GDPR revize 2024: Jak to dopadne?

Přelomové obecné nařízení o ochraně osobních údajů, GDPR, slavilo v roce 2023 již 5 let účinnosti. Tento klíčový předpis přinesl unifikovaný rámec ochrany osobních údajů. Interpretace i samotná praxe se pochopitelně dále vyvíjejí, a to především v návaznosti na judikaturu Soudního dvora EU, pokyny Evropského sboru pro ochranu osobních údajů (EDPB) ale i rozvoj digitalizace, technických nástrojů pro zpracování informací a již schválené nebo připravované legislativní předpisy, např. v oblastech umělá inteligence či sdílení dat. 

Evropská komise zahájila práce na dalším hodnocení GDPR. Kdokoliv se může zapojit a do 8. února 2024 zaslat připomínky či komentáře k GDPR a jeho fungování v praxi.

Revize GDPR číslo byla spuštěna!

V roce 2024 proběhne značně obsáhlejší revize GDPR. Není vyloučeno ani otevření textu GDPR pro případné novelizace. To již Evropská komise avizovala v roce 2020, kdy naznačila potřebu změny a částečně mírnější režim, zejména pokud jde o záznamy o zpracování malými a středními podniky, které nemají zpracování osobních údajů jako hlavní předmět své činnosti, a případnou harmonizaci věku nezletilého u udělování souhlasu v online prostředí podle článku 8 GDPR.

Jak vidí nutnost revize GDPR Rada EU?

Jinak se k problematice případných úprav GDPR postavila Rada EU. Ta během listopadu 2023 vypracovala svou pozici k evaluaci GDPR, ve které uvedla, že považuje GDPR za úspěšné jak z pohledu zvýšené úrovně ochrany jednotlivců, tak z pohledu inspirace v celosvětovém měřítku. Rada tak nepožaduje komplexní revizi GDPR. 

Na straně druhé ale Rada předkládá několik návrhů ke zlepšení, konkrétně v těchto oblastech:

• Mezinárodní předávání osobních údajů. Rada vyzývá Evropskou komisi, aby přednostně dokončila přezkum stávajících rozhodnutí o přiměřenosti ochrany dat v dalších státech a aby předložila komplexní strategii pro přijímání budoucích rozhodnutí. Rada bere na vědomí, že některé nástroje přenosu nebyly plně využívány, a to z důvodu složitosti procesu jejich přijímání. Proto se domnívá, že je třeba poskytnout další pokyny a podporu, které by usnadnily přijetí a využívání nástrojů přenosu, jako jsou kodexy chování, certifikace a závazná podniková pravidla.
• Digitalizace. Rada zdůraznila nutnost konzistence nových evropských předpisů z oblasti datové regulace a GDPR. Proto vyzývá EDPB, aby v případě potřeby přijal specializovaná stanoviska a pokyny, které objasní, jak je třeba ustanovení GDPR uplatňovat ve světle nových právních předpisů, např. DSA, DMA, Data Act atd. Rada rovněž vnímá potřebu bližších pokynů k anonymizaci a pseudonymizaci údajů a taktéž k profilování a bodovému hodnocení (scoring), které jsou optikou Rady integrována do technologických řešeních mnoha sektorů. To může znamenat významná rizika pro práva subjektů údajů.
• Rada vyzvala EDPB k vypracování dalších pokynů ve věcech ochrany nezletilých a ve zpracování osobních údajů pro účely výzkumu a archivace. Prostor ponechaný vnitrostátním právním předpisům pro vymezení konkrétního rámce pro určitý druh zpracovatelských činností podle Rady zůstávají přínosné. Z mého pohledu se jedná o tvrzení v rozporu s cílenou unifikací, což se projevuje především u přeshraničních obchodních vztahů. Zátěž některých ustanovení při jejich uplatňování menšími subjekty, jako jsou malé a střední podniky a místní orgány.

Co by mohlo být obsahem revize?

Z výše uvedeného lze dedukovat směr, kterým by se obsah revize mohl ubírat. Navzdory tomu, že GDPR je většinově hodnoceno jako kvalitní legislativní předpis s globálním přesahem, jsou i zde určité aspekty, na které by nejspíš stálo za to podívat se novou optikou.

INOVACE

Jednou z priorit Evropské komise by mělo být zajištění plné kompatibility a funkčnosti s novou datovou a kyberbezpečnostní legislativou, která před 5 lety neexistovala. To je relevantní jak z pohledu právní jistoty, tak z pohledu absence (i nezamýšlených) bariér inovací a nových technologií. GDPR by tak mělo dostát své reputaci jakožto „future proof  základ arzenálu digitálních předpisů EU, které utvářejí datovou ekonomiku EU“.

Typicky se jedná o úpravu umělé inteligence (UI) a IoT. Doposud neexistuje jasný právní základ pro trénování a testování nových IT aplikací a systémů, zejména se speciálními kategoriemi osobních údajů jako jsou např. zdravotní osobní údaje. Návrh AIA v komisní verzi poskytuje právní základ v článku 10(5). Ten je však bohužel omezen na vývoj vysoce rizikové umělé inteligence a použije se pouze v případě, kdy je testování nezbytně nutné pro účely prevence diskriminace. Vývoj a testování systémů umělé inteligence včetně pseudonymizovaných, tedy stále osobních, údajů však může být důležitý i pro další veřejné zájmy a cíle. Dále se jako prakticky komplikované může ukázat dodržování zásady minimalizace dat, kdy požadavky na efektivní fungování UI jsou opačné – k vývoji algoritmu je potřebné velké množství dat.

Dalšími oblastmi náležícími do této kategorie jsou sdílení dat nebo blockchain. Ve vtahu ke legislativní úpravě sdílení dat bude nezbytné posoudit právo na přenositelnost dle článku 20 GDPR. Podle mého názoru je zásadní upřesnit pravidla pro přenositelnost tzv. odvozených údajů, tedy dat, které správci neposkytl přímo subjekt údajů. Zejména u informací citlivé z obchodního hlediska nebo údajů, které správci sami vytvořili a analyzovali/obohatili, a které jsou předmětem jejich vlastnictví, je široký výklad práva na přenositelnost, který zastává zejména Evropský sbor, problematický.

U blockchain se skýtá zajímavá otázka v souvislosti s právem na výmaz dle GDPR. Základní potenciální nesoulad plyne přímo z permanentní povahy blockchainu, u kterého by realizace práva na výmaz znamenala narušení integrity dat a samotné základní funkce. Právo na výmaz bude nezbytné interpretovat tak, aby se nejednalo o regulatorní překážku blokující další vývoj této technologie.

ANONYMIZACE

Digitalizace často vyžaduje analyzování většího objemu dat, k čemuž často stačí anonymizované údaje. Pokud však – jak je uvedeno v bodě odůvodnění 26 GDPR a většinově vykládáno – jsou osobní údaje definovány objektivně, a nikoli ve vztahu k příslušnému správci údajů, je často obtížné zajistit skutečnou anonymizaci dat. Možností by bylo na místě uložit správcům údajů povinnost, aby průběžně zajišťovali dostatečnost svých postupů k prevenci rizik opětovné identifikace, a aby svá opatření upravili, pokud je to nezbytné. Zde je vhodnou inspirací nedávný rozsudek SDEU. 

VZTAH KE TŘETÍM ZEMÍM

Z praxe je znatelný i patrný nedostatek v oblasti nástrojů pro mezinárodní předávání údajů do třetích zemí. Konkrétně by v návaznosti na EU-US Data Privacy Framework měla Evropská komise rozvinout flexibilitu přijímání a množství rozhodnutí o přiměřenost, a to i v hledáčku Damoklova meče Schrems III. Taktéž je nutno posoudit rovinu požadavků na ochranu osobních údajů a kybernetické bezpečnosti v kontextu vztahu ke třetím zemím, třeba u chystané úpravy cloudů (EU Cloud Certification Scheme, EUCS).

KODEXY CHOVÁNÍ

Za hlubší úvahu a analýzy by jistě stál i nízký počet dosud přijatých kodexů chování podle článku 41 GDPR. Je možné, že jejich nízký počet souvisí s extenzivním výkladem požadavků GDPR ze strany EDPB? GDPR v čl. 41 hovoří o tom, že k monitorování souladu s kodexem může být ustanoven odborný orgán. Podle EDPB se ovšem jedná o podmínku pro schválení kodexu.  Nebo jsou příčinou případné požadavky národních dohledových orgánů ještě nad tento rámec?

ZÁVAZNÁ PODNIKOVÁ PRAVIDLA

Taktéž by nebylo od věci zlepšit velmi malou míru využívání dalšího nástroje pro předávání osobních údajů do třetích zemí, tzv. závazných podnikových pravidel dle článku 47 GDPR. Relativně nízký počet schválených závazných podnikových pravidel, cca 50, velmi často plyne z dlouhého schvalovacího procesu a opětovně požadavků EDPB jdoucích nad rámec GDPR. Takto rigidní proces je pro mnohé podniky odrazujícím.

MANDÁT EDPB

To nás vede přímo k další, již naznačené oblasti, a tedy roli EDPB a dopadu jeho pokynů. 

Dosavadní zkušenosti ukazují, že existují oblasti, jako je mezinárodní předávání údajů, právo na přístup či porušení ochrany údajů, v nichž EDPB dostatečně neuplatňuje přístup založený na riziku a zásadě proporcionality zakotvené v GDPR anebo některá ustanovení (např. nezbytnost v článku 22 GDPR) interpretuje nad rámec normativního textu. Toto téma snad Evropská komise v plánované hodnotící zprávě neopomene, jako tomu bylo posledně.  

Stihne se to do května?

Ke zveřejnění hodnotící zprávy Evropské komise by mělo dojít v květnu tohoto roku. Tento termín však může být posunut z důvodu nadcházejících voleb do Evropského parlamentu a následný přesun mandátu k vydání zprávy pod Evropskou komisi.

Můžeme se vyjádřit?

Určitě ano. Evropské komise již zahájila veřejnou konzultaci. Touto formou bude možné sdělit kritiku i návrhy na zlepšení současného GDPR rámce. 

Jaké hlavní nedostatky jste objevili vy? Dejte nám vědět na [email protected], naše redakce připomínky konsoliduje a pošle je Evropské komisi.

Celý článek si můžete přečíst na gdpr.cz