EVROPSKÁ KOMISE

V Bruselu dne 25.7.2024

COM(2024) 357 final

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

Druhá zpráva o uplatňování obecného nařízení o ochraně osobních údajů

1Úvod

Jedná se o druhou zprávu Komise o uplatňování obecného nařízení o ochraně osobních údajů (GDPR) přijatou v souladu s článkem 97 nařízení GDPR. První zpráva byla přijata dne 24. června 2020 (dále jen „zpráva z roku 2020“) ( 1 ).

Nařízení GDPR je jedním ze základních kamenů přístupu EU k digitální transformaci. Jeho hlavní zásady – spravedlivé, bezpečné a transparentní zpracování osobních údajů zajišťující, aby nad ním měli jednotlivci kontrolu, – jsou východiskem všech politik EU týkajících se zpracování osobních údajů.

Od vydání zprávy z roku 2020 přijala EU řadu iniciativ, jejichž cílem je postavit jednotlivce do středu digitální transformace. Každá iniciativa sleduje určitý cíl, například vytvoření bezpečnějšího prostředí online, zajištění spravedlivější a konkurenceschopnější digitální ekonomiky, usnadnění průlomového výzkumu, zajištění rozvoje bezpečné a důvěryhodné umělé inteligence a vytvoření skutečného jednotného trhu s daty. Vždy, když se jedná o osobní údaje, vycházejí tyto iniciativy z nařízení GDPR. Nařízení GDPR je rovněž základem pro odvětvové iniciativy, které mají dopad na zpracování osobních údajů, např. v oblasti finančních služeb, zdravotnictví, zaměstnanosti, mobility a prosazování práva.

Mezi zúčastněnými stranami, úřady pro ochranu osobních údajů a členskými státy panuje široká shoda na tom, že navzdory určitým problémům přineslo nařízení GDPR významné výsledky pro jednotlivce i podniky. Technologicky neutrální přístup založený na posouzení rizik poskytuje subjektům údajů silnou ochranu a správcům a zpracovatelům údajů ukládá odpovídající povinnosti. Zároveň by mělo být dosaženo dalšího pokroku v řadě oblastí. V nadcházejících letech je třeba se zaměřit především na podporu úsilí zúčastněných stran, zejména malých a středních podniků, malých hospodářských subjektů a výzkumných pracovníků a organizací, o dodržování předpisů, na poskytování jasnějších a lépe proveditelných pokynů ze strany úřadů pro ochranu osobních údajů a na dosažení jednotnějšího výkladu a prosazování nařízení GDPR v celé EU.

Podle článku 97 nařízení GDPR by Komise měla přezkoumat zejména uplatňování a fungování mezinárodního předávání osobních údajů do třetích zemí (tj. zemí mimo EU/EHP) (kapitola V nařízení GDPR) a mechanismy spolupráce a jednotnosti mezi vnitrostátními úřady pro ochranu osobních údajů (kapitola VII nařízení GDPR). Stejně jako v případě zprávy z roku 2020 však tato zpráva poskytuje obecné posouzení uplatňování nařízení GDPR nad rámec těchto dvou prvků: uvádí rovněž řadu opatření nezbytných k podpoře účinného uplatňování nařízení GDPR v klíčových prioritních oblastech.

Tato zpráva zohledňuje následující zdroje: i) postoj a zjištění Rady přijaté v prosinci 2023 ( 2 ); ii) vstupy získané od zúčastněných stran, zejména prostřednictvím mnohostranné skupiny pro nařízení GDPR ( 3 ) a veřejné výzvy k předložení faktických podkladů ( 4 ), a iii) vstupy od úřadů pro ochranu osobních údajů (prostřednictvím příspěvku Evropského sboru pro ochranu osobních údajů ( 5 ) (dále jen „sbor“) a zprávy vypracované Agenturou pro základní práva (FRA) na základě rozhovorů vedených s jednotlivými úřady pro ochranu osobních údajů ( 6 ) (dále jen „zpráva agentury FRA“). Zpráva rovněž vychází z průběžného monitorování uplatňování nařízení GDPR ze strany Komise, včetně dvoustranných dialogů s členskými státy o souladu vnitrostátních právních předpisů, aktivního přispívání k práci sboru a úzkých kontaktů s širokou škálou zúčastněných stran ohledně praktického uplatňování tohoto nařízení.

2Prosazování nařízení GDPR a fungování mechanismů spolupráce a jednotnosti 

Cílem systému jednotného kontaktního místa pro prosazování nařízení GDPR je zajistit harmonizovaný výklad a prosazování ze strany nezávislých úřadů pro ochranu osobních údajů. Vyžaduje spolupráci mezi úřady pro ochranu osobních údajů v případech přeshraničního zpracování, kdy jsou významně dotčeny subjekty údajů ve více členských státech. Spory mezi úřady řeší sbor v rámci mechanismu jednotnosti nařízení GDPR.

2.1Zefektivnění vyřizování přeshraničních případů: návrh procesních pravidel

Zpráva z roku 2020 upozornila na potřebu účinnějšího a harmonizovanějšího řešení přeshraničních případů v celé EU, zejména s ohledem na velké rozdíly ve vnitrostátních správních postupech a výkladech pojmů v mechanismu spolupráce podle nařízení GDPR. Proto Komise v červenci 2023 přijala návrh nařízení o procesních pravidlech ( 7 ), přičemž zároveň vycházela ze seznamu otázek, který sbor předložil Komisi v říjnu 2022 ( 8 ), a z příspěvků zúčastněných stran ( 9 ) a členských států ( 10 ). Návrh doplňuje nařízení GDPR tím, že stanoví podrobná pravidla pro přeshraniční stížnosti, zapojení stěžovatele, práva vyšetřovaných stran (správců a zpracovatelů) na řádný proces a spolupráci mezi úřady pro ochranu osobních údajů. Harmonizace těchto procesních aspektů by podpořila včasné dokončení šetření a zajištění rychlé nápravy pro jednotlivce. V současné době se o návrhu jedná v Evropském parlamentu a v Radě.

2.2Intenzivnější spolupráce mezi úřady pro ochranu osobních údajů a využívání mechanismu jednotnosti

Počet přeshraničních případů se v posledních letech výrazně zvýšil. Úřady pro ochranu osobních údajů projevily zvýšenou ochotu využívat nástroje spolupráce, které nařízení GDPR poskytuje. Všechny úřady pro ochranu osobních údajů využívaly nástroj vzájemné pomoci ( 11 ) i „neformální“ žádosti o vzájemnou pomoc na dobrovolném základě. Úřady pro ochranu osobních údajů dávají přednost neformálním žádostem, které neukládají lhůtu ani striktní povinnost odpovědět. Přestože sbor přijal v roce 2021 pokyny ke společným postupům ( 12 ), úřady dosud tento nástroj ve významné míře nevyužívaly ( 13 ), přičemž jako hlavní důvody jeho omezeného využívání uvádějí rozdíly ve vnitrostátních postupech a nejasnosti týkající se postupu.

Nařízení GDPR poskytuje dotčeným úřadům pro ochranu osobních údajů možnost vznést relevantní a odůvodněnou námitku, pokud nesouhlasí s návrhem rozhodnutí vedoucího úřadu pro ochranu osobních údajů v přeshraničním případě. Pokud úřady pro ochranu osobních údajů nemohou ohledně relevantní a odůvodněné námitky dosáhnout konsensu, stanoví nařízení GDPR možnost řešení sporů sborem ( 14 ). Nejčastěji uváděnými tématy v relevantních a odůvodněných námitkách byly: i) právní základ pro zpracování; ii) povinnosti týkající se informací a transparentnosti; iii) ohlašování případů porušení zabezpečení údajů; iv) práva subjektů údajů; v) výjimky pro mezinárodní předávání; vi) použití nápravných opatření a vii) výše správní pokuty.

Systém prosazování nařízení GDPR je založen na předpokladu loajální a účinné spolupráce mezi úřady pro ochranu osobních údajů. Ačkoli v této struktuře prosazování hraje důležitou úlohu postup řešení sporů, měl by být používán v duchu, v němž byl navržen, zejména s náležitým ohledem na rozdělení pravomocí mezi úřady pro ochranu osobních údajů, potřebu dodržovat právo na spravedlivý proces a zájem na včasném vyřešení případu pro subjekty údajů. Každý postup řešení sporu vyžaduje od vedoucího úřadu, dotčených úřadů a sekretariátu sboru značné zdroje a pro subjekty údajů zpožďuje nápravu.

Úřady pro ochranu osobních údajů stále častěji využívají mechanismus jednotnosti podle nařízení GDPR. Má tři složky: i) stanoviska sboru; ii) řešení sporů sborem a iii) postup pro naléhavé případy ( 21 ).

Sbor se ve svých stanoviscích stále častěji zabývá důležitými otázkami obecné působnosti ( 22 ). Před přijetím těchto stanovisek by měl sbor zajistit včasné a smysluplné konzultace. Případy předložené k řešení sporu se týkaly například právního základu pro zpracování údajů pro behaviorální reklamu na sociálních sítích a zpracování údajů o dětech online. Většina následných závazných rozhodnutí byla napadena u Tribunálu.

Transparentnost rozhodovacího procesu sboru je klíčová pro zajištění dodržování práva na řádnou správu podle Listiny základních práv EU. Postup pro naléhavé případy podle nařízení GDPR umožňuje úřadům pro ochranu osobních údajů odchýlit se od mechanismu spolupráce a jednotnosti a přijmout naléhavá opatření, pokud je to nezbytné k ochraně práv a svobod subjektů údajů. Jelikož se jedná o odchylku od běžného postupu spolupráce podle nařízení GDPR jsou nástroje, jako je postup pro naléhavé případy, určeny k použití pouze za výjimečných okolností a v případech, kdy běžný postup spolupráce nemůže ochránit práva a svobody subjektů údajů.

2.3Důslednější prosazování

V posledních letech došlo k výraznému nárůstu činnosti úřadů pro ochranu osobních údajů v oblasti prosazování, včetně ukládání značných pokut v přelomových řízeních proti „velkým technologickým“ nadnárodním společnostem. Pokuty byly uloženy například za: i) porušení zákonnosti a bezpečnosti zpracování; ii) porušení zpracování zvláštních kategorií osobních údajů a iii) nedodržení práv jednotlivců ( 25 ). To vedlo soukromé společnosti k tomu, aby „braly ochranu údajů vážně“ ( 26 ), a pomohlo v organizacích zavést kulturu dodržování předpisů. Úřady pro ochranu osobních údajů přijímají rozhodnutí o porušení nařízení GDPR v případech zahájených na základě stížnosti a na základě vlastního podnětu. Ačkoli to není možné ve všech členských státech, řada úřadů pro ochranu osobních údajů účinně využívala postupy „smírného řešení“ sporů, které umožňují rychle vyřešit případy zahájené na základě stížnosti ke spokojenosti stěžovatele. Návrh procesních pravidel uznává možnost řešení stížností prostřednictvím smírného řešení ( 27 ).

Úřady pro ochranu osobních údajů hojně využívaly své nápravné pravomoci, ačkoli počet uložených nápravných opatření se u jednotlivých úřadů značně liší. Kromě pokut byly nejčastěji používanými nápravnými opatřeními upozornění, napomenutí a příkazy k dodržování nařízení GDPR. Správci a zpracovatelé často napadají rozhodnutí, která konstatují porušení nařízení GDPR, u vnitrostátních soudů, a to nejčastěji z procesních důvodů ( 28 ).

Ačkoli většina úřadů pro ochranu osobních údajů považuje své vyšetřovací nástroje za dostatečné, některé z nich požadují další nástroje na vnitrostátní úrovni, například přiměřené sankce v případě, že správci nespolupracují nebo neposkytují nezbytné informace ( 32 ). Úřady pro ochranu osobních údajů považují za hlavní faktor ovlivňující jejich schopnost prosazovat právo nedostatečné zdroje a nedostatky v technických a právních znalostech ( 33 ).

2.4Sbor

Sbor tvoří vedoucí jednoho úřadu pro ochranu osobních údajů z každého členského státu a evropský inspektor ochrany údajů, přičemž Komise se účastní bez hlasovacího práva. Úkolem sboru, který v jeho práci podporuje sekretariát, je zajistit důsledné uplatňování nařízení GDPR ( 34 ). Většina úřadů pro ochranu osobních údajů se domnívá, že sbor sehrál pozitivní roli při posilování jejich vzájemné spolupráce ( 35 ). Mnohé úřady pro ochranu osobních údajů věnují na činnost sboru značné zdroje, i když menší úřady uvádějí, že jim jejich velikost brání v plném zapojení ( 36 ). Některé úřady se domnívají, že by se měla zlepšit účinnost postupů sboru, zejména snížením počtu zasedání a menší pozorností věnovanou méně závažným otázkám ( 37 ). V závislosti na výsledku jednání o návrhu procesních pravidel týkajících se nařízení GDPR, jehož cílem je snížit počet případů předkládaných sboru k řešení sporů, může být nutné zvážit, zda sbor potřebuje dodatečné zdroje.

K listopadu 2023 přijal sbor 35 pokynů. I když je zúčastněné strany a úřady pro ochranu osobních údajů považují za užitečné, domnívají se, že pokyny by měly být poskytovány rychleji a že by se měla zlepšit jejich kvalita ( 38 ). Zúčastněné strany upozorňují, že pokyny jsou často příliš teoretické, příliš dlouhé a neodrážejí přístup nařízení GDPR založený na posouzení rizik ( 39 ). Úřady pro ochranu osobních údajů a sbor by měly poskytovat stručné a praktické pokyny, které přinášejí odpovědi na konkrétní problémy a odrážejí rovnováhu mezi ochranou údajů a ostatními základními právy. Pokyny by měly být srozumitelné i pro osoby bez právního vzdělání, například v malých a středních podnicích a dobrovolnických organizacích ( 40 ). Jedním ze způsobů, jak toho dosáhnout, je zprůhlednit přípravu pokynů a konzultovat je již v rané fázi, aby bylo možné lépe pochopit dynamiku trhu, obchodní postupy a způsoby uplatňování pokynů v praxi ( 41 ). Bylo uvítáno, že sbor v rámci své strategie na období 2024–2027 zdůraznil svůj cíl poskytovat praktické pokyny, které budou přístupné příslušné cílové skupině ( 42 ).

Zúčastněné strany zdůrazňují potřebu dalších pokynů, zejména pokud jde o anonymizaci a pseudonymizaci ( 43 ), oprávněný zájem a vědecký výzkum ( 44 ). Ve zprávě z roku 2020 Komise vyzvala sbor, aby přijal pokyny pro vědecký výzkum, dosud však nebyly přijaty. Vzhledem k významu vědeckého výzkumu ve společnosti, zejména pro sledování nemocí a vývoj léčby a pro podporu inovací, je nezbytné, aby úřady pro ochranu osobních údajů neprodleně přijaly opatření k vyjasnění těchto otázek ( 45 ). Orgány veřejné moci by rovněž měly prospěch z pokynů, které by se věnovaly konkrétním problémům, jimž tyto orgány čelí ( 46 ).

2.5Úřady pro ochranu osobních údajů

2.5.1Nezávislost a zdroje

Nezávislost úřadů pro ochranu osobních údajů je zakotvena v Listině základních práv EU a ve Smlouvě o fungování EU. Nařízení GDPR stanoví požadavky s cílem zajistit, aby úřady pro ochranu osobních údajů jednaly „zcela nezávisle“ ( 47 ). Zpráva agentury FRA zjistila, že většina úřadů pro ochranu osobních údajů působí nezávisle na vládě, parlamentu nebo jiných veřejných orgánech ( 48 ).

Aby mohly úřady pro ochranu osobních údajů účinně a nezávisle plnit své úkoly podle nařízení GDPR, potřebují k tomu odpovídající lidské, technické a finanční zdroje. Ve zprávě z roku 2020 Komise uvedla, že zajišťování zdrojů pro úřady pro ochranu osobních údajů stále není uspokojivé, a důsledně na tento problém upozorňovala členské státy. Situace se od té doby zlepšila.

Ačkoli tyto statistiky vykazují obecný vzestupný trend v poskytování zdrojů úřadům pro ochranu osobních údajů, samotné úřady se domnívají, že jim stále chybí dostatečné lidské zdroje ( 50 ). Zdůrazňují potřebu velmi specializovaných technických znalostí, zejména v oblasti nových a vznikajících technologií ( 51 ), jelikož jejich nedostatek ovlivňuje množství a kvalitu jejich práce, a obtíže při soupeření o lidské zdroje se soukromým sektorem. Úřady pro ochranu osobních údajů uvádějí jako faktory ovlivňující jejich činnost nedostatečné právní znalosti a chybějící jazykové dovednosti. Jako klíčové faktory, které ovlivňují schopnost úřadů získávat a udržet si zaměstnance, jsou uváděny nízké odměny, nemožnost vybírat si zaměstnance nezávisle a velká pracovní zátěž ( 52 ). Úřady pro ochranu osobních údajů rovněž zdůrazňují, že potřebují finanční zdroje, pokud mají modernizovat a digitalizovat své postupy a pořizovat technické vybavení ( 53 ). Všechny úřady pro ochranu osobních údajů plní úkoly nad rámec těch, které jim svěřuje nařízení GDPR ( 54 ), např. jako dozorové úřady pro směrnici o ochraně údajů v oblasti prosazování práva a směrnici o soukromí a elektronických komunikacích, přičemž mnohé z nich vyjadřují obavy ohledně dalších povinností vyplývajících z nových právních předpisů v digitální oblasti ( 55 ).

2.5.2Obtíže při vyřizování vysokého počtu stížností

Několik úřadů pro ochranu osobních údajů uvádí, že příliš mnoho svých zdrojů spotřebovávají na vyřizování velkého počtu stížností, z nichž většinu považují za banální a neopodstatněné, neboť vyřízení každé stížnosti je podle nařízení GDPR povinností, která podléhá soudnímu přezkumu ( 56 ). To znamená, že úřady pro ochranu osobních údajů nemohou vyčlenit dostatečné zdroje na jiné činnosti, jako jsou šetření z vlastního podnětu, osvětové kampaně a spolupráce se správci ( 57 ). Jako orgány veřejné moci mají úřady pro ochranu osobních údajů možnost přidělovat své zdroje tak, jak považují za vhodné k plnění svých úkolů (uvedených v čl. 57 odst. 1 nařízení GDPR) ve veřejném zájmu. Mnoho úřadů pro ochranu osobních údajů přijalo strategie ke zvýšení účinnosti vyřizování stížností, jako je automatizace ( 58 ), využívání postupů smírného řešení ( 59 ) a „seskupování“ stížností, které se týkají podobných záležitostí ( 60 ).

2.5.3Výklad nařízení GDPR vnitrostátními úřady pro ochranu osobních údajů

Hlavním cílem nařízení GDPR bylo odstranit roztříštěný přístup k ochraně údajů, který existoval v rámci předchozí směrnice o ochraně údajů (směrnice 95/46/ES) ( 61 ). Úřady pro ochranu osobních údajů však nadále přijímají rozdílné výklady klíčových pojmů v oblasti ochrany údajů ( 62 ). Zúčastněné strany to považují za hlavní překážku důsledného uplatňování nařízení GDPR v EU. Přetrvávání rozdílných výkladů vytváří právní nejistotu a zvyšuje náklady pro podniky (např. tím, že se vyžaduje různá dokumentace pro několik členských států), narušuje volný pohyb osobních údajů v EU, brání přeshraničnímu podnikání a brzdí výzkum a inovace v oblasti naléhavých společenských výzev.

Mezi konkrétní otázky, které zúčastněné strany vznesly, patří: i) skutečnost, že úřady pro ochranu osobních údajů ve třech členských státech mají každý jiný názor na vhodný právní základ pro zpracování osobních údajů při provádění klinického hodnocení; ii) názory na to, zda je subjekt správcem nebo zpracovatelem, se často liší a iii) v některých případech se úřady pro ochranu osobních údajů neřídí pokyny sboru nebo na vnitrostátní úrovni zveřejňují pokyny, které jsou v rozporu s pokyny sboru ( 63 ). Tyto problémy se prohlubují, pokud protichůdné výklady přijme více úřadů pro ochranu osobních údajů existujících v rámci jednoho členského státu.

Některé zúčastněné strany se rovněž domnívají, že určité úřady pro ochranu osobních údajů a sbor přijímají výklady, které se odchylují od přístupu nařízení GDPR založeného na posouzení rizik, což představuje výzvu pro rozvoj digitální ekonomiky ( 64 ) a svobodu a pluralitu sdělovacích prostředků. Jako problematické oblasti uvádějí: i) výklad anonymizace; ii) právní základ oprávněného zájmu a souhlasu ( 65 ) a iii) výjimky ze zákazu automatizovaného individuálního rozhodování ( 66 ). Je třeba připomenout, že úkolem úřadů pro ochranu osobních údajů a sboru je zajistit jak ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů, tak volný pohyb osobních údajů v rámci EU. Jak je uznáno v nařízení GDPR ( 67 ), právo na ochranu osobních údajů musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.

2.5.4Spolupráce se správci a zpracovateli

Zúčastněné strany zdůrazňují přínos možnosti vést konstruktivní dialog s úřady pro ochranu osobních údajů s cílem zajistit, aby od samého počátku dodržovaly nařízení GDPR, zejména v souvislosti s nově vznikajícími technologiemi. Zúčastněné strany konstatují, že některé úřady pro ochranu osobních údajů aktivně spolupracují se správci, zatímco jiné reagují pomalu, poskytují neurčité odpovědi nebo nereagují vůbec ( 68 ).

3Provádění nařízení GDPR členskými státy

3.1Roztříštěnost vnitrostátního uplatňování

Ačkoli je GDPR jako nařízení přímo použitelné, ukládá členským státům povinnost přijímat v určitých oblastech právní předpisy a umožňuje jim dále upřesnit jeho uplatňování v určitém omezeném počtu oblastí ( 69 ). Při přijímání právních předpisů na vnitrostátní úrovni musí členské státy postupovat za podmínek a v mezích stanovených nařízením GDPR. Stejně jako v roce 2020 zúčastněné strany uvádějí, že se setkávají s obtížemi vyplývajícími z roztříštěnosti vnitrostátních pravidel v případech, kdy mají členské státy možnost nařízení GDPR upřesnit, zejména pokud jde o:

·minimální věk pro souhlas dítěte v souvislosti s nabídkou služeb informační společnosti tomuto dítěti ( 70 ),

·zavádění dalších podmínek členskými státy týkajících se zpracování genetických údajů, biometrických údajů nebo údajů o zdravotním stavu ( 71 ),

·zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů ( 72 ), což v některých regulovaných odvětvích vytváří obtíže.

Zároveň je důležité, že mnoho zúčastněných stran uvádí, že problémy s roztříštěností vyplývají především z rozdílných výkladů nařízení GDPR ze strany úřadů pro ochranu osobních údajů, spíše než z používání fakultativních doložek o specifikacích členskými státy.

Členské státy se domnívají, že omezená míra roztříštěnosti může být přijatelná a že doložky o specifikacích uvedené v nařízení GDPR jsou i nadále přínosné, zejména pro zpracování ze strany orgánů veřejné moci ( 73 ). Nařízení GDPR vyžaduje, aby členské státy při přípravě právních předpisů týkajících se zpracování osobních údajů konzultovaly se svým vnitrostátním úřadem pro ochranu osobních údajů ( 74 ). Zpráva agentury FRA zjistila, že některé vlády stanovují pro tyto úřady velmi krátké lhůty a v některých případech s nimi vůbec nekonzultují ( 75 ).

3.2Sledování ze strany Komise

Komise provádění nařízení GDPR průběžně sleduje. Vůči členským státům zahájila řízení o neplnění povinnosti v otázkách, jako je nezávislost úřadů pro ochranu osobních údajů (včetně nezávislosti na vnějším vlivu a dostupnosti soudní ochrany v případě propuštění) ( 76 ) a právo na účinnou soudní ochranu pro subjekty údajů v případě, že úřad pro ochranu osobních údajů se stížností nezabývá ( 77 ). V rámci svého sledování Komise rovněž požaduje, aby úřady pro ochranu osobních údajů poskytovaly na přísně důvěrném základě pravidelné informace ( 78 ) o probíhajících rozsáhlých přeshraničních případech, zejména těch, které se týkají velkých technologických nadnárodních společností.

Komise s členskými státy pravidelně komunikuje o provádění nařízení GDPR. Jak bylo uvedeno ve zprávě z roku 2020, Komise pokračovala ve využívání expertní skupiny členských států pro nařízení GDPR ( 79 ) s cílem usnadnit diskuse a sdílení zkušeností o účinném provádění nařízení GDPR. Expertní skupina vedla zvláštní diskuse o: i) dozoru nad soudy jednajícími v rámci svých soudních pravomocí (článek 55 nařízení GDPR; článek 8 Listiny); ii) souladu práva na ochranu údajů s právem na svobodu projevu (článek 85 nařízení GDPR) a iii) právu na účinnou soudní ochranu vůči dozorovému úřadu (článek 78 nařízení GDPR). V návaznosti na tyto diskuse Komise sestavila přehledy přístupů k provádění těchto ustanovení v členských státech ( 80 ). Komise rovněž využila tuto skupinu k výměně názorů s členskými státy při přípravě návrhu procesních pravidel.

Soulad vnitrostátních právních předpisů a praxe s pravidly pro ochranu údajů stanovenými v právních předpisech EU o schengenském prostoru se rovněž posuzuje v rámci schengenských hodnocení, která společně provádějí členské státy a Komise. Ročně se provádí nejméně pět hodnocení ochrany údajů na místě, která se v současné době zaměřují na rozsáhlé informační systémy a Schengenský informační systém, Vízový informační systém, jakož i na kontrolní úlohu vnitrostátních úřadů pro ochranu osobních údajů vůči těmto systémům.

Komise aktivně přispívá k velkému počtu případů, které řeší Soudní dvůr (v posledních letech přibližně 30 rozhodnutí o předběžné otázce ročně) a které hrají ústřední roli při jednotném výkladu klíčových pojmů nařízení GDPR. Rostoucí judikatura Soudního dvora poskytla několik vysvětlení, například ohledně definice osobních údajů ( 81 ), zvláštních kategorií osobních údajů ( 82 ), správce ( 83 ), souhlasu ( 84 ), oprávněného zájmu ( 85 ), práva na přístup ( 86 ), práva na výmaz ( 87 ), práva na náhradu škody ( 88 ), automatizovaného individuálního rozhodování ( 89 ), správních pokut ( 90 ), pověřenců pro ochranu osobních údajů ( 91 ), zveřejňování osobních údajů v rejstřících ( 92 ) a uplatňování nařízení GDPR na činnost parlamentů ( 93 ).

4Práva subjektů údajů

Jednotlivci jsou stále více obeznámeni se svými právy podle nařízení GDPR a aktivně je uplatňují ( 94 ). Úřady pro ochranu osobních údajů vyčleňují značné prostředky na podporu informovanosti široké veřejnosti o právech a povinnostech v oblasti ochrany údajů, například prostřednictvím kampaní v sociálních médiích a televizi, linek pomoci, informačních bulletinů a prezentací ve vzdělávacích institucích ( 95 ). Mnohé z těchto iniciativ využily financování z prostředků EU ( 96 ). Agentura pro základní práva konstatuje, že ačkoli se informovanost široké veřejnosti o ochraně údajů zvýšila, porozumění ochraně údajů je stále nedostatečné, o čemž svědčí velký počet banálních nebo neopodstatněných stížností ( 97 ). Bylo vyvinuto několik uživatelsky vstřícných digitálních nástrojů, které subjektům údajů usnadňují uplatňování jejich práv ( 98 ). Legislativní akty, zejména akt o správě dat ( 99 ), by měly vést k vytvoření dalších způsobů, jak mohou subjekty údajů v budoucnu uplatňovat svá práva. Podniky konstatují, že právo na výmaz je využíváno stále častěji, zatímco v případě práva na opravu a práva vznést námitku je to zřídka.

4.1Právo na přístup

Správci uvádějí, že právo na přístup (článek 15 nařízení GDPR) je nejčastěji uplatňovaným právem subjektů údajů. Ačkoli sbor přijal v roce 2022 pokyny k tomuto právu, správci nadále hlásí problémy, například při výkladu pojmu „nedůvodné nebo nepřiměřené žádosti“ ( 100 ), při reakci na vysoký počet žádostí a při vyřizování žádostí, které jsou podávány za účelem nesouvisejícím s ochranou údajů, například za účelem shromažďování důkazů pro soudní řízení ( 101 ). Organizace občanské společnosti upozorňují, že odpovědi na žádosti o přístup jsou často opožděné nebo neúplné a obdržené údaje nejsou vždy v čitelném formátu ( 102 ). Orgány veřejné moci uvádějí obtíže při vzájemném ovlivňování práva na přístup a pravidel pro přístup veřejnosti k dokumentům ( 103 ). Proto lze uvítat, že sbor v únoru 2024 zahájil společnou akci koordinovaného rámce pro prosazování týkající se práva na přístup ( 104 ).

4.2Právo na přenositelnost

Ve zprávě z roku 2020 se Komise zavázala, že v souladu se Strategií pro data prozkoumá praktické způsoby, jak usnadnit jednotlivcům větší využívání práva na přenositelnost (článek 20 GDPR). Komise od té doby přijala řadu iniciativ, které toto právo doplňují. Tyto iniciativy umožňují snadnou změnu poskytovatele služeb, čímž zvyšují možnost volby pro jednotlivce, podporují hospodářskou soutěž a inovace a umožňují jednotlivcům využívat výhod plynoucích z využívání jejich údajů. Nařízení o datech poskytuje uživatelům chytrých zařízení posílené právo na přenositelnost údajů vytvářených prostřednictvím těchto zařízení a ukládá, aby konstrukce výrobku nebo backendového serveru výrobce nebo držitele dat tuto přenositelnost technicky umožňovala. Nařízení o digitálních trzích vyžaduje, aby poskytovatelé hlavních služeb platforem označovaní jako „strážci přístupu“ zajistili účinnou přenositelnost údajů uživatelů, včetně nepřetržitého přístupu k těmto údajům v reálném čase. Několik dalších iniciativ Komise, o nichž se v současné době jedná nebo u nichž bylo dosaženo politické dohody, stanoví rozšířená práva na přenositelnost v konkrétních oblastech, jako je směrnice o práci prostřednictvím platforem ( 105 ), evropský prostor pro zdravotní data ( 106 ) a rámec pro přístup k finančním údajům ( 107 ).

4.3Právo podat stížnost

Jak dokládá velký počet stížností, existuje široká informovanost o právu podat stížnost u úřadu pro ochranu osobních údajů. Organizace občanské společnosti upozorňují na neopodstatněné rozdíly ve vnitrostátních postupech při vyřizování stížností, což je otázka, kterou se zabývá návrh Komise týkající se procesních pravidel. Jen málo členských států využilo možnosti podle nařízení GDPR poskytnout neziskovému subjektu právo podnikat kroky bez ohledu na pověření od subjektu údajů (čl. 80 odst. 2). Směrnice o zástupných žalobách ( 108 ) přijatá v roce 2020 však povede k větší harmonizaci v tomto ohledu tím, že usnadní kolektivní žaloby jednotlivců v případě porušení nařízení GDPR. Vnitrostátní opatření provádějící směrnici se stala použitelnými v červnu 2023.

4.4Ochrana osobních údajů dětí

Děti potřebují při zpracování svých osobních údajů zvláštní ochranu ( 109 ). Nařízení GDPR je součástí komplexního právního rámce, který zajišťuje, aby děti byly chráněny offline i online ( 110 ). Vzhledem ke zvýšené přítomnosti dětí na internetu byla na podporu ochrany dětí na online v posledních letech přijata řada opatření na úrovni EU i na vnitrostátní úrovni. Úřady pro ochranu osobních údajů uložily společnostem provozujícím sociální média vysoké pokuty za porušení nařízení GDPR při zpracování údajů dětí. Spolupracují také s dalšími orgány v zájmu úsilí o větší ochranu dětí v oblasti reklamy. Ve zprávě z roku 2020 vyzvala Komise sbor, aby přijal pokyny pro zpracování údajů dětí, přičemž tato práce v současné době probíhá ( 111 ). Nařízení o digitálních službách obsahuje zvláštní ustanovení, která mají zajistit vysokou úroveň soukromí, bezpečnosti a ochrany dětí využívajících online platformy.

Některé zúčastněné strany poukazují na problémy s výkonem práv subjektů údajů, pokud jsou subjekty údajů děti. Zejména uvádějí, že děti plně nerozumí svým právům, nemají dostatečné digitální dovednosti a mohou být vystaveny nepatřičnému ovlivňování ( 112 ). Komise financovala několik iniciativ na vnitrostátní úrovni zaměřených na ochranu údajů dětí a na podporu informovanosti dětí o ochraně údajů ( 113 ). V rámci Strategie pro lepší internet pro děti (BIK+) poskytuje Komise dětem zdroje pro zvyšování informovanosti a školení o jejich digitálních právech, včetně ochrany údajů (např. digitální souhlas) ( 114 ). Stále větší pozornost je věnována potřebě účinných nástrojů pro ověřování věku, které respektují soukromí. Počátkem roku 2024 Komise zřídila spolu s členskými státy, sborem a skupinou evropských regulačních orgánů pro audiovizuální mediální služby pracovní skupinu pro ověřování věku, jejímž cílem je projednat a podpořit rozvoj celounijního přístupu k ověřování věku. V této práci bude nyní v rámci sboru zřízeného podle nařízení o digitálních službách pokračovat pracovní skupina pro ochranu nezletilých osob. V kontextu nařízení o evropské digitální identitě ( 115 ), které vstoupilo v platnost v květnu 2024, Komise usiluje o zajištění toho, aby byla evropská peněženka digitální identity nabízena všem občanům EU a rezidentům v Unii v roce 2026, a to i pro ověřování věku. Než bude ekosystém peněženky plně funkční, bude mezitím vyvinuto krátkodobé řešení pro ověřování věku, které bude dostupné v celé EU.

5Příležitosti a výzvy pro organizace, zejména malé a střední podniky

Nařízení GDPR vytvořilo rovné podmínky pro podniky působící na vnitřním trhu, přičemž jeho technologicky neutrální přístup vstřícný k inovacím umožňuje podnikům snížit byrokracii a těžit z větší důvěry spotřebitelů ( 116 ). Mnoho podniků si vytvořilo interní kulturu ochrany údajů a považuje ochranu soukromí a údajů za klíčové parametry hospodářské soutěže. Podniky oceňují přístup nařízení GDPR založený na posouzení rizik jakožto hlavní zásadu, která umožňuje flexibilitu a škálovatelnost jejich povinností ( 117 ).

5.1Soubor nástrojů pro podniky

Nařízení GDPR poskytuje soubor nástrojů, které organizacím umožňují flexibilně řídit a prokazovat dodržování předpisů a zahrnují kodexy chování, mechanismy pro vydávání osvědčení a standardní smluvních doložky. Jak bylo oznámeno ve zprávě z roku 2020, Komise v roce 2021 přijala standardní smluvní doložky týkající se vztahu mezi správcem a zpracovatelem ( 118 ). Tyto standardní smluvní doložky představují hotový a snadno proveditelný dobrovolný nástroj pro dodržování předpisů, který je užitečný zejména pro malé a střední podniky nebo organizace, které nemusí mít zdroje k vyjednání individuálních smluv se svými obchodními partnery. Podniky hlásí smíšenou zpětnou vazbu ohledně používání standardních smluvních doložek v tom smyslu, že některé společnosti (zejména malé a střední podniky) je používají v celém rozsahu nebo částečně, zatímco jiné (především větší společnosti) je obvykle nepoužívají, protože dávají přednost používání vlastních doložek.

Podniky zdůrazňují, že kodexy chování mají velký potenciál jako odvětvově specifický a nákladově efektivní nástroj pro dodržování předpisů ( 119 ). Vytváření kodexů chování je však omezené ( 120 ). Podle aktuálně dostupných informací byly schváleny pouze dva kodexy pro celou EU (oba v odvětví cloud computingu), zatímco na vnitrostátní úrovni bylo schváleno šest kodexů ( 121 ). Zúčastněné strany uvádějí, že hlavními faktory omezujícími zavádění kodexů chování jsou zatěžující požadavky (včetně nutnosti zřídit akreditovaný subjekt pro sledování), nedostatečné zapojení úřadů pro ochranu osobních údajů a zdlouhavý schvalovací proces ( 122 ).

Je třeba zvýšit transparentnost procesu a stanovit jasné harmonogramy schvalování. Úřady pro ochranu osobních údajů, a v případě kodexů platných pro celou EU sbor, by měly aktivněji podporovat vypracovávání kodexů chování tím, že budou spolupracovat se sdruženími, která kodexy vytvářejí. Pomůže to vyřešit rozdíly ve výkladu a urychlit schvalovací proces. Zúčastněné strany vyjadřují politování nad dlouhými prodlevami při přijímání kodexů chování, k nimž došlo v důsledku otázek, které jsou projednávány souběžně v rámci práce na pokynech. Podobně podniky uvádějí, že obecně nejsou využívána osvědčení, protože proces vývoje je pomalý a složitý. Stejně jako v případě kodexů chování by měly úřady pro ochranu osobních údajů stanovit jasnější harmonogramy pro přezkum a schvalování osvědčení.

Sbor se ve své strategii na období 2024–2027 zavázal, že bude i nadále podporovat opatření k zajištění dodržování předpisů, jako jsou osvědčení a kodexy chování, a to i prostřednictvím spolupráce s klíčovými skupinami zúčastněných stran s cílem vysvětlit, jak lze tyto nástroje využít ( 123 ).

5.2Specifické výzvy pro malé a střední podniky a malé hospodářské subjekty

Ve zprávě z roku 2020 Komise vyzvala ke zintenzivnění úsilí na podporu dodržování nařízení GDPR ze strany malých a středních podniků. V posledních letech úřady pro ochranu osobních údajů a sbor pokračovaly ve vývoji nástrojů k dodržování předpisů pro malé a střední podniky, částečně s podporou finančních prostředků Komise ( 124 ). V dubnu 2023 vydal sbor příručku o ochraně údajů pro malé podniky ( 125 ), která malým a středním podnikům poskytuje praktické informace v přístupné a snadno srozumitelné podobě.

Malé a střední podniky v mnoha členských státech zdůrazňují výhody individuálně uzpůsobené podpory ze strany místních úřadů pro ochranu osobních údajů. V důsledku rozdílných přístupů úřadů pro ochranu osobních údajů ke zvyšování informovanosti a poskytování pokynů však malé a střední podniky v některých členských státech považují dodržování předpisů za složité a obávají se prosazování ( 126 ). Úřady pro ochranu osobních údajů by měly znásobit své úsilí při řešení těchto problémů, mimo jiné aktivním zapojením malých a středních podniků s cílem rozptýlit veškeré neopodstatněné obavy související s dodržováním předpisů. Úřady pro ochranu osobních údajů by se měly zaměřit na poskytování individuálně uzpůsobené podpory a praktických nástrojů, jako jsou šablony (např. pro provádění posouzení vlivu na ochranu osobních údajů), linky pomoci, názorné příklady, kontrolní seznamy a pokyny ke konkrétním operacím zpracování (např. vyúčtování nebo informační bulletiny) a technická a organizační opatření. Vzhledem k tomu, že většina malých a středních podniků nemá interní odborné znalosti v oblasti ochrany údajů, měly by být veškeré pokyny určené malým a středním podnikům snadno srozumitelné i osobám bez právního vzdělání ( 127 ).

V souladu s přístupem nařízení GDPR založeným na posouzení rizik nenesou malé a střední podniky, které provádějí činnosti zpracování s nízkým rizikem, v souvislosti s dodržováním předpisů velkou zátěž. Zatímco za omezených okolností ( 128 ) platí výjimka týkající se vedení záznamů o činnostech zpracování ( 129 ), malé a střední podniky provádějící zpracování s nízkým rizikem mohou splnit požadavky tím, že povedou zjednodušené záznamy na základě šablon poskytnutých úřady pro ochranu osobních údajů. Kromě toho by tyto záznamy měly být považovány za užitečný nástroj pro malé a střední podniky k vyhodnocení své činnosti zpracování.

5.3Pověřenci pro ochranu osobních údajů

Pověřenci pro ochranu osobních údajů hrají důležitou roli při zajišťování dodržování nařízení GDPR v organizacích, v nichž pracují. Pověřenci pro ochranu osobních údajů působící v EU mají obecně potřebné znalosti a dovednosti k plnění svých úkolů podle nařízení GDPR a jejich nezávislost je respektována( 130 ). Přetrvává však několik problémů, mezi něž patří: i) obtíže při jmenování pověřenců pro ochranu osobních údajů s požadovanými odbornými znalostmi; ii) chybějící celounijní normy pro vzdělávání a odbornou přípravu; iii) nedostatečné začlenění pověřenců pro ochranu osobních údajů do organizačních procesů; iv) nedostatek zdrojů; v) dodatečné úkoly mimo oblast ochrany údajů a vi) nedostatečná seniorita ( 131 ). Sbor konstatoval, že je třeba, aby úřady pro ochranu osobních údajů zintenzivnily činnost za účelem zvyšování povědomí, jakož i svá opatření v oblasti informací a prosazování, aby zajistily, že pověřenci pro ochranu osobních údajů budou moci plnit svou úlohu podle nařízení GDPR ( 132 ).

6Nařízení GDPR jako základní kámen politiky EU v digitální oblasti

6.1Digitální politika založená na nařízení GDPR

Ve zprávě z roku 2020 se Komise zavázala podporovat důsledné uplatňování rámce pro ochranu údajů ve vztahu k novým technologiím s cílem podpořit inovace a technologický rozvoj. EU od té doby přijala řadu iniciativ, z nichž některé doplňují nařízení GDPR nebo upřesňují, jak by mělo být uplatňováno ve specifických oblastech, aby se dosáhlo konkrétních cílů, jak je uvedeno níže.

·Nařízení o digitálních službách ( 133 ), jehož cílem je zajistit bezpečné online prostředí pro jednotlivce i podniky, zakazuje online platformám zobrazovat reklamu založenou na profilování s využitím „zvláštních kategorií osobních údajů“, jak je definuje nařízení GDPR.

·Aby se digitální trhy staly spravedlivějšími a otevřenějšími hospodářské soutěži, zakazuje nařízení o digitálních trzích ( 134 ) hospodářským subjektům označeným jako „strážci přístupu“ „kombinování“ a „křížové používání“ osobních údajů mezi jejich hlavními službami platforem a jinými službami, pokud k tomu uživatel nedal souhlas, jak je definováno v nařízení GDPR.

·Akt o umělé inteligenci ( 135 ) upřesňuje pravidla EU pro ochranu údajů v konkrétních oblastech, kde se používá umělá inteligence, například v systémech biometrické identifikace na dálku, při zpracování zvláštních kategorií údajů za účelem odhalování zkreslení a při dalším zpracování osobních údajů v regulačních pískovištích.

·Směrnice o práci prostřednictvím platforem ( 136 ) doplňuje nařízení GDPR v oblasti zaměstnanosti tím, že stanoví pravidla pro systémy automatizovaného sledování a rozhodování používané digitálními pracovními platformami, a zejména omezení zpracování osobních údajů, transparentnost lidského dohledu a přezkumu a přenositelnost.

·Nařízení o politické reklamě ( 137 ) zakazuje používání zvláštních kategorií osobních údajů v politické reklamě a vyžaduje větší transparentnost používaných technik cílení a zvyšování dosahu.

·Nařízení o evropské digitální identitě umožňuje vytvoření univerzální, důvěryhodné a bezpečné evropské peněženky digitální identity. To umožní jednotlivcům prokázat osobní atributy, jako jsou věk, řidičské průkazy, diplomy a bankovní účty, s plnou kontrolou nad svými osobními údaji a bez zbytečného sdílení údajů.

Již několik let se jedná o návrhu nařízení o soukromí a elektronických komunikacích ( 138 ), které má nahradit stávající směrnici o soukromí a elektronických komunikacích ( 139 ) a doplnit legislativní rámec pro ochranu soukromí a údajů. Je třeba se zamyslet nad dalšími kroky této iniciativy, včetně jejího vztahu k nařízení GDPR.

Cílem nařízení o interoperabilní Evropě ( 140 ) je zajistit interoperabilitu digitálních veřejných služeb v celé EU. Podporuje spolupráci mezi úřady pro ochranu osobních údajů, zejména prostřednictvím regulačních pískovišť pro interoperabilitu.

Několik iniciativ EU poskytuje právní základ pro zpracování osobních údajů soukromými subjekty za účelem prevence, vyšetřování, odhalování nebo stíhání trestných činů. Veškeré tyto právní předpisy musí být pečlivě zacíleny, aby se minimalizovalo zasahování do práva na ochranu osobních údajů, a musí být přiměřené sledovanému cíli ( 141 ). Listina, nařízení GDPR a judikatura Soudního dvora poskytují rámec, na jehož základě je třeba tyto iniciativy posuzovat. Navrhovaný balíček pro boj proti praní peněz ( 142 ) obsahuje významné záruky ochrany osobních údajů, aniž by byl ohrožen cíl zmírnit rizika praní peněz a financování terorismu a účinně odhalovat pokusy trestné činnosti zneužít finanční systém EU.

V této souvislosti Rada zdůraznila, že veškeré nové právní předpisy EU obsahující ustanovení o zpracování osobních údajů by měly být v souladu s nařízením GDPR a judikaturou Soudního dvora.

6.2Právní rámec pro zlepšení sdílení údajů

Cílem Strategie pro data je vytvořit jednotný trh s daty, na němž se data volně pohybují v rámci EU i mezi odvětvími, a to ve prospěch podniků, výzkumných pracovníků a veřejné správy. Klíčovým cílem Strategie pro data je vytvořit společné evropské datové prostory, které usnadní sloučení dat, přístup k nim a jejich sdílení. Pokud jde o osobní údaje, nařízení GDPR poskytuje rámec pro všechny iniciativy, které se snaží zlepšit volný tok údajů v EU – což je samo o sobě cílem nařízení GDPR. Pokud jde o osobní údaje, ochrana podle nařízení GDPR tím není dotčena.

Akt o správě dat ( 143 ) a nařízení o datech ( 144 ) jsou pilíři Strategie pro data. Akt o správě dat stanoví konkrétní pravidla v souvislosti s opakovaným použitím dat veřejného sektoru obsahujících osobní údaje, stanoví legislativní rámec pro služby zprostředkování dat – včetně služeb správy osobních informací nebo cloudů osobních údajů nabízených s cílem posílit postavení subjektů údajů při výkonu jejich práv podle nařízení GDPR. Stanoví také podmínky pro využití dat pro altruistické účely. Nařízení o datech posiluje kontrolu subjektů údajů nad daty, která vytvářejí prostřednictvím používání inteligentních věcí, jež vlastní nebo jež si pronajímají, a to i formou leasingu, tím, že ukládá technické požadavky na přístup k datům a jejich přenositelnost.

Evropský prostor pro zdravotní data (EHDS) ( 145 ) odráží specifické potřeby zjištěné v odvětví zdravotních dat a zároveň vychází z nařízení GDPR. Umožňuje jednotlivcům snadný přístup k jejich zdravotním datům v elektronické podobě a jejich sdílení se zdravotnickými pracovníky, a to i v jiných členských státech, čímž zlepšuje poskytování zdravotní péče a zvyšuje kontrolu pacientů nad jejich údaji. Zavádí také společný právní rámec pro opakované použití zdravotních dat pro účely, jako je výzkum, inovace a veřejné zdraví, a to na základě povolení vydaného subjektem pro přístup ke zdravotním datům. Pro zajištění ochrany osobních údajů poskytne evropský prostor pro zdravotní data důvěryhodné prostředí pro bezpečný přístup ke zdravotním datům a jejich zpracování. Komise nadále podporuje práci na rozvoji společných evropských datových prostorů ve čtrnácti odvětvích, a to prováděním nového legislativního rámce a financováním odvětvových iniciativ.

6.3Správa nových digitálních pravidel

Vývoj předpisů v digitální oblasti vyvolává potřebu úzké spolupráce ve všech oblastech regulace ( 146 ). Tato spolupráce je o to nezbytnější, že otázky ochrany údajů se stále více prolínají například s otázkami práva hospodářské soutěže, spotřebitelského práva, pravidel pro digitální trhy, regulace elektronických komunikací a kybernetické bezpečnosti. Tak je tomu například při posuzování slučitelnosti modelů „pay or OK“ (platba nebo souhlas) s právem EU.

V některých případech jsou úřady pro ochranu osobních údajů pověřeny prosazováním konkrétních ustanovení nových právních předpisů EU v digitální oblasti ( 147 ). Nové předpisy v digitální oblasti rovněž vytvářejí na míru uzpůsobené struktury, které sdružují příslušné regulační orgány s cílem zajistit jednotné prosazování, jako je skupina na vysoké úrovni pro nařízení o digitálních trzích, Evropský sbor pro datové inovace (zřízený podle aktu o správě dat) a Evropský sbor pro digitální služby (zřízený podle nařízení o digitálních službách). Směrnice NIS 2 ( 148 ) stanoví podrobnější pravidla spolupráce mezi regulačními orgány a úřady pro ochranu osobních údajů při řešení bezpečnostních incidentů, které představují porušení zabezpečení osobních údajů.

Mimo tyto formální struktury přijímají úřady pro ochranu osobních údajů opatření, která mají zajistit, aby se jejich opatření vzájemně doplňovala a byla v souladu s ostatními oblastmi regulace. V červenci 2020 zřídily úřady pro ochranu spotřebitele a pro ochranu osobních údajů „skupinu dobrovolníků“, která má určit osvědčené postupy a sdílet zkušenosti s prosazováním práva. Úřady pro ochranu osobních údajů se nadále účastní společných seminářů se sítí pro spolupráci v oblasti ochrany spotřebitele. V roce 2023 zřídil sbor pracovní skupinu pro vzájemné působení mezi ochranou údajů, hospodářskou soutěží a ochranou spotřebitele.

Ačkoli je tento vývoj pozitivní, jsou zapotřebí strukturovanější a účinnější prostředky spolupráce, zejména pro řešení situací, které se týkají velkého počtu jednotlivců v EU a zahrnují několik regulačních orgánů ( 149 ). Všechny tyto struktury by měly zajistit, aby úřady byly vždy odpovědné za všechny otázky týkající se dodržování pravidel v rámci oblastí svých pravomocí. Členské státy by měly rovněž usilovat o zajištění odpovídající spolupráce na vnitrostátní úrovni ( 150 ).

7Mezinárodní předávání údajů a celosvětová spolupráce

7.1Soubor nástrojů pro předávání údajů podle nařízení GDPR

Toky údajů se staly nedílnou součástí digitální transformace společnosti a globalizace hospodářství. Respektování soukromí je více než kdykoli předtím podmínkou stabilních, bezpečných a konkurenceschopných obchodních toků a také prostředkem pro řadu podob mezinárodní spolupráce. Soubor nástrojů pro předávání údajů podle kapitoly V nařízení GDPR nabízí řadu nástrojů pro řešení různých scénářů předávání údajů a zároveň zajišťuje, že údaje budou mít i po opuštění EU vysokou úroveň ochrany. 

Od vydání zprávy z roku 2020 byly požadavky na předávání údajů stanovené v právních předpisech EU o ochraně údajů dále upřesněny a soubor nástrojů pro předávání se dále vyvíjel. Důležité vyjasnění se týká pojmu „mezinárodní předávání údajů“, který sbor definoval ( 151 ) tak, že zahrnuje jakékoli zpřístupnění osobních údajů správcem nebo zpracovatelem, na jehož zpracování se vztahuje nařízení GDPR, jinému správci nebo zpracovateli ve třetí zemi, bez ohledu na to, zda zpracování tímto jiným správcem nebo zpracovatelem nařízení GDPR podléhá, či nikoli ( 152 ). Tyto pokyny sboru byly důležité zejména proto, aby evropským správcům a zpracovatelům poskytly právní jistotu ohledně scénářů, kdy je zapotřebí nástroj pro předávání údajů podle kapitoly V nařízení GDPR.

Další vysvětlení poskytl také Soudní dvůr v rozsudku ve věci Schrems II ( 153 ) ohledně ochrany, kterou musí poskytovat různé nástroje pro předávání údajů, aby se zajistilo, že nebude narušena úroveň ochrany zaručená nařízením GDPR ( 154 ). Tyto nástroje musí zejména zajistit, aby jednotlivcům, jejichž údaje jsou předávány mimo EU, byla poskytnuta úroveň ochrany, která je v zásadě rovnocenná úrovni zaručené v rámci EU ( 155 ). V odpovědnosti vývozce údajů z EU je, aby posoudil, zda tomu tak je, a to s přihlédnutím ke konkrétním okolnostem předávání údajů ( 156 ).

Při posuzování úrovně ochrany musí vývozci údajů zohlednit jak záruky na ochranu údajů stanovené v nástroji pro předávání údajů uzavřeném s dovozcem údajů ze země mimo EU (např. smlouva), tak i příslušné aspekty právního systému země, v níž se dovozce údajů nachází, zejména pokud jde o možný přístup orgánů veřejné moci v této zemi k údajům ( 157 ). Právní systém musí být posouzen s ohledem na kritéria pro posouzení odpovídající ochrany stanovená v článku 45 nařízení GDPR. Soudní dvůr tato kritéria také dále rozvedl, zejména pokud jde o pravidla přístupu orgánů veřejné moci k osobním údajům pro účely prosazování práva a národní bezpečnosti.

Tento výklad se rovněž odrazil v pokynech sboru, které aktualizovaly jeho „referenční rámec pro odpovídající ochranu“ ( 158 ) (jež poskytoval pokyny k prvkům, které musí Komise zohlednit při provádění posouzení odpovídající ochrany). Sbor rovněž přijal nové pokyny, které dále objasňují: i) prvky, které mají jednotliví vývozci údajů zohlednit při posuzování úrovně ochrany; ii) přehled potenciálních zdrojů, které lze použít, a iii) příklady možných doplňkových opatření (např. smluvní a technické záruky) ( 159 ). Pokyny zejména zdůrazňují, že každé posouzení prováděné vývozci údajů je jedinečné, a že proto musí zohlednit konkrétní rysy každého předání, které se mohou lišit v závislosti na účelu předání údajů, typech zúčastněných subjektů, odvětví, v němž k předání dochází, kategoriích předávaných osobních údajů atd. ( 160 ).

S ohledem na tato různá vyjasnění požadavků na mezinárodní předávání údajů byly v uplynulých letech podniknuty významné kroky k dalšímu rozvoji a zprovoznění souboru nástrojů pro předávání údajů podle nařízení GDPR.

7.1.1Rozhodnutí o odpovídající ochraně

Jak se odráží i ve zpětné vazbě získané od zúčastněných stran, rozhodnutí o odpovídající ochraně údajů hrají i nadále klíčovou roli v souboru nástrojů pro předávání údajů podle nařízení GDPR ( 161 ), neboť poskytují jednoduché a ucelené řešení pro předávání údajů, aniž by vývozce údajů musel poskytovat další záruky nebo získávat jakékoli povolení. Tím, že tato rozhodnutí umožňují volný tok osobních údajů, otevřela hospodářským subjektům z EU obchodní cesty, mimo jiné doplněním a posílením výhod vyplývajících z obchodních dohod, a usnadnila spolupráci se zahraničními partnery v široké škále oblastí, od spolupráce v oblasti regulace až po výzkum.

Od vydání zprávy z roku 2020 nadále roste počet zemí, které zavedly moderní právní předpisy o ochraně údajů, jež mimo jiné stanoví klíčové zásady ochrany údajů, individuální práva a účinné prosazování ze strany nezávislých regulačních orgánů. Tento trend ( 162 ) také umožnil Komisi zintenzivnit svoji činnost v oblasti odpovídající ochrany. Patří sem i přijetí rozhodnutí o odpovídající ochraně pro Spojené království ( 163 ), které má zásadní význam pro zajištění řádného fungování různých dohod uzavřených se Spojeným královstvím po brexitu. Aby bylo zajištěno, že rozhodnutí o odpovídající ochraně obstojí i v budoucnu, obsahuje „ustanovení o skončení platnosti“, podle něhož skončí platnost rozhodnutí v roce 2025 a poté může být prodlouženo, pokud bude úroveň ochrany i nadále odpovídající. Komise rovněž přijala rozhodnutí o odpovídající ochraně pro Korejskou republiku ( 164 ), které doplňuje dohodu o volném obchodu mezi EU a Koreou v oblasti toků údajů a usnadňuje spolupráci v oblasti regulace. První přezkum rozhodnutí o odpovídající ochraně se plánuje na konec roku 2024.

Kromě toho poté, co bylo rozhodnutí o odpovídající ochraně pro štít EU-USA na ochranu soukromí prohlášeno za neplatné, zahájila Komise jednání s vládou Spojených států (USA) s cílem vypracovat nástupnické ujednání v souladu s požadavky upřesněnými Soudním dvorem ( 165 ). Prezident USA přijal nový výkonný dekret o „posílení záruk týkajících se signálové zpravodajské činnosti Spojených států“, který zavedl nové závazné a vymahatelné záruky, jež mají zajistit, že přístup k údajům pro účely národní bezpečnosti bude možný pouze v nezbytném a přiměřeném rozsahu a že Evropané budou mít k dispozici účinné prostředky ochrany. Na tomto základě přijala Komise rozhodnutí o odpovídající ochraně týkající se rámce EU–USA pro ochranu údajů ( 166 ), které umožňuje volný tok osobních údajů z EU do amerických společností, které se k tomuto rámci připojí. Vzhledem k tomu, že záruky zavedené vládou USA v oblasti národní bezpečnosti se vztahují na veškeré předávání údajů společnostem v USA bez ohledu na použitý mechanismus předávání podle nařízení GDPR, bylo výrazně usnadněno používání dalších nástrojů, jako jsou standardní smluvní doložky a závazná podniková pravidla. První přezkum fungování rámce EU–USA pro ochranu údajů se uskuteční v létě roku 2024, aby se ověřilo, že všechny příslušné prvky byly v právním rámci USA plně provedeny a v praxi účinně fungují.

V současné době probíhají jednání o odpovídající ochraně s Brazílií a Keňou a poprvé také s několika mezinárodními organizacemi (v pokročilé fázi jsou například jednání o odpovídající ochraně s Evropskou patentovou organizací) ( 167 ). V souladu s výzvami různých zúčastněných stran ( 168 ) se Komise aktivně zapojila do předběžných rozhovorů se zeměmi v různých regionech světa.

Komise rovněž průběžně sleduje vývoj v zemích, které již zjištění týkající se odpovídající ochrany využívají, a pravidelně přezkoumává stávající rozhodnutí v souladu se svými odpovídajícími povinnostmi podle nařízení GDPR ( 169 ). V dubnu 2023 přijala Komise zprávu o prvním pravidelném přezkumu rozhodnutí o odpovídající ochraně týkající se Japonska ( 170 ), v níž dospěla k závěru, že Japonsko nadále zajišťuje odpovídající úroveň ochrany ( 171 ). Přezkum ukázal, že rámce EU a Japonska pro ochranu údajů se od přijetí rozhodnutí o odpovídající ochraně dále sbližují.

Kromě toho byl v souladu s článkem 97 nařízení GDPR zahájen první přezkum jedenácti rozhodnutí o odpovídající ochraně ( 172 ) přijatých podle dřívějšího rámce EU pro ochranu údajů (směrnice o ochraně údajů) v rámci hodnocení uplatňování a fungování nařízení GDPR z roku 2020. Uzavření tohoto aspektu přezkumu bylo odloženo, zejména s ohledem na rozsudek Soudního dvora ve věci Schrems II a následný výklad sboru. Výše uvedená objasnění Soudního dvora týkající se klíčových prvků úrovně odpovídající ochrany vedla k podrobné výměně informací s dotčenými zeměmi a územími o příslušných aspektech jejich právního rámce, jakož i o mechanismech dohledu a prosazování.

Dne 15. ledna 2024 Komise zveřejnila zprávu o těchto jedenácti rozhodnutích spolu s podrobnými zprávami o jednotlivých zemích, které popisují vývoj v každé ze zemí a území od přijetí rozhodnutí o odpovídající ochraně, jakož i pravidla, která se vztahují na přístup orgánů veřejné moci k údajům, zejména pro účely prosazování práva a národní bezpečnosti ( 173 ). Zpráva dochází k závěru, že všech jedenáct zemí a území nadále poskytuje přiměřenou úroveň ochrany osobních údajů předávaných z EU. Odráží skutečnost, že všechny dotčené země a území různým způsobem modernizovaly a posílily svůj právní rámec pro ochranu soukromí. Kromě toho byly v zájmu řešení příslušných rozdílů v úrovni ochrany s některými z nich vyjednány a dohodnuty dodatečné záruky pro osobní údaje předávané z Evropy, pokud to bylo nutné k zajištění kontinuity rozhodnutí o odpovídající ochraně.

Tyto přezkumy rovněž ukazují, že rozhodnutí o odpovídající ochraně položila základ pro užší spolupráci a další sbližování právních předpisů mezi EU a těmito podobně smýšlejícími partnery, a nejsou tedy „konečným bodem“. Například zpráva o prvním přezkumu rozhodnutí o odpovídající ochraně údajů týkající se Japonska uznává, že další posílení japonského rámce pro ochranu údajů může připravit půdu pro rozšíření rozhodnutí o odpovídající ochraně údajů nad rámec obchodních výměn, aby se vztahovalo i na předávání údajů, jež jsou v současnosti z jeho působnosti vyloučena, například ve sféře spolupráce v oblasti regulace a výzkumu. Probíhají rozhovory za účelem prozkoumání tohoto možného prodloužení. Obecně se rozhodnutí o odpovídající ochraně stala strategickou součástí celkových vztahů EU s těmito zahraničními partnery a jsou považována za hlavní faktor prohlubující spolupráci v široké škále oblastí.

Rostoucí síť zemí a území, pro něž EU přijala rozhodnutí o odpovídající ochraně údajů, představuje nejen silný základ pro intenzivnější dvoustrannou spolupráci, ale také nové příležitosti k maximalizaci výhod bezpečných a volných toků údajů a k užší spolupráci mezi podobně smýšlejícími partnery při prosazování pravidel ochrany údajů. V březnu 2024 proto Komise uspořádala vůbec první zasedání na vysoké úrovni o bezpečných tocích údajů, na němž se sešli odpovědní ministři a vedoucí úřadů pro ochranu osobních údajů z patnácti zemí a území, pro něž EU přijala rozhodnutí o odpovídající ochraně, a také předsedkyně Evropského sboru pro ochranu osobních údajů ( 174 ). Na zasedání bylo určeno několik konkrétních bodů, na kterých se nyní v rámci této skupiny pracuje.

Obecněji řečeno, rozhodnutí o odpovídající ochraně přijatá Evropskou komisí mají prostřednictvím svého „síťového efektu“ stále větší význam také mimo EU, neboť umožňují volný tok dat nejen s 30 ekonomikami EHP, ale i s mnoha dalšími jurisdikcemi po celém světě, které uznávají země, pro něž existuje rozhodnutí EU o odpovídající ochraně, jako „bezpečné místo“ podle jejich vlastních pravidel ochrany údajů ( 175 ).

7.1.2Nástroje poskytující vhodné záruky

Od vydání zprávy z roku 2020 byly vyvinuty další nástroje, které poskytují vhodné záruky, a byly vydány praktické pokyny, které usnadňují jejich používání.

Jak bylo oznámeno ve zprávě z roku 2020, Komise přijala modernizované standardní smluvní doložky ( 176 ), které byly vypracovány na základě rozsáhlé zpětné vazby od různých zúčastněných stran ( 177 ). Nové standardní smluvní doložky nahradily tři soubory standardních smluvních doložek, které byly přijaty podle směrnice o ochraně údajů. Mezi hlavní inovace patří: i) aktualizované záruky v souladu s nařízením GDPR; ii) modulární přístup, který nabízí jedno správní místo pokrývající širokou škálu scénářů předávání údajů; iii) větší flexibilita při používání standardních smluvních doložek více stranami a iv) praktický soubor nástrojů pro dosažení souladu s rozsudkem ve věci Schrems II.

Zúčastněné strany tyto modernizované standardní smluvní doložky uvítaly, přičemž získaná zpětná vazba potvrzuje, že standardní smluvní doložky jsou i nadále zdaleka nejpoužívanějším nástrojem pro předávání údajů ze strany vývozců údajů z EU ( 178 ). S cílem pomoci vývozcům údajů v jejich úsilí o dodržování předpisů vypracovala Komise otázky a odpovědi, které poskytují další pokyny k používání doložek ( 179 ), jež budou dále aktualizovány, pokud se objeví nové otázky, a to i s ohledem na další zpětnou vazbu získanou v rámci tohoto hodnocení.

Mnozí vývozci údajů uvádějí, že mají potíže s prováděním „posouzení dopadů předávání údajů“, které vyžaduje rozsudek ve věci Schrems II, a odvolávají se zejména na jeho složitost a také na náklady a čas potřebný k jeho provádění ( 180 ). Přestože vítají pokyny sboru a standardní smluvní doložky, požadují další pokyny (např. ohledně odpovědnosti zúčastněných stran a úrovně podrobností požadované při posouzení dopadů předávání údajů) a další nástroje, které by pomohly při provádění těchto posouzení (např. šablony, obecná hodnocení zemí, katalogy rizik). Ačkoli zúčastněné strany poskytly tuto zpětnou vazbu především ke standardním smluvním doložkám, stejná posouzení jsou vyžadována i u jiných nástrojů předávání údajů (např. závazných podnikových pravidel). Je proto důležité, aby sbor – na základě zkušeností s uplatňováním požadavků dle věci Schrems II v minulých letech, a to i v rámci činnosti prosazování ze strany vnitrostátních úřadů pro ochranu osobních údajů – zvážil možnost prozkoumat způsoby/nástroje, které by vývozcům údajů dále pomáhaly v jejich úsilí o dodržování předpisů v této souvislosti.

Jako doplněk ke stávajícím standardním smluvním doložkám vypracovává Komise další soubory ustanovení, které mají vývozcům údajů z EU poskytnout komplexní a ucelený balíček. Bude zahrnovat standardní smluvní doložky podle nařízení (EU) 2018/1725 pro předávání údajů orgány a institucemi EU komerčním subjektům ve třetích zemích ( 181 ) a standardní smluvní doložky pro předávání údajů dovozcům údajů ze třetích zemí, jejichž operace zpracování přímo podléhají nařízení GDPR. Posledně uvedené standardní smluvní doložky reagují na výzvu zúčastněných stran, aby se konkrétně zabývaly situacemi, kdy dovozce údajů spadá do územní působnosti GDPR (například proto, že dané zpracování je zaměřeno na trh EU v souladu s čl. 3 odst. 2 nařízení GDPR) ( 182 ). Jak sbor vysvětlil, nástroj pro předávání údajů podle kapitoly V nařízení GDPR je vyžadován i v tomto případě, a to z důvodu zvýšených rizik u osobních údajů zpracovávaných mimo EU, například z důvodu případných protichůdných vnitrostátních právních předpisů nebo nepřiměřeného přístupu vlády ve třetí zemi ( 183 ). Nové standardní smluvní doložky, které Komise připravuje, se budou touto situací konkrétně zabývat a plně zohlední požadavky, které se na tyto správce a zpracovatele již přímo vztahují podle nařízení GDPR ( 184 ).

Jak uznávají i různé druhy zúčastněných stran ( 185 ), vzorové doložky hrají stále větší roli při usnadňování toku údajů po celém světě. Několik jurisdikcí schválilo standardní smluvní doložky EU jako mechanismus pro předávání údajů v rámci svých vlastních právních předpisů o ochraně údajů, a to s omezenými formálními úpravami ve vztahu ke svému vnitrostátnímu právnímu řádu ( 186 ). Řada dalších zemí přijala vlastní vzorové doložky, které sdílejí důležité společné rysy se standardními smluvními doložkami EU ( 187 ). Zvláště významným příkladem je vytvoření vzorových doložek jinými mezinárodními/regionálními organizacemi nebo sítěmi, jako je Poradní výbor Rady Evropy podle úmluvy č. 108, Iberoamerická síť pro ochranu údajů a Sdružení národů jihovýchodní Asie (ASEAN) ( 188 ). Otevírají se tak nové možnosti, jak usnadnit tok údajů mezi různými regiony světa na základě vzorových doložek. Konkrétním příkladem je příručka EU a sdružení ASEAN týkající se standardních smluvních doložek EU a vzorových doložek sdružení ASEAN, která vychází ze vstupních informací od společností a pomáhá jim v jejich úsilí o dodržování předpisů v rámci obou souborů doložek ( 189 ).

Kromě standardních smluvních doložek se pro toky údajů mezi členy skupin podniků nebo mezi podniky, které vykonávají společnou hospodářskou činnost, nadále hojně používají závazná podniková pravidla. Vzhledem k tomu, že platí nařízení GDPR, přijal sbor 80 kladných stanovisek k vnitrostátním rozhodnutím o schválení závazných podnikových pravidel ( 190 ). Sbor rovněž vydal pokyny k prvkům, které mají být zahrnuty do závazných podnikových pravidel pro správce (a k informacím, které mají být poskytnuty jako součást žádosti o závazná podniková pravidla), jež byly aktualizovány s ohledem na požadavky nařízení GDPR a rozsudek ve věci Schrems II ( 191 ). Připravují se také aktualizované pokyny k závazným podnikovým pravidlům pro zpracovatele ( 192 ). Jelikož cílem závazných podnikových pravidel je zavést ve společnostech závazné zásady/programy pro ochranu údajů, řada zúčastněných stran je považuje za obzvláště užitečný nástroj pro dodržování předpisů a důvěryhodný nástroj pro předávání údajů ( 193 ). Zúčastněné strany zároveň nadále uvádějí, že délka a složitost schvalovacího procesu ze strany vnitrostátních úřadů pro ochranu osobních údajů brání tomu, aby závazná podniková pravidla byla využívána šířeji. Je proto důležité, aby úřady pokračovaly v práci na zefektivnění a zkrácení schvalovacího procesu.

Od zprávy z roku 2020 byly rovněž podniknuty kroky k usnadnění používání osvědčení a kodexů chování jako nástrojů pro předávání údajů, např. přijetím zvláštních pokynů k oběma nástrojům sborem ( 194 ). Zúčastněné strany zároveň uvádějí stejné problémy týkající se časového harmonogramu a složitosti schvalovacího postupu, které byly zmíněny výše v souvislosti s osvědčeními a kodexy chování jako nástroji odpovědnosti.

Nařízení GDPR rovněž stanoví zvláštní nástroje – mezinárodní dohody a správní ujednání schválené úřady pro ochranu osobních údajů – které mají orgány veřejné moci využívat k předávání osobních údajů svým protějškům ve třetích zemích nebo mezinárodním organizacím. Sbor přijal pokyny k zárukám, které by měly být do těchto nástrojů zahrnuty ( 195 ) a které mohou podpořit jednání o těchto dohodách a ujednáních.

7.1.3Zajištění doplňkovosti s ostatními politikami

Vzhledem k tomu, že toky údajů se staly nezbytnými pro tolik činností, je klíčové zajistit, aby se politiky v oblasti ochrany údajů a další politiky vzájemně doplňovaly. Zahrnutí záruk na ochranu údajů do mezinárodních nástrojů je často nejen předpokladem pro toky údajů, ale také důležitým faktorem pro stabilní a důvěryhodnou spolupráci.

Například mezinárodní dohody poskytující nezbytné záruky na ochranu údajů, včetně zajištění kontinuity ochrany na straně dožadujícího úřadu, mají zásadní význam pro zajištění vzájemné slučitelnosti a usnadnění přeshraničního přístupu orgánů činných v trestním řízení k elektronickým důkazům v držení společností, a tím i pro účinnější boj proti trestné činnosti. Tento přístup se odráží v Druhém dodatkovém protokolu k Úmluvě o počítačové kriminalitě ( 196 ), který rozšiřuje stávající pravidla pro získání přeshraničního přístupu k elektronickým důkazům při vyšetřování trestných činů a zároveň zajišťuje vhodné záruky na ochranu údajů. Protokol mezitím podepsalo několik členských států EU. Podobně pokračují dvoustranná jednání mezi EU a USA o dohodě o přeshraničním přístupu k elektronickým důkazům pro spolupráci v trestních věcech ( 197 ).

Výměna údajů jmenné evidence cestujících (PNR) je další oblastí bezpečnostní politiky EU, která těží z vytváření silných záruk na ochranu údajů. V roce 2023 uzavřely EU a Kanada jednání o nové dohodě o jmenné evidenci cestujících v souladu s požadavky stanovenými Soudním dvorem v posudku 1/15 ( 198 ). Podobné záruky byly zavedeny v kapitole o jmenné evidenci cestujících v dohodě o obchodu a spolupráci mezi EU a Spojeným královstvím. Zahrnutí posílené ochrany soukromí do těchto dohod, které mohou sloužit jako vzor pro budoucí dohody s dalšími partnery, přináší leteckým dopravcům právní jistotu a zároveň zajišťuje stabilitu výměny informací důležitých pro boj proti terorismu a dalším závažným mezinárodním trestným činům.

Komise je také zastáncem přísných ustanovení na ochranu soukromí a podporu digitálního obchodu ve Světové obchodní organizaci v rámci probíhajících jednání o iniciativě společného prohlášení o elektronickém obchodu. Podobná ustanovení o boji proti neodůvodněným překážkám digitálního obchodu při současné ochraně nezbytného politického prostoru stran v oblasti ochrany údajů byla důsledně začleňována do dohod o volném obchodu, které EU uzavřela po vstupu nařízení GDPR v platnost, zejména do dohody o obchodu a spolupráci mezi EU a Spojeným královstvím a do dohod s Chile, Japonskem a Novým Zélandem. Ustanovení o ochraně soukromí a tocích údajů se projednávají také v rámci probíhajících jednání o digitálním obchodu se Singapurem a Jižní Koreou.

7.2Mezinárodní spolupráce v oblasti ochrany údajů

7.2.1Dvoustranný rozměr

Komise pokračovala v dialogu se zeměmi a mezinárodními organizacemi o vypracování, reformě a provádění pravidel na ochranu soukromí, mimo jiné poskytováním příspěvků k veřejným konzultacím o návrzích právních předpisů nebo regulačních opatření v oblasti ochrany soukromí ( 199 ), podáváním svědectví před příslušnými parlamentními orgány ( 200 ) a účastí na specializovaných setkáních se zástupci vlád, s parlamentními delegacemi a regulačními orgány z mnoha regionů světa ( 201 ). Řada těchto činností byla realizována v rámci projektu „Zvýšená ochrana a toky údajů“ financovaného EU, který podporuje země, jež hodlají vytvořit moderní rámce pro ochranu údajů nebo posílit kapacitu svých regulačních orgánů, a to prostřednictvím odborné přípravy, sdílení znalostí, budování kapacit a výměny osvědčených postupů. Komise přispěla i k dalším iniciativám, jako je Digitální aliance mezi EU a Společenstvím latinskoamerických a karibských států.

Ochrana údajů bude i nadále hrát klíčovou roli v práci Komise související s rozšířením. Právní předpisy EU v oblasti ochrany údajů jsou důležitou součástí celkového úsilí zemí procesu rozšíření o sladění jejich právních rámců s právními rámci EU (zejména proto, že zpracování a výměna osobních údajů jsou základem tolika politik). Nezávislost a řádné fungování úřadu pro ochranu osobních údajů je navíc klíčovým prvkem celkového systému brzd a protivah a právního státu, přičemž s postupnou integrací zemí procesu rozšíření EU do jednotného trhu bude nabývat na významu (jak předpokládají iniciativy, jako je například plán růstu pro západní Balkán).

Stále důležitější aspekt dialogu EU se třetími zeměmi se zaměřuje na výměny mezi regulačními orgány. Jak bylo oznámeno ve zprávě z roku 2020, Komise vytvořila akademii pro ochranu osobních údajů (Data Protection Academy) s cílem podpořit výměny mezi úřady pro ochranu osobních údajů EU a třetích zemí a přispět tak k budování kapacit a zlepšit spolupráci „v praxi“. Akademie nabízí individuálně uzpůsobenou odbornou přípravu na žádost úřadů třetích zemí a spojuje odborné znalosti zástupců donucovacích orgánů, akademické obce, soukromého sektoru a evropských institucí. Přidaná hodnota odborné přípravy spočívá v uzpůsobení jednotlivých složek zájmům a potřebám žádajícího úřadu. Tato odborná příprava navíc umožňují úřadům pro ochranu osobních údajů EU a třetích zemí navazovat kontakty, sdílet znalosti, vyměňovat si zkušenosti a osvědčené postupy a určovat potenciální oblasti spolupráce. Akademie dosud poskytla odbornou přípravu úřadům pro ochranu osobních údajů v Indonésii, Brazílii, Keni, Nigérii a Rwandě a v současné době připravuje odbornou přípravu pro několik dalších zemí.

Kromě toho, že je důležité udržovat dialog mezi regulačními orgány, je stále více zapotřebí vypracovat vhodné právní nástroje pro užší formy spolupráce a vzájemné pomoci, včetně umožnění nezbytné výměny informací v souvislosti s vyšetřováním, jak bylo rovněž uznáno ve zpětné vazbě od Rady a sboru ( 202 ). Vzhledem k tomu, že porušování ochrany soukromí má stále větší přeshraniční dopady, lze je často účinně vyšetřit a řešit pouze prostřednictvím spolupráce mezi regulačními orgány EU a mimo EU. Komise proto požádá o zmocnění zahájit jednání o uzavření dohod o spolupráci v oblasti prosazování práva s příslušnými třetími zeměmi (jak je rovněž stanoveno v článku 50 nařízení GDPR). V tomto ohledu Komise bere na vědomí požadavek sboru, aby jako potenciální protějšky byly zohledněny obzvláště země, ve kterých se nařízení GDPR přímo vztahuje na nejvíce hospodářských subjektů, zejména země skupiny G7 a/nebo země, které mají prospěch z rozhodnutí o odpovídající ochraně ( 203 ).

Zavedení těchto dohod o spolupráci a vzájemné pomoci v oblasti prosazování práva by rovněž pomohlo zajistit dodržování předpisů ze strany zahraničních hospodářských subjektů, na které se vztahuje nařízení GDPR, například proto, že se konkrétně zaměřují na trh EU tím, že nabízejí zboží nebo služby, a účinné prosazování předpisů vůči nim. Rada konstatuje, že v těchto případech je důležité prosazovat dodržování nařízení GDPR, a vyjadřuje obavy o rovné podmínky se subjekty v EU, jakož i o účinnou ochranu práv jednotlivců ( 204 ). Komise souhlasí s výzvou Rady, aby prozkoumala různé způsoby, jak v této situaci usnadnit prosazování. Formálnější podoby spolupráce s regulačními orgány třetích zemí by jistě mohly hrát důležitou roli, je však třeba intenzivněji využívat i jiné – již existující – způsoby. Patří k nim plné využití souboru nástrojů pro prosazování podle článku 58 nařízení GDPR a zapojení zástupců zahraničních společností v EU (jmenovaných v souladu s článkem 27 nařízení GDPR).

7.2.2Mnohostranný rozměr

Komise se také nadále aktivně účastní řady mezinárodních fór na podporu sdílených hodnot a dosažení sbližování na regionální a celosvětové úrovni.

Tato činnost zahrnuje například aktivní účast na práci Poradního výboru Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108), jediného právně závazného mnohostranného nástroje v oblasti ochrany osobních údajů. Pozměňovací protokol k modernizaci úmluvy č. 108 ( 205 ) dosud ratifikovalo 31 států, včetně řady členských států EU a některých nečlenských států Rady Evropy (Argentina, Mauricius a Uruguay). Z členských států EU zatím modernizovanou úmluvu nepodepsal pouze jeden členský stát ( 206 ), zatímco osm členských států ( 207 ) ji dosud podepsalo, ale neratifikovalo. Komise naléhavě vyzývá tento jeden zbývající členský stát, aby modernizovanou úmluvu podepsal, a další členské státy, aby urychleně přistoupily k její ratifikaci a umožnily tak v blízké budoucnosti její vstup v platnost. Kromě toho nadále aktivně podporuje přistoupení třetích zemí.

Na úrovni G20 a G7 se diskuse o ochraně soukromí a tocích údajů zaměřily na zprovoznění koncepce „volného toku údajů s důvěrou“ (Data Free Flow with Trust), kterou původně navrhlo Japonsko a která uznává, že ochrana a bezpečnost údajů mohou přispět k důvěře v digitální ekonomiku a usnadnit toky údajů ( 208 ). V této souvislosti hraje obzvláště důležitou roli OECD, neboť poskytuje fórum pro společenství odborníků na volný tok údajů s důvěrou, jež sdružuje širokou škálu zúčastněných stran (vlády, regulační orgány, průmysl, občanskou společnost, akademickou obec) s cílem přispět ke konkrétním projektům a otázkám souvisejícím s volným tokem údajů s důvěrou. Kromě toho je významným výsledkem iniciativy „volného toku údajů s důvěrou“, k níž Komise významně přispěla, přijetí Prohlášení OECD o přístupu vlád k osobním údajům uchovávaným subjekty soukromého sektoru, které je prvním mezinárodním nástrojem v této oblasti. Obsahuje řadu společných požadavků na ochranu soukromí při přístupu k osobním údajům pro účely národní bezpečnosti a prosazování práva. Vzhledem k rostoucímu celosvětovému uznání toho, že důvěra v předávání údajů je negativně ovlivněna nepřiměřeným přístupem vlád, je toto prohlášení důležitým příspěvkem k usnadnění důvěryhodných toků údajů. Komise bude i nadále vybízet jednotlivé země, aby se připojily k tomuto prohlášení, které je otevřené i pro nečleny OECD.

Komise rovněž spolupracuje s různými regionálními organizacemi a sítěmi, které vytvářejí společné záruky na ochranu údajů. Týká se to například sdružení ASEAN, Africké unie, fóra Asijsko-tichomořských úřadů pro ochranu soukromí, Iberoamerické sítě pro ochranu údajů a Sítě afrických úřadů pro ochranu osobních údajů (NADPA – RADPD). Konkrétním příkladem této plodné spolupráce je vypracování výše zmíněné příručky EU a sdružení ASEAN týkající se vzorových doložek.

Komise vede dialog s různými mezinárodními organizacemi, mimo jiné s cílem prozkoumat způsoby, jak dále usnadnit toky údajů mezi EU a těmito organizacemi. Vzhledem k tomu, že mnoho organizací v posledních letech modernizovalo nebo právě modernizuje své rámce pro ochranu údajů, vznikají také nové příležitosti k výměně zkušeností a osvědčených postupů. V tomto ohledu se ukázalo, že obzvláště užitečnými fóry pro výměnu a zkoumání konkrétních nástrojů spolupráce, včetně výměny osobních údajů, jsou každoroční semináře s mezinárodními organizacemi a zvláštní pracovní skupina pro mezinárodní předávání údajů, jež organizuje evropský inspektor ochrany údajů ( 209 ).

8Závěr

Za šest let svého uplatňování posílilo nařízení GDPR postavení lidí tím, že jim umožnilo mít kontrolu nad svými údaji. Pomohlo také vytvořit rovné podmínky pro podniky a posloužilo jako základní kámen pro celou řadu iniciativ, které jsou hnací silou digitální transformace v EU.

Aby bylo možné v plném rozsahu dosáhnout souběžných cílů nařízení GDPR, totiž silné ochrany jednotlivců a zároveň zajištění volného pohybu osobních údajů v rámci EU a bezpečného pohybu údajů mimo EU, je třeba se zaměřit na:

·důsledné prosazování nařízení GDPR, počínaje rychlým přijetím návrhu Komise o procesních pravidlech s cílem zajistit rychlou nápravu a právní jistotu v případech, které mají dopad na jednotlivce v celé EU,

·proaktivní podporu poskytovanou úřady pro ochranu osobních údajů zúčastněným stranám v jejich úsilí o dodržování předpisů, zejména malým a středním podnikům a malým hospodářským subjektům,

·jednotný výklad a uplatňování nařízení GDPR v celé EU,

·účinnou spolupráci mezi regulačními orgány na vnitrostátní úrovni i na úrovni EU s cílem zaručit jednotné a soudržné uplatňování rostoucího souboru digitálních pravidel EU,

·další pokrok v mezinárodní strategii Komise v oblasti ochrany údajů.

Na podporu účinného uplatňování nařízení GDPR a za účelem získání podkladů pro další úvahy o ochraně údajů je zapotřebí několik zde uvedených opatření. Komise bude podporovat a sledovat jejich provádění i s ohledem na příští zprávu v roce 2028. 

Rozvoj účinných struktur spolupráce

Evropský parlament a Rada se vyzývají, aby urychleně přijaly návrh procesních pravidel týkajících se nařízení GDPR.

Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:

-navázaly pravidelnou spolupráci s ostatními odvětvovými regulačními orgány v otázkách, které mají dopad na ochranu údajů, zejména s těmi, které byly vytvořeny v rámci nových právních předpisů EU v digitální oblasti, a aktivně se podílely na strukturách na úrovni EU určených k usnadnění spolupráce mezi regulačními orgány,

-více využívaly nástroje pro spolupráci, které nařízení GDPR poskytuje, aby se tak řešení sporů používalo až jako poslední možnost,

-zavedly účinnější a cílenější pracovní postupy pro pokyny, stanoviska a rozhodnutí a stanovily priority pro klíčové otázky s cílem snížit zátěž úřadů pro ochranu osobních údajů a rychleji reagovat na vývoj na trhu.

Je třeba, aby členské státy:

-zajistily účinnou a úplnou nezávislost vnitrostátních úřadů pro ochranu osobních údajů,

-přidělovaly úřadům pro ochranu osobních údajů dostatečné zdroje, aby tak tyto úřady mohly plnit své úkoly, zejména tím, že jim poskytnou technické zdroje a odborné znalosti nezbytné ke zvládnutí nově vznikajících technologií a plnění nových povinností podle právních předpisů v digitální oblasti,

-vybavily úřady pro ochranu osobních údajů vyšetřovacími nástroji, které jsou nezbytné k tomu, aby tyto úřady mohly účinně využívat vymáhací pravomoci stanovené v nařízení GDPR,

-podporovaly dialog mezi úřady pro ochranu osobních údajů a dalšími vnitrostátními regulačními orgány, zejména těmi, které byly zřízeny na základě nových právních předpisů v digitální oblasti.

Komise bude:

-aktivně podporovat rychlé přijetí návrhu procesních pravidel týkajících se nařízení GDPR ze strany spolunormovůrců,

-nadále pečlivě sledovat účinnou a úplnou nezávislost vnitrostátních úřadů pro ochranu osobních údajů,

-na základě zkušeností vytvářet součinnost a soulad mezi nařízením GDPR a všemi právními předpisy, které se týkají zpracování osobních údajů, a v případě potřeby přijme vhodná opatření k zajištění právní jistoty,

-uvažovat o tom, jak lépe řešit potřebu strukturované a účinné spolupráce mezi jednotlivými regulačními orgány, aby bylo zaručeno účinné, jednotné a soudržné uplatňování pravidel EU v digitální oblasti při současném respektování pravomocí úřadů pro ochranu osobních údajů ve všech otázkách týkajících se zpracování osobních údajů.

Provádění a doplňování právního rámce

Je třeba, aby členské státy:

-zajistily, aby byly před přijetím právních předpisů o zpracování osobních údajů včas konzultovány úřady pro ochranu osobních údajů.

Komise bude:

-nadále využívat veškeré nástroje, které má k dispozici, včetně řízení o nesplnění povinnosti, aby bylo zajištěno dodržování nařízení GDPR členskými státy,

-nadále podporovat výměnu názorů a vnitrostátních postupů mezi členskými státy, mimo jiné prostřednictvím expertní skupiny členských států pro nařízení GDPR,

-podnikat kroky k zajištění toho, aby děti byly na internetu chráněny a respektovány a bylo posíleno jejich postavení online,

-zvažovat další možné kroky týkající se návrhu nařízení o soukromí a elektronických komunikacích, včetně jeho vztahu k nařízení GDPR.

Podpora zúčastněných stran

Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:

-vedly konstruktivní dialog se správci a zpracovateli o dodržování nařízení GDPR,

-dále zvyšovaly úsilí na podporu dodržování předpisů ze strany malých a středních podniků, a to poskytováním individuálně uzpůsobených pokynů a nástrojů, rozptýlením neopodstatněných obav malých a středních podniků, které nemají zpracování osobních údajů jako svou hlavní činnost, a provázet je v jejich úsilí o dodržování předpisů,

-podporovaly zavádění účinných opatření pro dodržování předpisů ze strany podniků, jako jsou osvědčení a kodexy chování (i jako nástroje pro předávání údajů), a to prostřednictvím zapojení zúčastněných stran do procesu schvalování, poskytováním jasných časových harmonogramů pro schvalování a, jak se sbor zavázal ve své strategii na období 2024–2027, vysvětlováním klíčovým skupinám zúčastněných stran, jak lze tyto nástroje používat,

-zajistily, aby vnitrostátní pokyny a uplatňování nařízení GDPR na vnitrostátní úrovni byly v souladu s pokyny sboru a judikaturou Soudního dvora,

-vyřešily rozdílné výklady nařízení GDPR mezi úřady pro ochranu osobních údajů, a to i mezi úřady v tomtéž členském státě,

-poskytovaly pokyny, které jsou stručné, praktické a přístupné příslušné cílové skupině, jak se sbor zavázal ve své strategii na období 2024–2027,

-zajistily včasnější a smysluplnější konzultace o pokynech a stanoviscích s cílem lépe porozumět dynamice trhu a obchodním postupům, náležitě zohlednit získanou zpětnou vazbu a brát v úvahu konkrétní uplatňování přijatých výkladů,

-přednostně dokončily probíhající práci na pokynech týkajících se údajů o dětech, vědeckého výzkumu, anonymizace, pseudonymizace a oprávněného zájmu,

-zintenzivnily činnost za účelem zvyšování informovanosti, poskytování informací a donucovací opatření s cílem zajistit, aby pověřenci pro ochranu osobních údajů mohli plnit svou úlohu podle nařízení GDPR.

Komise bude:

-nadále finančně podporovat činnosti úřadů pro ochranu osobních údajů, které usnadňují malým a středním podnikům plnění povinností vyplývajících z nařízení GDPR,

-využívat všechny dostupné prostředky k poskytování účelných vysvětlení v záležitostech důležitých pro zúčastněné strany, včetně malých a středních podniků, zejména vyžádáním stanovisek sboru.

Další rozvoj souboru nástrojů pro předávání údajů a mezinárodní spolupráci

Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:

-dokončily práci na zefektivnění a zkrácení procesu schvalování závazných podnikových pravidel a na aktualizaci pokynů k prvkům, které mají být obsaženy v závazných podnikových pravidlech pro zpracovatele,

-prozkoumaly způsoby/nástroje, které by vývozcům údajů dále pomáhaly v jejich úsilí o dodržování požadavků dle rozsudku ve věci Schrems II,

-prozkoumaly další způsoby, jak zajistit účinné prosazování vůči hospodářským subjektům usazeným ve třetích zemích, které spadají do územní působnosti nařízení GDPR.

Je třeba, aby členské státy:

-zajistily co nejrychlejší zbývající podpis a ratifikaci modernizované Úmluvy Rady Evropy č. 108+, aby mohla vstoupit v platnost.

Komise bude:

-dosahovat dalšího pokroku v probíhajících jednáních o odpovídající ochraně, zkoumat další vývoj stávajících zjištění o odpovídající ochraně a vést nové dialogy o odpovídající ochraně se zúčastněnými stranami,

-podporovat zvýšenou spolupráci mezi sítí zemí, které mají prospěch z rozhodnutí o odpovídající ochraně,

-dokončovat práci na dalších standardních smluvních doložkách, zejména pro předávání údajů dovozcům údajů, jejichž zpracování přímo podléhá nařízení GDPR, a pro předávání údajů podle nařízení (EU) 2018/1725 v případě předávání údajů orgány a institucemi EU,

-spolupracovat s mezinárodními partnery na usnadnění toku údajů na základě vzorových smluvních doložek,

-podporovat probíhající reformní procesy ve třetích zemích týkající se nových nebo modernizovaných pravidel ochrany osobních údajů sdílením zkušeností a osvědčených postupů,

-spolupracovat s mezinárodními a regionálními organizacemi, jako jsou OECD a skupina G7, na podpoře důvěryhodných toků údajů založených na přísných standardech pro ochranu údajů, a to i v souvislosti s iniciativou „toku údajů s důvěrou“,

-usnadňovat a podporovat výměny mezi evropskými a mezinárodními regulačními orgány, mimo jiné prostřednictvím své akademie pro ochranu osobních údajů,

-přispívat k usnadnění mezinárodní spolupráce v oblasti vymáhání práva mezi dozorovými úřady, mimo jiné prostřednictvím jednání o dohodách o spolupráci a vzájemné pomoci.

(1) ()    Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů, 24.6.2020, COM(2020) 264 final.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/cs/pdf  

(3) ()    Shrnutí příspěvků mnohostranné expertní skupiny pro nařízení GDPR je k dispozici zde: Zpráva mnohostranné expertní skupiny o uplatňování nařízení GDPR – červen 2024.pdf . Příspěvky obdržené v reakci na veřejnou výzvu k předložení faktických podkladů a prostřednictvím dvoustranných setkání se zúčastněnými stranami do značné míry odrážejí názory vyjádřené členy mnohostranné expertní skupiny pro nařízení GDPR.

(4) ()     https://ec.europa.eu/info/law/better-regulation/  

(5) ()     Příspěvek EDPB k hodnocení nařízení GDPR podle článku 97 | Evropský sbor pro ochranu osobních údajů (europa.eu) .

(6) ()     GDPR v praxi – zkušenosti úřadů pro ochranu osobních údajů | Agentura Evropské unie pro základní práva (europa.eu) .

(7) ()    Návrh nařízení Evropského parlamentu a Rady, kterým se stanoví další procesní pravidla týkající se prosazování nařízení (EU) 2016/679 (COM/2023/348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_cs  

(9) ()    Prostřednictvím mnohostranné expertní skupiny pro nařízení GDPR a výzvy k předložení faktických podkladů, která vznikla v únoru 2023.

(10) ()    Zejména prostřednictvím expertní skupiny členských států pro nařízení GDPR: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=cs&do=groupDetail.groupDetail&groupID=3461  

(11) ()    Článek 61 nařízení GDPR.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .

(13) ()    Článek 62 nařízení GDPR.

(14) ()    Článek 65 nařízení GDPR.

(15) ()    Ke dni 3. listopadu 2023 (příspěvek sboru).

(16) ()    Podle čl. 60 odst. 3 nařízení GDPR.

(17) ()    Ke dni 3. listopadu 2023.

(18) ()    Nejvíce formálních žádostí podal irský úřad (246), zatímco nejvíce žádostí obdržely německé úřady (516).

(19) ()    Nejvíce neformálních žádostí podal irský úřad (4 245), následovaný německými úřady (2 036).

(20) ()    Z 289 relevantních a odůvodněných námitek oznámených úřady jich 101 (35 %) vznesly německé úřady. Míra úspěšnosti při dosahování konsensu ohledně relevantních a odůvodněných námitek se pohybuje od 15 % (námitky vznesené německými úřady) do 100 % (námitky vznesené polským úřadem).

(21)

()    Články 64, 65 a 66 nařízení GDPR.

(22) ()    Stanoviska podle čl. 64 odst. 2 nařízení GDPR.

(23)

()    Podle čl. 65 odst. 1 písm. a) nařízení GDPR.

(24) ()    Podle čl. 66 odst. 2 nařízení GDPR.

(25) ()    Viz bod 5.3.4 příspěvku sboru.

(26) ()    Zpráva agentury FRA, s. 36.

(27) ()    Návrh procesních pravidel, článek 5.

(28) ()    V Rumunsku bylo u soudu napadeno všech 26 rozhodnutí, která konstatují porušení předpisů, zatímco v Nizozemsku činila míra napadení 23 %. Míra úspěšnosti napadení byla nejvyšší v Belgii (39 %).

(29) ()    Nejvíce šetření z vlastního podnětu zahájily úřady pro ochranu osobních údajů v Německu (7 647), následovalo Maďarsko (3 332), Rakousko (1 681) a Francie (1 571).

(30) ()    V roce 2022 obdrželo devět úřadů pro ochranu osobních údajů více než 2 000 stížností. Nejvyšší počet stížností byl zaznamenán v Německu (32 300), Itálii (30 880), Španělsku (15 128), Nizozemsku (13 133) a Francii (12 193), naopak nejnižší v Lichtenštejnsku (40), na Islandu (140) a v Chorvatsku (271).

(31) ()    Správní pokuty uložily všechny úřady s výjimkou Dánska, které správní pokuty neustanoví. Nejvíce pokut bylo uloženo v Německu (2 106) a ve Španělsku (1 596). Nejméně pokut bylo uloženo v Lichtenštejnsku (3), na Islandu (15) a ve Finsku (20).

(32) ()    Zpráva agentury FRA, s. 38.

(33) ()    Zpráva agentury FRA, s. 20 a 23. Viz také postoj a zjištění Rady, bod 17.

(34) ()    Ustanovení čl. 70 odst. 1 nařízení GDPR.

(35) ()    Zpráva agentury FRA, s. 64.

(36) ()    Zpráva agentury FRA, s. 67. V roce 2023 věnovaly na činnost sboru nejvíce prostředků německé úřady pro ochranu osobních údajů (26 ekvivalentů plného pracovního úvazku), následované Irskem (16) a Francií (12) (příspěvek sboru).

(37) ()    Zpráva agentury FRA, s. 67.

(38) ()    Zpráva agentury FRA, s. 67; shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(39) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(40) ()    Viz také postoj a zjištění Rady, bod 45.

(41) ()    Viz také postoj a zjištění Rady, bod 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(43) ()    Viz také postoj a zjištění Rady, bod 31 písm. d).

(44) ()    Požadují zejména vyjasnění významu pojmu „vědecký výzkum“, úlohy souhlasu se zpracováním osobních údajů pro účely výzkumu, příslušného právního základu a úlohy a odpovědnosti zúčastněných subjektů.

(45) ()    Viz také postoj a zjištění Rady, bod 31 písm. b).

(46) ()    Postoj a zjištění Rady, body 27–28.

(47) ()    Článek 52 nařízení GDPR.

(48) ()    Zpráva agentury FRA, s. 31.

(49) ()    Viz oddíl 4.4.1 příspěvku sboru, kde jsou uvedeny i absolutní hodnoty.

(50) ()    Pouze pět úřadů pro ochranu osobních údajů se domnívá, že má k dispozici dostatečné lidské zdroje (příspěvek sboru, strana 33).

(51) ()    Zpráva agentury FRA, s. 20. Některé úřady pro ochranu osobních údajů zadávají určité úkoly externím dodavatelům, například vyřizování stížností, právní analýzu a forenzní analýzu.

(52) ()    Zpráva agentury FRA, s. 24.

(53) ()    Zpráva agentury FRA, s. 22.

(54) ()    Viz oddíl 4.4.5 příspěvku sboru.

(55) ()    Příspěvek sboru, strana 32.

(56) ()    Zpráva agentury FRA, s. 48.

(57) ()    Zpráva agentury FRA, s. 45. Úřady pro ochranu osobních údajů považují šetření z moci úřední za obzvláště důležitá, neboť stěžovatelé si nemusí být řady případů porušení nařízení GDPR vědomi.

(58) ()    Zpráva agentury FRA, s. 8.

(59) ()    Zpráva agentury FRA, s. 39.

(60) ()    Zpráva agentury FRA, s. 41.

(61) ()    9. bod odůvodnění nařízení GDPR.

(62) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(63) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(64) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(65) ()    Ustanovení čl. 6 odst. 1 písm. f) a a) nařízení GDPR.

(66) ()    Ustanovení čl. 22 odst. 2 nařízení GDPR.

(67) ()    4. bod odůvodnění.

(68) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR. 

(69) ()    Např. minimální věk pro souhlas dítěte v souvislosti se službami informační společnosti (čl. 8 odst. 1 nařízení GDPR).

(70) ()    Ustanovení čl. 8 odst. 1 nařízení GDPR.

(71) ()    Možnost stanovená v čl. 9 odst. 4 nařízení GDPR.

(72) ()    Článek 10 nařízení GDPR.

(73) ()    Postoj a zjištění Rady, bod 30.

(74) ()    Článek 36 nařízení GDPR.

(75) ()    Zpráva agentury FRA, s. 11.

(76) ()    Belgie (2021/4045) a Belgie (2022/2160).

(77) ()    Finsko (2022/4010) a Švédsko (2022/2022).

(78) ()    Informace o referenčním čísle případu, typu šetření (na základě vlastního podnětu nebo na základě stížnosti), shrnutí rozsahu šetření, dotčených úřadech pro ochranu osobních údajů, klíčových podniknutých procesních krocích a termínech, přijatých vyšetřovacích nebo jiných opatřeních a termínech.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=cs&do=groupDetail.groupDetail&groupID=3461  

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=cs&meetingId=31754&fromExpertGroups=3461  

(81) ()    Věc C-319/22, ECLI:EU:C:2023:837.

(82) ()    Věci C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Věci C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Věc C-61/19, ECLI:EU:C:2020:901.

(85) ()    Věci C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Věci C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Věc C-460/20, ECLI:EU:C:2022:962.

(88) ()    Věc C-300/21, ECLI:EU:C:2023:370; věc C-687/21, ECLI:EU:C:2024:72; věc C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Spojené věci C‑26/22 a C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Věci C-807/21, ECLI:EU:C:2023:950; Věc C-683/21, ECLI:EU:C:2023:949.

(91) ()    Věc C-453/21, ECLI:EU:C:2023:79.

(92) ()    Věci C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Věci C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Postoj a zjištění Rady, bod 13.

(95) ()    Příspěvek sboru, oddíl 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en  

(97) ()    Zpráva agentury FRA, s. 9 a 48.

(98) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(99) ()    Článek 10 nařízení (EU) 2022/868 (akt o správě dat) (Úř. věst. L 152, 3.6.2022, s. 1).

(100) ()    Ustanovení čl. 12 odst. 5 nařízení GDPR.

(101) ()    Soudní dvůr však upřesnil, že subjekt údajů nemusí uvádět důvody žádosti o přístup k osobním údajům: věc C-307/22, ECLI:EU:C:2023:811, bod 38.

(102) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR. 

(103) ()    Postoj a zjištění Rady, body 27–28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_cs

(105) ()     Pracovníci platforem: Rada potvrdila dohodu o nových pravidlech pro zlepšení pracovních podmínek pracovníků platforem – Consilium (europa.eu) .

(106) ()    Návrh nařízení o evropském prostoru pro zdravotní data (COM/2022/197 final).

(107) ()    Návrh nařízení o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1094/2010, (EU) č. 1095/2010 a (EU) 2022/2554 (COM/2023/360 final).

(108) ()    Směrnice (EU) 2020/1828 ze dne 25. listopadu 2020 o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů a o zrušení směrnice 2009/22/ES (Úř. věst. L 409, 4.12.2020, s. 1).

(109) ()    38. bod odůvodnění nařízení GDPR.

(110) ()    Doporučení týkající se rozvoje a posílení integrovaných systémů ochrany dětí v nejlepším zájmu dítěte: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_cs  

(111) ()    Viz také postoj a zjištění Rady, bod 31 písm. a).

(112) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en  

(114) ()     https://digital-strategy.ec.europa.eu/cs/policies/strategy-better-internet-kids

(115) ()    Nařízení (EU) 2024/1183, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024).

(116) ()    Jak zjistila zpráva platformy Fit pro budoucnost (Fit for Future), skupiny odborníků na vysoké úrovni zřízené s cílem pomoci Komisi v jejím úsilí o zjednodušení právních předpisů EU a odstraňování souvisejících nadbytečných nákladů: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_cs . Viz také shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR a postoj a zjištění Rady, bod 12.

(117) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(118) ()    Prováděcí rozhodnutí Komise (EU) 2021/915 ze dne 4. června 2021 o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 a čl. 29 odst. 7 nařízení GDPR (C/2021/3701) (Úř. věst. L 199, 7.6.2021, s. 18).

(119) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(120) ()    Postoj a zjištění Rady, bod 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_cs?f%5B0%5D=coc_scope%3Anational  

(122) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en  

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en  

(126) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(127) ()    Viz postoj a zjištění Rady, bod 24; shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(128) ()    Pokud organizace zaměstnává méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nařízení GDPR nebo osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 10 nařízení GDPR.

(129) ()    Ustanovení čl. 30 odst. 5 nařízení GDPR.

(130) ()    Postoj a zjištění Rady, bod 26; Evropský sbor pro ochranu osobních údajů 2023 – Koordinovaná dozorová akce Jmenování a postavení pověřenců pro ochranu osobních údajů: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf  

(131) ()    Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR. 

(132) ()    Viz doporučení v koordinované dozorové akci sboru EDPB.

(133) ()    Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách) (Úř. věst. L 277, 27.10.2022, s. 1).

(134) ()    Nařízení (EU) 2022/1925 (nařízení o digitálních trzích) (Úř. věst. L 265, 12.10.2022, s. 1).

(135) ()    Nařízení (EU) 2024/1689 (akt o umělé inteligenci) (Úř. věst. L, 2024/1689, 12.7.2024).

(136) ()     Pracovníci platforem: Rada potvrdila dohodu o nových pravidlech pro zlepšení pracovních podmínek pracovníků platforem – Consilium (europa.eu) .

(137) ()    Nařízení (EU) 2024/900 o transparentnosti a cílení politické reklamy (Úř. věst. L, 2024/900, 20.3.2024).

(138) ()    Návrh nařízení o soukromí a elektronických komunikacích (COM(2017) 10 final).

(139) ()    Směrnice 2002/58/ES (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(140)

()    Nařízení (EU) 2024/903 (nařízení o interoperabilní Evropě) (Úř. věst. L, 2024/903, 22.3.2024).

(141) ()    Viz postoj a zjištění Rady, bod 31 písm. f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en  

(143) ()    Nařízení (EU) 2022/868 (akt o správě dat) (Úř. věst. L 152, 3.6.2022, s. 1).

(144) ()    Nařízení (EU) 2023/2854 (nařízení o datech) (Úř. věst. L, 2023/2854, 22.12.2023).

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_CS.html

(146) ()    Viz postoj a zjištění Rady, body 40–41; shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(147) ()    Viz například čl. 37 odst. 3 nařízení o datech.

(148) ()    Směrnice (EU) 2022/2555 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).

(149) ()    Viz postoj a zjištění Rady, body 18, 40–41 a shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(150) ()     Německo zřídilo „digitální klastr“, který zahrnuje regulační orgány z různých oblastí s cílem rozšířit jejich spolupráci ve všech aspektech digitalizace a sdílet znalosti a osvědčené postupy: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn  

(151) ()     Pokyny EDPB 05/2021.

(152) ()     Oddíl 2 pokynů EDPB 05/2021.

(153) ()     Věc C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Věc Schrems II, bod 93.

(155) ()     Věc Schrems II, body 96 a 105.

(156) ()     Věc Schrems II, bod 131.

(157) ()     Věc Schrems II, bod 105.

(158) ()     Doporučení EDPB 02/2020 a referenční rámec pro odpovídající ochranu, WP 254 rev. 01.

(159) ()     Doporučení EDPB 01/2020, doplněné doporučením 02/2020.

(160) ()     Viz např. body 8–13, 32–33 doporučení EDPB 01/2020.

(161) ()     Viz např. příspěvek sboru, s. 7–8; postoj a zjištění Rady, bod 36; shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(162) ()    Realizující sdělení Komise „Výměna a ochrana osobních údajů v globalizovaném světě“, 10.1.2017 (COM(2017) 7 final).

(163) ()     Prováděcí rozhodnutí Komise (EU) 2021/1772 (Úř. věst. L 360, 11.10.2021, s. 1).

(164) ()    Prováděcí rozhodnutí Komise (EU) 2022/254 (Úř. věst. L 44, 24.2.2022, s. 1).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en  

(166) ()    Prováděcí rozhodnutí Komise (EU) 2023/1795 (Úř. věst. L 231, 20.9.2023, s. 118).

(167) ()     Evropská patentová organizace je mezivládní organizace zřízená na základě Evropské patentové úmluvy. Jejím hlavním úkolem je udělování evropských patentů. V této souvislosti úzce spolupracuje s podniky a orgány veřejné moci v členských státech EU, jakož i s různými institucemi a orgány EU.

(168) ()     Příspěvek sboru, s. 7–8.

(169) ()    Ustanovení čl. 45 odst. 4 a 5 nařízení GDPR. Viz také věc Schrems I, bod 76.

(170) ()     Prováděcí rozhodnutí Komise (EU) 2019/419 (Úř. věst. L 76, 19.3.2019, s. 1). Viz také https://ec.europa.eu/commission/presscorner/detail/cs/IP_19_421 . Toto rozhodnutí bylo prvním rozhodnutím o odpovídající ochraně přijatým podle nařízení GDPR a prvním recipročním ujednáním o odpovídající ochraně.

(171) ()     Zpráva Komise o prvním přezkumu fungování rozhodnutí o odpovídající ochraně týkající se Japonska, 3.4.2023, COM(2023) 275 final (a SWD(2023) 75 final).

(172) ()     Andorra, Argentina, Faerské ostrovy, Guernsey, Izrael, Jersey, Kanada (pro komerční subjekty), Nový Zéland, Ostrov Man, Švýcarsko a Uruguay.

(173) ()     Zpráva Komise o prvním přezkumu fungování rozhodnutí o odpovídající ochraně přijatých podle čl. 25 odst. 6 směrnice 95/46/ES, 15.1.2024, COM(2024) 7 final (a SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11  

(175) ()     Například Argentina, Izrael, Kolumbie, Maroko, Švýcarsko a Uruguay.

(176) ()     Prováděcí rozhodnutí Komise (EU) 2021/914 (Úř. věst. L 199, 7.6.2021, s. 31).

(177) ()     Ta zahrnovala například společné stanovisko EDPB a EIOÚ 2/2021 v rámci postupu přijímání standardních smluvních doložek.

(178) ()     Postoj a zjištění Rady, bod. 37, příspěvek sboru, s. 9, shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_cs

(180) ()     Viz např. shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(181) ()     V souladu s čl. 48 odst. 2 písm. b) nařízení (EU) 2018/1725.

(182) ()     Postoj a zjištění Rady, bod 37, příspěvek sboru, strana 9, shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(183) () Pokyny EDPB 05/2021, s. 3.

(184) ()     Jak je rovněž uvedeno v pokynech EDPB 05/2021, oddíl 4.

(185) ()     Příspěvek sboru, s. 9, shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(186) ()     Např. Spojené království ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) a Švýcarsko ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Např. Nový Zéland ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) a Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Viz https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf a https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf  

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf

(190) ()     Příspěvek sboru, strana 9.

(191) ()     Doporučení EDPB 1/2022.

(192) ()     Příspěvek sboru, strana 9.

(193) ()     Shrnutí zpětné vazby mnohostranné expertní skupiny pro nařízení GDPR.

(194) ()    Pokyny EDPB 07/2022 a pokyny 04/2021.

(195) ()     Pokyny EDPB 2/2020.

(196) ()     Druhý dodatkový protokol k Úmluvě o počítačové kriminalitě o posílené spolupráci a zpřístupňování elektronických důkazů (CETS č. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en  

(198) ()     Návrh Komise na rozhodnutí Rady o podpisu Dohody mezi Kanadou a Evropskou unií o předávání a zpracování údajů jmenné evidence cestujících (PNR) jménem Evropské unie (COM/2024/94 final).

(199) ()     Jednalo se například o konzultace pořádané Austrálií, Čínou, Rwandou, Argentinou, Brazílií, Etiopií, Indonésií, Peru, Malajsií a Thajskem.

(200) ()     Například před parlamentními orgány Chile, Ekvádoru a Paraguaye.

(201) () Patřilo sem rovněž organizování seminářů a studijních návštěv, například s Keňou, Indonésií a Singapurem.

(202) ()     Příspěvek sboru, strana 8; postoj a zjištění Rady, bod 38.

(203) ()     Příspěvek sboru, strana 8.

(204) ()     Postoj a zjištění Rady, bod 39.

(205) ()     Protokol, kterým se mění Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS č. 223).

(206) ()    Dánsko.

(207) ()    Belgie, Česko, Irsko, Řecko, Lotyšsko, Lucembursko, Nizozemsko a Švédsko.

(208) ()     Viz např. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1  

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en