dopadů na ochranu osobních údajů a zavést společné šablony a seznamy na úrovni EU. Cílem je nejen zvýšit efektivitu ochrany práv jednotlivců, ale také posílit inovační potenciál evropského digitálního trhu při zachování vysokých standardů důvěry a transparentnosti.
Definice osobního údaje
Nová úprava GDPR upřesňuje, že informace týkající se fyzické osoby nejsou automaticky osobními údaji pro každého, kdo s nimi nakládá. Rozhodující je, zda daný subjekt může identifikovat konkrétní osobu s využitím prostředků, které má reálně a s přiměřenou pravděpodobností k dispozici. Pokud tedy subjekt nemá možnost osobu rozpoznat ani při vynaložení rozumného úsilí, informace pro něj osobními údaji nejsou. Klíčové je také to, že se tento status nemění ani tehdy, pokud jiný příjemce těchto informací má prostředky, které by k identifikaci vedly. Tato úprava má zásadní význam pro vymezení rozsahu působnosti GDPR a pro posouzení, zda se na konkrétní data vztahují povinnosti spojené s jejich zpracováním podle nařízení. Návrh tedy představuje odklon od doposud aplikované objektivní definice osobního údaje směrem k subjektivnímu. Tedy výklad osobního údaje bude závislý na schopnosti skutečně konkrétní osobu identifikovat.
Potenciální následné předání těchto informací třetím stranám, které mají prostředky umožňující jim identifikovat fyzickou osobu, které se informace týkají, například porovnáním s jinými údaji, které mají k dispozici, činí tyto informace osobními údaji pouze pro ty třetí strany, které mají takové prostředky k dispozici.
Bianco šek pro AI
Plánované změny v ochraně osobních údajů v souvislosti s vývojem a používáním umělé inteligence směřují k výraznému doplnění a upřesnění stávajícího rámce GDPR. Návrh reflektuje skutečnost, že moderní systémy umělé inteligence, zejména velké jazykové a generativní modely, vyžadují zpracování rozsáhlých datových souborů, které často zahrnují i osobní údaje. Nově se výslovně počítá s tím, že zpracování osobních údajů může být v oblasti umělé inteligence založeno na oprávněném zájmu správce. Tento přístup má umožnit vývoj a školení systémů AI, pokud jsou respektovány zásady minimalizace, přesnosti, bezpečnosti a omezení účelu. Vývoj a používání umělé inteligence má být chápán jako činnost přinášející významné hospodářské a společenské přínosy, ovšem pouze za podmínky, že správci zajistí odpovídající záruky ochrany práv subjektů údajů.
Současně se zavádějí podrobnější pravidla pro zpracování zvláštních kategorií osobních údajů (citlivých údajů) v kontextu trénování a testování AI. Výjimka ze zákazu zpracování těchto údajů by měla být přípustná pouze tehdy, pokud správce učiní účinná technická a organizační opatření k jejich ochraně a zabrání jejich neoprávněnému použití nebo úniku. Pokud by odstranění zvláštních kategorií údajů vyžadovalo nepřiměřené úsilí nebo by znemožnilo samotný vývoj systému, má být správce povinen alespoň zajistit, aby tyto údaje nebyly použity k odvození výstupů ani zpřístupněny třetím stranám.
Biometrika pro docházkové systémy?
V plánu je také úprava definice zvláštních kategorií osobních údajů. Definice je zaměřena na údaje, které přímo odhalují některou ze zvláštních kategorií osobních údajů. Praktický dopad ale může mít zanesení nové výjimky pro biometriku. Biometrické údaje představují zpracování specifických fyzických charakteristik osoby prostřednictvím technických prostředků, které umožňují nebo potvrzují její jedinečnou identifikaci. Biometrické údaje mají dvě hlavní funkce, a to identifikaci a ověření (autentizaci) totožnosti. Identifikace se zakládá na porovnávání biometrických údajů v databázi v režimu „one-to-many“, zatímco ověření vychází z porovnání údajů konkrétní osoby s referenčním vzorem v režimu „one-to-one“. Zpracování biometrických údajů pro účely ověření totožnosti může být přípustné, pokud je nezbytné pro legitimní účel a jsou zajištěny vhodné záruky, které umožňují subjektu údajů udržet kontrolu nad procesem ověřování. Typicky se jedná o situace, kdy jsou biometrické údaje uchovávány výhradně u subjektu údajů nebo u správce v šifrované podobě, přičemž šifrovací klíč či rovnocenný prostředek zůstává výlučně v držení subjektu údajů. V takových případech je nepravděpodobné, že by zpracování představovalo významné riziko pro práva a svobody dotčené osoby, jelikož správce biometrické údaje nezná nebo k nim má přístup pouze po velmi omezenou dobu při samotném ověřování.
DPIA už nebude postrachem?
Navrhovaná revize GDPR přináší také zásadní krok směrem k větší evropské harmonizaci posuzování dopadů na ochranu osobních údajů (DPIA). Nově má být zaveden harmonizovaných seznam druhů zpracování, která budou povinně podléhat DPIA, seznam zpracování, u nichž se posouzení nevyžaduje, a také návrh jednotných šablon a metodik pro jeho provádění.
Zavádí se rovněž mechanismus pravidelného přezkumu, který umožní včas reagovat na technologický vývoj a nové typy rizik pro soukromí. Až do přijetí nových prováděcích aktů zůstanou v platnosti existující národní seznamy druhů zpracování vypracované jednotlivými dozorovými orgány, tedy pro nás staré metodiky ÚOOÚ.
Celkově tato úprava představuje snahu o překonání dosavadní roztříštěnosti a o vytvoření jednotného evropského rámce pro DPIA. Přináší větší právní jistotu správcům i zpracovatelům, jasnější metodické vedení a zefektivnění procesu posuzování dopadů, který je v době rychlého rozvoje technologií klíčovým nástrojem prevence rizik pro základní práva jednotlivců.
Závěr
Ačkoli se proti navrhované změně GDPR vznesla mezi odbornou veřejností vlna nevole, neboť má jít o zásadní zúžení úrovně ochrany osobních údajů, tak z pohledu správce se potenciálně jedná o zjednodušení činností na úseku zpracování osobních údajů. Uvidíme, zda návrh v uniklé podobě bude realizován anebo zapadne a bude nahrazen jiným.
