Evropský sbor pro ochranu osobních údajů (EDPB) přijal na svém posledním plenárním zasedání Strategii na období let 2024–2027. Tento dokument shrnuje hlavní strategické cíle, na které se chce EDPB v následujících letech zaměřit. Strategie nepředstavuje svým rozsahem nijak zevrubné dílo, ale pouze krátký přehled hlavních priorit EDPB.
4 pilíře vymáhání GDPR
Strategie je založena na 4 hlavních strategických pilířích, které jsou dále specifikovány prostřednictvím tzv. klíčových opatření, jež mají pomoci při jejich dosahování.
Těmito pilíři jsou:
Pilíř 1 – Posílení harmonizace a podpora dodržování předpisů
Pilíř 2 – Posílení společného prosazování práva a efektivní spolupráce
Pilíř 3 – Zajištění ochrany údajů v rozvíjejícím se digitálním a meziregulačním prostředí
Pilíř 4 – Přispění ke globálnímu dialogu o ochraně údajů
Posílení harmonizace a podpora dodržování předpisů
Stejně jako v předchozí Strategii na období let 2021–2023, bude EDPB i v následujícím období usilovat o zlepšení důsledného a jednotného uplatňování a účinného vymáhání práva na ochranu osobních údajů a zlepšení informovanosti společnosti o klíčových pojmech GDPR.
EDPB bude i nadále pokračovat ve vydávání pokynů a metodik ke stěžejním otázkám a pojmům GDPR. V následujících čtyřech letech se zaměří zejména na otázky oprávněného zájmu, jakož i na aplikaci GDPR ve vztahu ke zvláště chráněným subjektům údajů, jako jsou děti. V této souvislosti se EDPB bude zabývat vývojem nového edukativního nástroje věnovaného dětem, který by jim měl snadno srozumitelným jazykem vysvětlit hlavní myšlenky, principy a práva dle GDPR a pokynů EDPB.
Co se týká poskytování informací a osvěty, chce EDPB rozvinout další snadno přístupné informační toky, kde by poskytoval různé nástroje uzpůsobené pro komunikaci se širokou veřejností zejména z řad neodborníků. Dočkat se tak v budoucnu můžeme např. informačních listů shrnujících klíčové myšlenky pokynů EDPB a rozvoj a zlepšování příruček pro malé a střední podniky.
Pozornost bude věnována i rozvoji a implementaci vhodných a účinných opatření k zajištění souladu s právními předpisy jako jsou osvědčení a kodexy chování. To je, bohužel, jedna z částí GDPR, která se zatím v praxi příliš neprosadila.
Posílení spolupráce úřadů pro ochranu údajů
V návaznosti na svou vizi shrnutou v tzv. Vídeňském prohlášení o spolupráci při vymáhání práva z roku 2022 chce EDPB posílit spolupráci národních úřadů při vymáhání GDPR. Ústřední bod tohoto strategického pilíře představuje přijetí nařízení Evropského Parlamentu a Rady, kterým se stanoví další procesní pravidla týkající se prosazování nařízení (EU) 2016/679 a zajištění jeho praktické implementace a realizace.
EDPB bude pokračovat v identifikaci strategických případů, u kterých bude upřednostňován princip společné dozorové či kontrolní akce jednotlivých vnitrostátních dozorových orgánů. Další strategickou prioritou je poskytnutí vhodných nástrojů podporujících harmonizovaný přístup k vyšetřování a vymáhání práva na ochranu osobních údajů, jakož i koordinovaná vynucovací opatření. V této souvislosti dozná dalšího rozvoje i koordinovaný rámec posazování právních předpisů (Coordinated Enforcement Framework, CEF) a činnost podpůrného rezervního týmu odborníků (Support Pool of Experts, SPE).
Ochrana údajů v rozvíjejícím se digitálním světě
V návaznosti na rychlý vývoj technologií, který s sebou přináší i potřebu a snahy nově vznikající digitální prostředí regulovat, jsou nebo budou v nadcházejících letech vydávány nové právní předpisy, které se mimo jiného dotýkají i problematiky zpracování dat. EDPB si v této oblasti klade za cíl zabývat se úlohou a důležitostí ochrany osobních údajů i v rámci digitální regulace a zároveň sledovat a vyhodnocovat nové technologie, včetně těch, které se týkají umělé inteligence a digitální identity z pohledu ochrany osobních údajů.
EDPB bude poskytovat souhru mezi správným používáním ustanovení GDPR a všemi nově vznikajícími digitálními právními předpisy, zejména Aktem o umělé inteligenci, právními předpisy vycházejícími z Evropské strategie pro data jako jsou nařízení o datech (Data Act, DA) a nařízení o správě dat (Data Governance Act, DGA), ale i právními předpisy z tzv. balíčku pro poskytování digitálních služeb, do kterého patří nařízení o digitálních službách (Digital Services Act, DSA) a nařízení o digitálních trzích (Digital Markets Act, DMA).
S ohledem na regulační prostředí v digitální ekonomice posílí EDPB spolupráci s dalšími dozorovými úřady, jejichž věcná působnost má dopad i na ochranu osobních údajů, jako jsou úřady na ochranu spotřebitelů nebo hospodářské soutěže, s cílem více začlenit právo na ochranu osobních údajů do celkového regulatorního rámce digitálního prostředí. Zároveň bude EDPB dohlížet, aby v dalších digitálních a datových předpisech byla dostatečně zajištěna práva na ochranu osobních údajů.
V případě potřeby bude EDPB vydávat pokyny týkající se uplatňování GDPR v rychle se rozvíjejícím digitálním prostředí, a to zejména v oblastech s významnými riziky pro práva subjektů údajů nebo tam, kde subjekty údajů patří ke zvlášť zranitelné skupině, např. děti. EDPB též bude hrát aktivní úlohu ve Skupině na vysoké úrovni pro nařízení o digitálních trzích (High level group pro DMA) a v Evropském sboru pro datové inovace [European data inovation board (EDIB)].
Globální dialog o ochraně dat je nezbytný
EDPB bude, stejně jako v předchozí strategii, i nadále podporovat globální dialog o ochraně osobních údajů v tom směru, aby účinná ochrana práv subjektů údajů nekončila na hranicích Evropského hospodářského prostoru. Zasadí se též o prosazování problematiky ochrany osobních údajů a výměnu informací a poskytování spolupráce na mezinárodních společenstvích a fórech. Klade si též za cíl podporovat standard vysoké úrovně ochrany osobních údajů a posílení zapojení EDPB do mezinárodních diskuzí týkajících se zejména mezinárodního dialogu o přenosech dat, přístupu veřejných orgánů k osobním údajům a také otázek ochrany osobních údajů v nově vznikajících technologiích.
EDPB se bude rovněž snažit posílit a usnadnit spolupráci mezi členy EDBP a dozorovými orgány zabývající se ochranou osobních údajů ve třetích zemích, a to zejména při prosazování ochrany osobních údajů. Co se týká otázky přenosu dat do třetích zemí, tak EDPB upře svoji pozornost na konkrétní nástroje z GDPR jako je rozhodnutí o odpovídající ochraně, kodexy chování, osvědčení, závazná podniková pravidla, ke kterým bude poskytovat pokyny k jejich praktické implementaci a jejich využívání v praxi.