Evropský sbor pro ochranu osobních údajů (EDPB) a evropský inspektor ochrany údajů (EDPS) přijali ve středu 11. února společné stanovisko k návrhu souhrnného nařízení o digitálních službách.
Cílem tohoto návrhu (v angličtině zde) je zjednodušit digitální regulační rámec EU, snížit administrativní zátěž a posílit konkurenceschopnost evropských organizací.
EDPB a EDPS se zaměřují na aspekty týkající se GDPR, nařízení EUDPR, směrnice o soukromí a elektronických komunikacích (ePrivacy) a acquis v oblasti údajů. Konkrétně posuzují, zda návrh 1) vede ke skutečnému zjednodušení a usnadňuje dodržování předpisů, 2) přináší větší právní jistotu a 3) ovlivňuje základní práva jednotlivců.
Změny GDPR a EUDPR vzbuzují značné obavy
Některé navrhované změny vzbuzují značné obavy, neboť mohou nepříznivě ovlivnit úroveň ochrany, které požívají fyzické osoby, vytvářet právní nejistotu a ztěžovat uplatňování práva v oblasti ochrany údajů.
EDPB a EDPS důrazně vyzývají normotvůrce, aby navrhované změny definice osobních údajů nepřijímali, neboť jdou daleko nad rámec cílené nebo technické změny GDPR. Kromě toho přesně neodrážejí a jasně překračují rámec judikatury Soudního dvora Evropské unie a vedly by k výraznému zúžení pojmu osobní údaje. Evropské komisi by nemělo být svěřeno, aby prostřednictvím prováděcího aktu rozhodla, které údaje po pseudonymizaci již nejsou osobními údaji, neboť to přímo ovlivňuje oblast působnosti právních předpisů EU o ochraně údajů.
„Zjednodušení je nezbytné pro snížení byrokracie a posílení konkurenceschopnosti EU, nikoli však na úkor základních práv. Vítáme kroky Komise směrem k větší harmonizaci, soudržnosti a právní jistotě. Důrazně však vyzýváme normotvůrce, aby navrhované změny definice osobních údajů nepřijímali, neboť hrozí, že výrazně oslabí ochranu osobních údajů,“ vyjádřila se předsedkyně EDPB Anu Talus (na snímku výše).
„Naléhavě vyzýváme normotvůrce, aby navrhované změny definice osobních údajů nepřijímali. Tyto změny nejsou v souladu s judikaturou Soudního dvora a výrazně by zúžily pojem osobních údajů. Musíme zajistit, aby veškeré změny obecného nařízení o ochraně osobních údajů a nařízení o zpracování osobních údajů orgány, institucemi a jinými subjekty Unie skutečně vyjasnily povinnosti a přinesly právní jistotu a zároveň zachovaly důvěru a vysokou úroveň ochrany práv a svobod jednotlivců,“ vyzývá evropský inspektor ochrany osobních údajů Wojciech Wiewiórowski (na snímku výše).
Kroky správným směrem
EDPB a EDPS jsou pro zvýšení prahové hodnoty rizika vedoucí k povinnosti oznámit porušení zabezpečení údajů příslušnému úřadu pro ochranu osobních údajů a prodloužení lhůty pro předložení takového oznámení. Tím by se výrazně snížila administrativní zátěž organizací, aniž by byla dotčena ochrana osobních údajů jednotlivců. Navrhované společné šablony a seznamy pro případy porušení ochrany údajů (data breach) a posouzení vlivu na ochranu osobních údajů (DPIA) jsou vnímána pozitivně.
EDPB a EDPS rovněž vítají navrhované zavedení nové výjimky pro zpracování zvláštních kategorií údajů pro biometrickou autentizaci, kdy jsou prostředky ověřování pod výlučnou kontrolou fyzické osoby. V neposlední řadě podporují harmonizaci pojmu „vědecký výzkum“ a další související změny, neboť posilují právní jistotu a přispívají k větší harmonizaci.
Změny vyžadující doladění
Jak je uvedeno ve stanovisku EDPB 28/2024 k modelům AI, oprávněný zájem může být v některých případech použit jako právní základ v souvislosti s vývojem a zaváděním modelů nebo systémů AI. EDPB a EDPS proto nepovažují za nutné zahrnout do GDPR zvláštní ustanovení týkající se této záležitosti.
EDPB a EDPS vítají cíl návrhu zavést zvláštní výjimku ze zákazu zpracovávat citlivé údaje, která se za určitých podmínek vztahuje na náhodné a zbytkové zpracování těchto údajů v souvislosti s vývojem a provozem systémů nebo modelů AI. Doporučují však několik zlepšení, jako je vyjasnění oblasti působnosti odchylky a zajištění záruk v průběhu celého životního cyklu.
EDPB a EDPS souhlasí s cílem Komise poskytnout správcům právní srozumitelnost v případech, kdy čelí zneužití práv ze strany subjektů údajů. Domnívají se však, že výkon práva na přístup pro jiné účely, než je ochrana osobních údajů, by neměl být prvkem definujícím, co je zneužití. Pokud jde o novou výjimku z důvodu transparentnosti, EDPB a EDPS podporují zjednodušení požadavků na informace a snížení administrativní zátěže, zejména pro malé a střední podniky, navrhují však vyjasnění s cílem zajistit právní jistotu a to, aby fyzické osoby mohly v případě potřeby stále dostávat příslušné informace o svých údajích.
V neposlední řadě by měly být vyjasněny změny provedené v ustanovení o automatizovaném individuálním rozhodování, tak, aby byly změny smysluplné a právně spolehlivé.
Změny směrnice o soukromí a elektronických komunikacích (ePrivacy)
EDPB a EDPS důrazně podporují cíl poskytnout regulační řešení únavy z poskytování souhlasu a šíření bannerů na cookies. To se týká například navrhovaných požadavků na používání automatizovaných a strojově čitelných indikací rozhodnutí jednotlivců ohledně zpracování jejich údajů. Používání technických prostředků může správcům zjednodušit dodržování předpisů a podpořit fyzické osoby při účinném rozhodování on-line.
EDPB a EDPS rovněž vítají omezené dodatečné výjimky z obecného zákazu uchovávat osobní údaje v koncovém zařízení nebo k nim získat přístup a dále vyzývají normotvůrce, aby spíše podněcovali kontextovou reklamu než behaviorálně cílenou reklamu tím, že doplní zvláštní výjimku doprovázenou některými zárukami.
EDPB a EDPS vítají skutečnost, že dohled nad těmito záležitostmi bude svěřen úřadům pro ochranu osobních údajů.
EDPB a EDPS zároveň zdůrazňují právní a technické obtíže způsobené koexistencí dvou různých režimů pro osobní a neosobní údaje. Poskytují rovněž další doporučení ke zvýšení právní jistoty, minimalizaci rizika a podpoře odpovědných inovací.
Změny acquis v oblasti údajů
EDPB a EDPS podporují zjednodušení acquis v oblasti dat tím, že do aktu o datech budou začleněna pravidla aktu o správě dat a směrnice o otevřených datech týkající se opakovaného použití dat a dokumentů v držení subjektů veřejného sektoru.
Pokud jde o přístup poskytovaný veřejnými subjekty pro opakované použití, doporučují zachovat jasnost, kterou poskytuje stávající právní rámec, konkrétně to, že neukládá subjektům veřejného sektoru povinnost povolit opakované použití, ani neposkytuje právní základ pro udělení přístupu.
Pokud jde o krizové situace, EDPB a EDPS doporučují potvrdit, že osobní údaje mohou být sdíleny se subjekty veřejného sektoru pouze v pseudonymizované podobě v případech, kdy anonymní údaje nepostačují k reakci na krizovou situaci.
Pokud jde o služby zprostředkování dat a organizace pro datový altruismus, EDPB a EDPS zdůrazňují význam důvěryhodného a odpovědného sdílení dat. Doporučují zachovat zvláštní záruky a upřednostňovat transparentnost a dohled.
EDPB a EDPS doporučují dále zefektivnit ustanovení o prosazování (např. umožněním křížové regulační výměny informací o prosazování, a to i s úřady pro ochranu osobních údajů, a vyjasněním úlohy úřadů pro ochranu osobních údajů při prosazování aktu o datech).
EDPB a EDPS vítají, že návrh potvrzuje úlohu Evropského sboru pro datové inovace (EDIB) při podpoře jednotného uplatňování aktu o datech. Pokud jde o vypracování pokynů, doporučují zmocnit Komisi k vydání pokynů k jakémukoli tématu týkajícímu se aktu o datech a vyjasnit úlohu Evropského sboru pro datové inovace při pomoci Komisi v tomto procesu. To by Komisi umožnilo vypracovat společné pokyny s EDPB a EDIB poskytovat Komisi poradenství a pomoc při vypracovávání těchto pokynů.
Úřad pro ochranu osobních údajů
