Dále se Evropská komise vágně věnovala především nedostatkům v mezinárodním předávání osobních údajů. Obecně lze říci, že spíš chodila kolem horké kaše, a poněvadž výsledkem naštěstí nebylo znovuotevření neboli revize nařízení, což by bylo vzhledem ke krátké době účinnosti kontraproduktivní, nedočkala se velkého mediálního zájmu.
Poté měla Evropská komise povinnost provést v roce 2024 druhé hodnocení GDPR, po kterém se může rozhodnout nařízení revidovat nebo změnit. Je to potřeba? Vyhovuje text GDPR nadále plnění svého účelu? Je toto kolo hodnocení Evropské komise konkrétnější? Plynou z hodnocení nějaké dopady pro pojišťovnictví? A byly připomínky pojistného sektoru Evropskou komisí reflektovány?
Realizace hodnocení probíhala v několika krocích. Nejdřív byla otevřena veřejná konzultace, do které bylo možné podněty posílat do února 2024. Květnový termín vydání hodnoticí zprávy z pera Evropské komise byl o něco posunut, nejspíš i z důvodu načasování prolínajícího se s vytížením evropských orgánů v důsledku voleb do Evropského parlamentu a konstituce nové Evropské komise.
Finální verze Druhé zprávy o uplatňování obecného nařízení o ochraně osobních údajů2 (hodnoticí zpráva) byla nakonec vydána v červenci 2024. Evropská komise vycházela z vlastních zjištění, zpětné vazby poskytnuté zúčastněnými stranami včetně pojistného sektoru, dohledovými orgány, EDPB, Agenturou pro základní práva, postoje Rady3
.
Rada svou pozici k evaluaci GDPR vypracovala již koncem minulého roku. Za oblasti vyžadující pozornost dle očekávání vymezila zefektivnění mezinárodního předávání osobních údajů, nutnost konzistence nové legislativy s GDPR i Pokyny EDPB a jejich případnou aktualizaci. Suma sumárum však nepožaduje komplexní revizi GDPR.
Evropský parlament přijal své stanovisko k revizi GDPR4 v dubnu 2024, ve kterém akcentoval posílení vymáhání GDPR, zejména pokud jde o přeshraniční případy, zlepšení spolupráce mezi národními dozorovými orgány a harmonizaci procesních pravidel napříč členskými státy, zjednodušení požadavků pro SMEs řešení úpravy věku souhlasu nezletilých.
Faktem však zůstává, že navzdory tomu, že GDPR je kvalitním předpisem, který v podstatě dostává své future proof reputaci, nadále panují určité praktické i interpretační nejasnosti, které nejenom pojistný sektor komunikoval již v roce 2020.
Pro řádný výkon činnosti pojistného sektoru jsou data rozhodně klíčová. Nejde jen o splnění právních a regulačních povinností, ale také o zásadní faktor pro získání a udržení důvěry zákazníků. Jejich význam však neustále stoupá i v obecné rovině a tím pádem i potřeba jejich ochrany z hlediska individuálních práv subjektů osobních údajů a taktéž z hlediska rozvoje digitální ekonomiky. Relevantním faktorem je zde hlavně technologický progres. Čím dál tím běžnější využívání nových technologií (např. umělá inteligence (UI), IoT, blockchain, big data) je vhodné aktuálně posoudit optikou GDPR a zajistit, že ochrana v rámci právního rámce zůstane proporcionální, relevantní a účinná. Odrazem technologického progresu je přirozeně i právní vývoj. Od doby nabytí účinnosti GDPR máme mnohem širší a komplexnější legislativu – či už se jedná o nařízení o umělé inteligenci, kyberbezpečnostní předpisy (např. DORA nebo NIS2), nebo předpisy upravující data. Jak často doporučuji, je vhodné je společně s GDPR vnímat jako spojené nádoby.Dále za poslední léta víme, že navzdory právní formě GDPR jakožto unifikujícího nařízení nejsou implementace a výklad v jednotlivých členských státech EU naprosto jednotné. Cílem by tak měla být i hlubší harmonizace. Z globálního pohledu je potřeba zohlednit mezinárodní aspekty, například přenosy údajů do třetích zemí. To ostatně akcentovala i Rada a Evropský parlament.
Celkově je cílem přezkumu zajistit, aby GDPR zůstalo efektivním nástrojem pro ochranu osobních údajů v dynamickém a rychle se měnícím prostředí. Je v této fázi tedy potřebná revize, nebo bude výsledkem zadání Evropské komise hodnoticí zpráva opětovně bez otevírání textu GDPR?
Okruhy, na které je vhodné se podívat z blízka, se za poslední čtyři roky až tak nezměnily a jednoznačné odpovědi nejsou k dispozici. Častým příkladem ilustrujícím tento stav je nezamýšlený dopad GDPR na inovace. Nově vznikající technologie mohou být na jedné straně ohroženy nedostatkem pokynů a na straně druhé příliš striktním výkladem, který poskytují stávající pokyny předložené EDPB. Například u blockchainu je jeho potenciál pro zvýšení efektivity, důvěryhodnosti a transparentnosti dobře znám, avšak stále není jasné, jak lze jeho používání sladit s právem na výmaz a právem na opravu podle GDPR.
Relevantním příkladem je taktéž i ze strany pojistného sektoru kritizovaný nadbytečně úzký výklad „nezbytnosti“ provádění výhradně automatizovaných procesů (článek 22 odst. 1 GDPR) dle pokynů EDPB, což má za následek odrazování od zavádění inovativních produktů, např. poskytování služby v reálném čase, kdy obvykle není možno prokázat tuto „nezbytnost“ zpracování pro uzavření smlouvy. Tímto oslím můstkem se lze dostat k pokynům EDPB obecně.
Jedná se nepochybně o užitečný nástroj EDPB pro provádění a dodržování GDPR. Avšak ne vždy došlo k plnému zohlednění praktické realizace nároků pokynů. Například z Pokynů k právu na přístup EDPB vyplývá, že na základě výslovné žádosti subjektu osobních údajů o přístup by společnost měla vyhledat údaje této fyzické osoby ve všech svých IT systémech, včetně záložních systémů. Požadavek, aby správce prohledával záložní systémy, které nemusí být snadno nebo jednoduše přístupné, představuje nepřiměřené úsilí. Záložní údaje jsou osobní údaje uložené výhradně za účelem obnovení údajů v případě ztráty údajů, a proto by neměly být zahrnuty do rozsahu práva na přístup.
Oblíbeným příkladem, kdy jdou některé požadavky EDPB nad rámec regulace, je výklad souhlasu dle článku 22 odst. 2 písm. c) GDPR. Pokyny EDPB k souhlasu se zpracováním osobních údajů uvádějí, že správci opírající se o souhlas jakožto právní základ profilování mají prokázat, že subjekt osobních údajů přesně porozumí obsahu tohoto souhlasu. Požadavek na přesné porozumění obsahu souhlasu v této věci je disproporční a prakticky nerealizovatelný, a to i v kontextu podmínek informovanosti subjektu údajů dle článků 13 až 15 GDPR. Tato debata totožně probíhá i u tématu UI.
Do třetice uvádím rozpor mezi požadavky obsaženými v Pokynech pro posouzení vlivu na ochranu údajů (DPIA) a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“, a GDPR. Pokyny rozšiřují povinné provedení DPIA i na situace, kdy není jednoznačné, že DPIA je vyžadována (str. 8), což způsobuje právní nejistotu a zvyšuje náklady. Tyto pokyny také uvádějí lokalizační a finanční údaje jako citlivé údaje nebo údaje vysoce osobní povahy (str. 9–10), což ale není v souladu s výčtem v článcích 9 a 10 GDPR.
Seznam příkladů inkonzistence nebo překračování limitů přímo zakotvených v GDPR není ani zdaleka konečný, avšak vytváří představu o interpretačních detailech, které mohou přinášet praktické aplikační potíže, zvyšovat náklady a vytvářet nežádoucí stav právní nejistoty, kterému je nutno předcházet. Nesoulad pokynů EDPB a GDPR by neměl být dále ignorován. Ale je.
Další kritickou oblastí pro hodnocení by měl být mechanismus GDPR pro mezinárodní předávání údajů. Zajištění bezproblémového toku dat mezi členskými státy EU a třetími zeměmi je pro evropské podniky esenciální. Proto by (nová) Evropská komise měla přijmout opatření, která zajistí, aby společnosti mohly plně využívat všechny nástroje pro mezinárodní předávání stanovené v GDPR. V této fázi je využívání stávajících nástrojů, jako jsou kodexy chování a závazná podniková pravidla, omezené kvůli vysokým požadavkům kladeným EDPB a dlouhým a složitým schvalovacím procesům.
Role Evropské komise je klíčová také u zakotvení rozhodnutí o přiměřenosti. Tento mechanismus více méně stagnuje, a to navzdory tomu, že by se mohlo jednat o nejvhodnější nástroj pro mezinárodní předávání údajů poskytující záruky pro společnosti i spotřebitele. Současný seznam zemí, na které se vztahuje rozhodnutí o odpovídající ochraně, je však stále poměrně omezený a nepokrývá předávání údajů v prostředí, v němž globální výměna údajů roste.
Věnovala se Evropská komise těmto okruhům? Asi není překvapením, že se Evropská komise zaměřila na méně kontroverzní otázky než ty, které zmiňuji výše. Opětovně zůstala spíše v obecné rovině a konstatovala přínos GDPR pro globální rozvoj ochrany soukromí, ve kterém je potřebné nadále pokračovat. Zdůraznila význam unifikace. Akcentovala význam technologicky neutrálního přístupu.
Ve vztahu k národním dohledovým orgánům a EDPB byla mírná. Kvitovala prohlubující se spolupráci mezi národními dohledovými orgány a případy schopnosti nekompromisního přístupu v oblasti prosazování, včetně ukládání značných pokut v přelomových řízeních proti technologickým nadnárodním společnostem např. ve věcech porušení zákonnosti a bezpečnosti zpracování či porušení zpracování zvláštních kategorií osobních údajů.
Obecně byly kromě pokut nejčastěji používanými nápravnými opatřeními upozornění, napomenutí a příkazy. Nejméně nápravných opatření bylo uloženo v Lichtenštejnsku a Česku. Dohledové orgány údajů zahájily více než 20 000 šetření z vlastního podnětu a dostávají více než 100 000 stížností ročně.
Ačkoli většina dohledových orgánů považuje vyšetřovací nástroje za dostatečné, některé z nich požadují další nástroje na vnitrostátní úrovni, např. sankce v případě, že správci nespolupracují nebo neposkytují nezbytné informace. Za hlavní faktor ovlivňující jejich schopnost prosazovat právo považují nedostatečné zdroje a nedostatky v technických a právních znalostech. Obdobně tomu tak bylo i roce 2020.
V oblasti omezenosti lidských, technických a finančních zdrojů dohledových orgánů došlo dle zjištění Evropské komise od roku 2020 ke zlepšení. Druhou stranou mince je, že ačkoli statistiky vykazují vzestupný trend, samotné úřady se domnívají, že stále chybí moderní vybavení a dostatečné a odborné lidské zdroje. Ve zkratce, nemají potenciálním zaměstnancům co nabídnout.
Další zmíněnou rovinou bylo spotřebovávání zdrojů na vyřizování stížností, z nichž většinu považují za banální a neopodstatněné. Tyto zdroje by se daly použít na jiné činnosti, jako jsou šetření z vlastního podnětu, osvětové kampaně a spolupráce se správci.
Výše znázorněné potenciální překračování pravomocí EDPB nebylo ze strany Evropské komise opětovně řešeno. Bylo pouze konstatováno, že i když zúčastněné strany včetně národních dohledových orgánů považují pokyny EDPB za užitečné, měly by být poskytovány rychleji a měla by se zlepšit jejich kvalita. Byla jim vyčítána příliš teoretická povaha, zdlouhavost a to, že neodrážejí přístup GDPR založený na posouzení rizik. Dále, pokyny by měly být srozumitelné i pro osoby bez právního vzdělání, např. v malých a středních podnicích (SMEs) a dobrovolnických organizacích. Vyšší míru praktičnosti pokynů si EDPB již vymezil ve své strategii na období 2024–20275. Uvidíme, zda tento cíl naplní.
Kromě toho by EDPB měl přijmout další pokyny – k anonymizaci a pseudonymizaci, oprávněnému zájmu a vědeckému výzkumu.Ze zpětné vazby vyplynula i obecná nespokojenost s fragmentací interpretace GDPR, což je vnímáno jako primární překážka důsledného uplatňování, právní jistoty a hospodárného přístupu (např. tím, že se vyžaduje různá dokumentace pro několik členských států), přeshraničního obchodu a inovací. Nejednotnost výkladu je vnímána např. u právních základů, souhlasu nezletilého, zpracování genetických údajů, biometrických údajů, údajů o zdravotním stavu a údajů týkajících se odsouzení v trestních věcech a trestných činů.
Pozitivně však byl hodnocen význam judikatury Soudního dvora pro sjednocení výkladů (v posledních letech přibližně 30 rozhodnutí o předběžné otázce ročně), např. u samotné definice osobních údajů, jejich kategorizace, správce, právních základů, práv, automatizovaného individuálního rozhodování, DPO apod.
Podle zprávy jsou jednotlivci více obeznámeni se svými právy a aktivně je uplatňují, i když i v této oblasti panují rozdíly mezi členskými státy.
Podniky konstatují, že práva na přístup a na výmaz jsou využívána stále častěji, zatímco v případě práva na opravu a práva vznést námitku je to zřídka. Nejvíce je aplikováno právo na přístup. EDPB přijal v roce 2022 pokyny k tomuto právu, správci však nadále hlásí problémy, například při výkladu pojmu „nedůvodné nebo nepřiměřené žádosti“, reakci na vysoký počet žádostí a vyřizování žádostí, které jsou podávány za účelem nesouvisejícím s ochranou údajů, např. shromažďování důkazů pro soudní řízení.
Organizace občanské společnosti zase kritizují, že odpovědi na žádosti o přístup jsou často opožděné nebo neúplné a údaje nejsou vždy v čitelném formátu. Pro zlepšení snad bude mít význam, že EDPB již zahájil společnou akci koordinovaného rámce pro prosazování týkající se práva na přístup6.
Co se týká práva na přenositelnost, Evropská komise se již v roce 2020 zavázala k usnadnění jeho realizace. Jedná se např. o usnadnění změny poskytovatele služeb nebo připravované inciativy u rámce pro přístup k finančním údajům (FIDA) nebo evropského prostoru pro zdravotní data (EHDS). Kromě toho nařízení o datech poskytuje uživatelům chytrých zařízení posílené právo na přenositelnost údajů vytvářených prostřednictvím těchto zařízení a ukládá, aby konstrukce výrobku nebo backendového serveru výrobce nebo držitele dat tuto přenositelnost technicky umožňovala. Nařízení o digitálních trzích zase vyžaduje, aby „gatekeepers“ zajistili účinnou přenositelnost včetně přístupu
v reálném čase.
Dle zadání podle článku 97 GDPR přezkoumala Evropská komise zejména uplatňování a fungování mezinárodního předávání osobních údajů do třetích zemí a mechanismy spolupráce a jednotnosti. Od vydání zprávy z roku 2020 byly požadavky na předávání údajů dále upřesněny a soubor nástrojů se dále vyvíjel. Ze strany EDPB byla doplněna definice7, Soudní dvůr upřesnil dostatečnou míru ochrany nástrojů rovnocennou s ochranou v EU ve věci Schrems II8, což EDPB reflektoval v pokynech jakožto „referenční rámec pro odpovídající ochranu“ a pokyny celkově doplnil.
V oblasti rozhodnutí o odpovídající ochraně hodnotí Evropská komise svou činnost jako aktivní.
Zpětná vazba, kterou Evropská komise obdržela, by se dala označit jako smíšená. Používání standardních smluvních doložek (SCCs) se liší. Zatímco zejména SMEs je používají v celém rozsahu nebo částečně, především větší společnosti dávají přednost vlastním. Obecně jejich modernizace a Q&As rozhodně nebyly na škodu. SCCs jsou zdaleka nejpoužívanějším nástrojem. Avšak pro přetrvávající nejistoty u posouzení dopadů předávání údajů dle Schrems II, jeho složitost, náklady a čas jsou požadovány další pokyny (např. ohledně odpovědnosti zúčastněných stran a úrovně podrobností požadované při posouzení dopadů předávání údajů) a pomocné nástroje (např. šablony, obecná hodnocení zemí, katalogy rizik). Hypotetický zájem o kodexy chování neklesá. Prakticky však přetrvávají ty samé překážky jako před několika lety, což je znát i z jejich nadále kriticky nízkého počtu9. Mezi hlavní blokátory jejich formulace a implementace patří zatěžující požadavky (včetně nutnosti zřídit akreditovaný subjekt pro sledování), nedostatečné zapojení národních dohledových orgánů a zdlouhavý schvalovací proces. Evropská komise však tuto problematiku nijak zvlášť nereflektovala.
Mezi budoucí výzvy je řazeno především další prohloubení mezinárodní spolupráce.
K DPO Evropská komise analyzovala několik hlavních problémů, mezi něž řadí odbornost, chybějící celounijní normy pro vzdělávání, nedostatečné začlenění DPO do organizačních procesů, zdroje, dodatečné úkoly mimo oblast ochrany údajů a nedostatečnou senioritu.
Evropská komise se ve zprávě nevyhnula problematice práv dětí online i offline. Dříve avizované otevření debaty ke sjednocení věku nezletilého pro udělení souhlasu však nebylo zmíněno. Místo toho spíš Evropská komise akcentovala zvýšenou zranitelnost a ovlivnitelnost nezletilých a jejich přirozeně nižší schopnost porozumění. Počátkem roku 2024 i proto zřídila pracovní skupinu pro ověřování věku, jejímž cílem je projednat rozvoj celounijního přístupu k ověřování věku nejenom v kontextu GDPR. Dále můžeme očekávat pokyny z pera EDPB k této oblasti. Jejich příprava by měla být v procesu.
Závěrem Evropská komise uvádí, že za šest let svého uplatňování posílilo GDPR postavení lidí tím, že jim umožnilo mít kontrolu nad svými údaji. Pomohlo také vytvořit rovné podmínky pro podniky a posloužilo jako základní kámen pro celou řadu iniciativ, které jsou hnací silou digitální transformace v EU.
Aby bylo možné v plném rozsahu dosáhnout souběžných cílů GDPR, tedy silné ochrany jednotlivců a zároveň zjištění volného pohybu osobních údajů v rámci EU a bezpečného pohybu údajů mimo EU, je třeba se zaměřit na:
– důsledné prosazování a vymáhání GDPR počínaje rychlým přijetím návrhu Komise o procesních pravidlech ze strany Evropského parlamentu a Rady s cílem zajistit rychlou nápravu a právní jistotu a také hlubší spolupráci EDPB a národních dohledových orgánů,
– proaktivní podporu poskytovanou dohledovými orgány, zejména SMEs a malým hospodářským subjektům, pro které by bylo vhodné zjednodušit některé povinnosti,
– jednotný výklad a uplatňování GDPR v celé EU, a to i u věkové hranice nezletilých u souhlasu,
– kompatibilitu s novými technologiemi a jejich legislativní úpravou,
– účinnou spolupráci mezi regulačními orgány na vnitrostátní úrovni i na úrovni EU,
– další pokrok v mezinárodní strategii v oblasti ochrany údajů.
- EDPB by tím pádem měl:
navázat pravidelnou spolupráci s ostatními odvětvovými regulačními orgány v otázkách, které mají dopad na ochranu údajů, zejména v digitální oblasti,
– více využívat nástroje pro spolupráci, aby se řešení sporů používalo méně,
– zavést účinnější a cílenější pracovní postupy pro pokyny, stanoviska a rozhodnutí a stanovit priority pro klíčové otázky s cílem snížit zátěž národních dohledových orgánů a rychleji reagovat na vývoj na trhu,
– zaměřit se na SMEs,
– posunout reálný význam kodexů chování,
– sjednotit odlišné národní výklady,
– poskytovat pokyny, které jsou stručné, praktické a přístupné,
– zajistit včasnější a smysluplnější konzultace o pokynech a stanoviscích s cílem lépe porozumět dynamice trhu a obchodním postupům, náležitě zohlednit získanou zpětnou vazbu,
– přednostně dokončit probíhající práci na pokynech týkajících se údajů o dětech, vědeckého výzkumu, anonymizace, pseudonymizace a oprávněného zájmu,
– zefektivnit a zkrátit proces schvalování závazných podnikových pravidel a aktualizace pokynů,
– prozkoumat nástroje nápomocné k dodržování kritérií Schrems II,
– zintenzivnit činnost za účelem zvyšování informovanosti.
Členské státy jsou opětovně úkolované k vytvoření vhodných podmínek pro fungování a rozvoj národních dohledových orgánů, a to hlavně z perspektivy zdrojů k zajištění jejich nezávislosti a spolupráce s dalšími orgány. Dále Evropská komise prioritizuje přijetí Úmluvy Rady Evropy 10810, což se týká i České republiky.
Evropská komise bude nadále pokračovat ve své monitorovací činnosti. Kromě toho se zavázala k dosažení progresu v probíhajících jednáních o odpovídající ochraně, dokončení prací na dalších SCCs, podpoře třetích zemí v implementaci legislativy dle vzoru GDPR a mezinárodní spolupráci.
Hodnoticí zprávu má teď na stole Evropský parlament a Rada, které ji budou analyzovat. Výsledkem mohou být doporučení nebo návrhy na konkrétní legislativní změny, což by bylo počátkem standardního legislativního procesu. Vzhledem k obsahu hodnoticí zprávy je však pravděpodobnost tohoto vývoje nízká.
Tak, či onak, další pravidelné hodnocení GDPR rámce bude Evropská komise realizovat v roce 2028, kdy bude možné lépe posoudit dopad nově přijatých právních předpisů v oblasti datové strategie a provést komplexnější hodnocení souboru digitálních pravidel EU. Obstojí GDPR jakožto future proof legislativní kus posilující rozvoj ekonomiky i důvěry spotřebitelů i za pár let? Nebo nás pak čeká GDPR 2.0?
1.Tak jde čas s GDPR, Pojistný obzor 3/2020.
2.Druhá zpráva o uplatňování obecného nařízení o ochraně osobních údajů k dispozici zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52024DC0357.
3.Postoj a zjištění Rady ohledně uplatňování obecného nařízení o ochraně osobních údajů k dispozici zde: https://data.consilium.europa.eu/doc/document/ST15507-2023-INIT/cs/pdf.
4.Stanovisko Evropského parlamentu k dispozici zde: https://www.europarl.europa.eu/RegData/etudes/BRIE/2024/757612/EPRS_BRI(2024)757612_EN.pdf.
5.Strategie EDPB na období 2024–2027 k dispozici zde: https://www.edpb.europa.eu/news/news/2024/edpb-sets-out-priorities-2024-2027-and-clarifiesimplementation-dpf-redress_cs
6.Víc informací zde: https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_cs.
7.Mezinárodní předávání údajů zahrnuje jakékoli zpřístupnění osobních údajů správcem nebo zpracovatelem, na jehož zpracování se vztahuje GDPR, jinému správci nebo zpracovateli ve třetí zemi, bez ohledu na to, zda zpracování tímto jiným správcem nebo zpracovatelem GDPR podléhá, či nikoli.
8.Judikát Soudního dvora Evropské unie ve věci Schrems II dostupný zde: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en. pdf. V tomto očekávaném rozsudku ze dne 16. 7. 2020 došlo k zneplatnění prováděcího rozhodnutí Evropské komise 2016/1250, tzv. EU-US Privacy Shield z důvodu nedostatečné míry ochrany osobních údajů v USA.
9.Dle zprávy byly schváleny pouze dva kodexy pro celou EU, zatímco na vnitrostátní úrovni bylo schváleno šest kodexů.
10.Úmluva Rady Evropy 108 k dispozici zde: https://uoou.gov.cz/cs/zaklad-evropske-ochrany-osobnich-udaju-umluva-c-108.
