Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52020DC0264

    SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů

    COM/2020/264 final

    V Lucemburku dne 24.6.2020

    COM(2020) 264 final

    SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

    Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů

    {SWD(2020) 115 final}


    SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

    Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů

    1Pravidla ochrany údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci

    Toto je první zpráva o hodnocení a posouzení obecného nařízení o ochraně osobních údajů 1 (dále jen „nařízení GDPR“), zejména o uplatňování a fungování pravidel předávání osobních údajů do třetích zemí a mezinárodním organizacím a pravidel týkajících se spolupráce a soudržnosti podle čl. 97 nařízení GDPR.

    Nařízení GDPR, které je v platnosti od 25. května 2018, je ústředním prvkem rámce 2 EU zaručujícího základní práva na ochranu osobních údajů, jak je zakotveno v Listině základních práv Evropské unie (čl. 8) a ve Smlouvách (čl. 16 Smlouvy o fungování Evropské unie, dále jen „SFEU“). Nařízení GDPR posílilo záruky na ochranu osobních údajů, poskytuje jednotlivcům další a silnější práva, zvýšilo transparentnost a zajišťuje, aby všechny osoby, které pracují s osobními údaji, jež spadají do oblasti působnosti nařízení, byly více právně odpovědné a zodpovědné. Poskytuje nezávislým úřadům pro ochranu osobních údajů silnější a harmonizované donucovací pravomoci a zavádí nový systém správy a řízení. Vytváří rovněž rovné podmínky pro všechny společnosti působící na trhu EU bez ohledu na to, kde mají sídlo, a zajišťuje volný tok údajů v rámci EU, čímž posiluje vnitřní trh.

    Nařízení GDPR je důležitou součástí přístupu k technologiím zaměřeným na člověka a je kompasem při používání dvojice zelené a digitální transformace, které jsou charakteristické pro tvorbu politik EU. Tato skutečnost byla nedávno zdůrazněna v Bílé knize o umělé inteligenci 3 a ve sdělení o evropské strategii pro data 4 (dále jen „datová strategie“) z února 2020.

    V hospodářství, které je stále více založeno na zpracovávání údajů, včetně osobních údajů, je nařízení GDPR základním nástrojem k zajištění lepší kontroly jednotlivců nad jejich osobními údaji a nad zpracováním těchto údajů k legitimním účelům, a to zákonným, jasným a transparentním způsobem. Nařízení GDPR zároveň pomáhá podporovat důvěryhodné inovace zejména prostřednictvím přístupu založeného na posouzení rizik a zásad, jako je ochrana soukromí již ve fázi návrhu. Komise navrhla doplnit legislativní rámec ochrany údajů a soukromí 5 prostřednictvím nařízení o soukromí a elektronických komunikacích 6 , které má nahradit stávající směrnici o soukromí a elektronických komunikacích 7 . Tento návrh je v současné době projednáván spolunormotvůrci a je velmi důležité zajistit jeho rychlé přijetí.

    Jako součást klíčových priorit Komise, jimiž jsou „Evropa připravená na digitální věk“ 8 a „Zelená dohoda pro Evropu“ 9 mohou být vyvinuty nové iniciativy s cílem posílit postavení občanů, aby mohli hrát aktivnější úlohu v digitální transformaci, a lépe využít digitální nástroje k dosažení cílů klimaticky neutrální společnosti a udržitelnějšího rozvoje. Nařízení GDPR stanovuje pro tyto iniciativy rámec a zajišťuje, aby byly koncipovány k účinnému posílení postavení jednotlivců.

    Datová strategie 10 vyzývá k vytvoření „jednotného evropského datového prostoru“, skutečného jednotného trhu s údaji i deseti sektorových společných evropských datových prostorů relevantních pro dvojici zelené a digitální transformace 11 . Pro všechny tyto priority je klíčový jasný a proveditelný rámec bezpečného sdílení údajů a zvýšení dostupnosti dat. Strategie pro data také oznámila záměr Komise prozkoumat v budoucích právních předpisech způsoby jak umožnit používání údajů uchovávaných ve veřejných databázích k účelům vědeckého výzkumu, a to způsobem, který by byl v souladu s nařízením GDPR. Datové prostory mají být podporovány federací evropských cloudových služeb, které zajišťují zpracování osobních údajů a služby cloudové infrastruktury v souladu s nařízením GDPR. Nařízení GDPR zajišťuje vysokou úroveň ochrany osobních údajů a ústřední úlohu pro jednotlivce ve všech těchto datových prostorech a zároveň poskytuje pro různé přístupy nezbytnou flexibilitu.

    Potřeba zajistit důvěru a poptávka po ochraně osobních údajů se rozhodně neomezují na EU. Jednotlivci po celém světě stále více oceňují soukromí a bezpečnost svých údajů. Jak vyplývá z nedávného globálního průzkumu 12 , domnívají se, že je to důležitý faktor, který ovlivňuje jejich rozhodování o nákupech a chování na internetu. Rostoucí počet společností na tuto poptávku po ochraně soukromí reaguje zejména tím, že dobrovolně rozšiřuje některá práva a záruky stanovené v nařízení GDPR i na zákazníky sídlící mimo EU. Mnoho podniků rovněž propaguje respektování osobních údajů jakožto konkurenční výhodu a obchodní přínos v rámci celosvětového trhu tím, že nabízí inovativní produkty a služby s novými řešeními v oblasti ochrany soukromí a bezpečnosti údajů. To, že jsou aktéři ze soukromého a veřejného sektoru ve větší míře schopni shromažďovat a zpracovávat údaje ve velkém měřítku, vyvolává navíc důležité a složité otázky, které staví téma ochrany soukromí stále více do centra veřejné diskuse v různých částech světa.

    Přijetí nařízení GDPR podnítilo další země v mnoha regionech světa, aby následovaly tento příklad. Jedná se o vskutku globální trend, který se uplatňuje od Chile po Jižní Koreu, od Brazílie po Japonsko, od Keni po Indii a od Kalifornie po Indonésii. Vedoucí úloha EU v oblasti ochrany osobních údajů ukazuje, že EU může jednat jako tvůrce globálních standardů pro regulaci digitální ekonomiky a že je vítána důležitými hlasy mezinárodního společenství, jako je generální tajemník OSN António Guterres, který poukázal na to, jak nařízení GDPR „vytváří příklad pro ostatní [...] inspiruje podobná opatření jinde“ a „naléhavě vyzval EU a její členské státy, aby i nadále stály na pozici lídra při utváření podoby digitálního věku a aby stály inovací a regulací na poli technologií“. 13

    Současná krize v důsledku pandemie COVID-19 nabízí názorný příklad toho, jak se globalizuje debata o ochraně soukromí během krize i v situaci, kdy se se z této krize celý svět snaží vzchopit. V EU přijalo několik členských států mimořádná opatření na ochranu veřejného zdraví. V nařízení GDPR je jasně stanoveno, že každé omezení musí respektovat podstatu základních lidských práv a svobod a musí být v demokratické společnosti nutným a přiměřeným opatřením na ochranu veřejného zájmu, jakým je veřejné zdraví. S postupným rušením opatření proti šíření nákazy je třeba, aby subjekty s rozhodovací pravomocí zohlednily očekávání občanů v to, že jim budou nabídnuta digitální řešení, která jsou důvěryhodná a respektují právo na soukromí a ochranu osobních údajů.

    V mnoha zemích se zavedená ochrana soukromí typu dobrovolné registrace uživatelů, minimalizace údajů a bezpečnosti či vyloučení geolokalizace považuje za zásadní prvek zajištění spolehlivosti a společenské přijatelnosti řešení, která se zakládají na využívání dat, zaměřených na sledování a omezování šíření viru, kalibrace protiopatření ve veřejné politice, pomoc pacientům nebo provádění výstupních strategií. V EU se ukázalo, že právní rámec ochrany osobních údajů a soukromí 14 je dostatečně pružným nástrojem, který umožňuje vypracovat praktická řešení (např. aplikace pro sledování) a zároveň zajistit vysokou úroveň ochrany osobních údajů. V této souvislosti vydala Komise dne 16. dubna 2020 pokyny k aplikacím na podporu boje proti pandemii ve vztahu k ochraně osobních údajů. 15  

    Ochrana osobních údajů je rovněž prostředkem k předcházení manipulaci s rozhodováním občanů, zejména prostřednictvím mikrocílení („micro-targeting“) na voliče využívajícího nezákonné zpracování osobních údajů, k zabránění zásahům do demokratických procesů a zachování otevřené diskuse, spravedlnosti a transparentnosti, které jsou v demokracii zásadní. Z tohoto důvodu Komise v září 2018 zveřejnila své pokyny k uplatňování práva Unie o ochraně údajů ve volebním kontextu 16 .

    Při tomto hodnocení a přezkumu Komise zohlednila příspěvky Rady 17 , Evropského parlamentu 18 , Evropského sboru pro ochranu osobních údajů (dále jen „sbor“) 19 a jednotlivých orgánů pro ochranu osobních údajů 20 , expertní skupiny více zúčastněných stran 21 a dalších zúčastněných stran, a to i prostřednictvím zpětné vazby poskytnuté k plánu 22 . 

    Obecně převládá názor je, že nařízení GDPR dva roky poté, co začalo platit, úspěšně splnilo své cíle zaměřené na posílení ochrany práva jednotlivců na ochranu osobních údajů a zajistilo volný tok osobních údajů v rámci EU 23 . Byla však rovněž zjištěna řada oblastí pro budoucí zlepšení. Komise se stejně jako většina zúčastněných stran a úřadů pro ochranu osobních údajů domnívá, že by v této fázi bylo předčasné vyvozovat konečné závěry ohledně uplatňování nařízení GDPR Je pravděpodobné, že při řešení většiny otázek, které členské státy a zúčastněné strany identifikovaly, pomohou zkušenosti s uplatňováním nařízení GDPR v nadcházejících letech. Tato zpráva nicméně upozorňuje na problémy, které se dosud vyskytly při uplatňování nařízení GDPR, a uvádí možné způsoby, jak je řešit.

    I přes svůj důraz na dvě otázky, na něž se upozorňuje v čl. 97 odst. 2 nařízení GDPR, konkrétně na otázku mezinárodního předávání a otázku mechanismů spolupráce a jednotnosti, zaujímají toto hodnocení a přezkum širší přístup, který se zabývá rovněž otázkami, které během posledních dvou let vznesli různí aktéři.

    2hlavní zjištění

    Prosazování nařízení GDPR a fungování mechanismů spolupráce a jednotnosti

    Nařízení GDPR zavedlo inovativní systém správy a řízení založený na nezávislých úřadech pro ochranu osobních údajů v členských státech a jejich spolupráci v přeshraničních případech a v rámci Evropského sboru pro ochranu osobních údajů („sbor“). Panuje obecný názor, že úřady pro ochranu osobních údajů vyváženě využily svých posílených nápravných pravomocí, včetně varování a udělení důtek, pokut a dočasných nebo konečných omezení zpracování osobních údajů 24 . Komise poznamenává, že úřady použily správní pokuty v rozmezí od několika tisíc eur až do několika milionů eur v závislosti na závažnosti protiprávního jednání. Jiné sankce, jako je zákaz zpracování osobních údajů, mohou mít stejný, ne-li vyšší odrazující účinek než pokuty. Konečným cílem nařízení GDPR je změnit kulturu a chování všech zúčastněných aktérů ve prospěch jednotlivců. Podrobnější informace o využívání nápravných pravomocí ze strany úřadů pro ochranu osobních údajů jsou uvedeny v průvodním pracovním dokumentu útvarů Komise.

    Je sice ještě brzy na úplné posouzení toho, jak fungují nové mechanismy spolupráce a jednotnosti, úřady pro ochranu osobních údajů ale již navázaly spolupráci prostřednictvím mechanismu jednotného kontaktního místa 25 a prostřednictvím velkého využívání vzájemné pomoci 26 . Při rozhodování o mnoha přeshraničních případech se používá mechanismus jednotného kontaktního místa, který je klíčovým aktivem vnitřního trhu 27 . V současné době se očekávají důležitá rozhodnutí s přeshraničním rozměrem, která budou mechanismu jednotného kontaktního místa podléhat. Tato rozhodnutí, která se často týkají velkých nadnárodních technologických společností, budou mít značný dopad na práva jednotlivců v mnoha členských státech.

    Vytváření skutečně společné evropské kultury ochrany osobních údajů mezi úřady pro ochranu údajů stále probíhá. Úřady pro ochranu osobních údajů dosud plně nevyužily nástrojů nařízení GDPR, jako jsou společné operace, které by mohly vést ke společným vyšetřováním. Nalézt společný přístup někdy znamenalo sestoupit k nejnižšímu společnému jmenovateli, v důsledku čehož nebyly využity příležitosti k posílení harmonizace 28 .

    Je třeba dosáhnout dalšího pokroku, aby se vyřizování přeshraničních případů zefektivnilo a harmonizovalo v celé EU, a to i z procesního hlediska, například pokud jde o vyřizování stížností, kritéria přípustnosti stížností, délku řízení z důvodu různých časových rámců nebo neexistence lhůt v rámci vnitrostátního správního práva procesního, okamžik řízení, kdy je přiznáno právo být vyslechnut, nebo informace a zapojení stěžovatelů v průběhu řízení. Proces úvah, který sbor v souvislosti s tímto procesem zahájil, je vítán a Komise se těchto jednání účastní 29 .

    Činnosti a pokyny sboru mají klíčový význam pro konzistentní další rozvoj výměn mezi sborem a zúčastněnými stranami 30 . Ke konci roku 2019 přijal výbor 67 dokumentů včetně 10 nových pokynů 31 a 43 stanovisek 32 . Zúčastněné strany pokyny sboru obecně vítají a požadují další pokyny ohledně klíčových konceptů nařízení GDPR, ale poukazují rovněž na nesrovnalosti mezi vnitrostátními pokyny a pokyny sboru. Zdůrazňují potřebu praktičtějšího poradenství, zejména konkrétnějších příkladů, a potřebu vybavit úřady pro ochranu osobních údajů nezbytnými lidskými, technickými a finančními zdroji, aby mohly účinně plnit své úkoly.

    Komise soustavně zdůrazňovala povinnost členských států vyčlenit na vnitrostátní úřady pro ochranu osobních údajů dostatečné lidské, finanční a technické zdroje 33 . Většina úřadů měla prospěch z navýšení počtu zaměstnanců a rozpočtu mezi lety 2016 a 2019 34 , přičemž největší relativní zvýšení počtu zaměstnanců využily irské, nizozemské, islandské, lucemburské a finské úřady. Vzhledem k tomu, že největší nadnárodní technologické společnosti mají sídlo v Irsku a Lucembursku, jednají úřady pro ochranu osobních údajů těchto zemí jako vedoucí úřady v mnoha významných přeshraničních případech a je možné, že budou potřebovat větší zdroje, než by odpovídalo jejich počtu obyvatel. Situace je však mezi členskými státy stále nerovnoměrná a celkově není uspokojivá. Úřady pro ochranu osobních údajů hrají zásadní úlohu při zajišťování, aby bylo nařízení GDPR prosazováno na vnitrostátní úrovni a aby mechanismy spolupráce a jednotnosti v rámci funkcí sboru účinně fungovaly, a to konkrétně i mechanismus jednotného kontaktního místa pro přeshraniční případy. Členské státy se proto vyzývají, aby těmto úřadům poskytly odpovídající zdroje, jak vyžaduje nařízení GDPR 35 .

    Pravidla jsou harmonizována, ale stále přetrvává jistá roztříštěnost a odlišné přístupy

    Komise sleduje provádění nařízení GDPR ve vnitrostátních právních předpisech. V době vypracování této zprávy přijaly všechny členské státy s výjimkou Slovinska nové právní předpisy nebo upravily své vnitrostátní právo v oblasti ochrany osobních údajů. Slovinsko 36 bylo požádáno, aby Komisi poskytlo objasnění k dokončení tohoto procesu 37 .

    Nařízení GDPR stanoví jednotný přístup k pravidlům ochrany osobních údajů v celé EU. Vyžaduje však, aby členské státy v některých oblastech 38 přijaly právní předpisy, a v jiných oblastech jim dává možnost nařízení GDPR dále specifikovat 39 . V důsledku toho přetrvává určitá míra roztříštěnosti, která je způsobena zejména rozsáhlým používáním volitelných doložek o specifikacích. Například rozdíl mezi členskými státy v určení věku dětí, pokud jde o souhlas s poskytováním služeb informační společnosti, vytváří pro děti a jejich rodiče nejistotu, pokud jde o uplatňování jejich práv na ochranu osobních údajů na jednotném trhu. Tato roztříštěnost také vyvolává problémy při přeshraničním podnikání, v inovacích, zejména pokud jde o nový technologický rozvoj a řešení v oblasti kybernetické bezpečnosti. V zájmu efektivního fungování vnitřního trhu a zamezení zbytečné zátěži pro společnosti je rovněž nezbytné, aby vnitrostátní právní předpisy nepřekračovaly meze stanovené v nařízení GDPR nebo zavedly další požadavky, pokud není stanovena žádná mez.

    Konkrétní výzvou pro vnitrostátní právní předpisy je sladění práva na ochranu osobních údajů se svobodou projevu a informací a zajištění řádného vyvážení těchto práv. Některé vnitrostátní právní předpisy stanoví zásadu přednosti svobody projevu, zatímco jiné stanoví přednost ochrany osobních údajů a výjimky z uplatňování pravidel ochrany osobních údajů používají pouze ve specifických situacích, např. v případě, kdy se jedná o osobu s veřejným postavením. A konečně jiné členské státy stanoví určité vyvážení ze strany zákonodárce a/nebo posouzení jednotlivých případů, pokud jde o odchylky od některých ustanovení nařízení GDPR.

    Komise bude ve svém hodnocení vnitrostátních právních předpisů pokračovat. Sladění musí být stanoveno zákonem, musí respektovat podstatu těchto základních práv a musí být přiměřené a nezbytné 40 . Pravidla ochrany osobních údajů (jakož i jejich výklad a uplatňování) by neměla ovlivnit uplatňování svobody projevu a informací například tím, že se vytvoří odrazující účinek nebo tlak na novináře, aby zveřejňovali své zdroje. Vyvážení těchto dvou práv ve vnitrostátních právních předpisech by mělo být upraveno judikaturou Soudního dvora a Evropského soudu pro lidská práva 41 .

    Právní předpisy členských států uplatňují při provádění odchylek od obecného zákazu zpracování zvláštních kategorií osobních údajů různé přístupy, pokud jde o úroveň specifikace a záruk, včetně účelů ochrany zdraví a výzkumu. V zájmu řešení tohoto problému Komise nejprve zmapuje různé přístupy členských států 42 a následně podpoří zavedení kodexu (kodexů) chování, který by přispěl k jednotnějšímu přístupu v této oblasti a usnadnil přeshraniční zpracování osobních údajů 43 . Harmonizovaný přístup navíc podpoří budoucí pokyny sboru týkající se používání osobních údajů v oblasti vědeckého výzkumu. Komise bude sboru poskytovat informace zejména v souvislosti s výzkumem v oblasti zdraví, a to i formou konkrétních otázek a analýz specifických scénářů, které obdržela od výzkumné obce.



    Posílení postavení jednotlivců, aby měli pod kontrolou své osobní údaje

    Podle průzkumu základních práv 44 slyšelo o nařízení GDPR 69 % obyvatel EU starších 16 let a 71 % lidí v EU ví o svém vnitrostátním úřadu pro ochranu osobních údajů.

    Jednotlivci si stále více uvědomují svá práva: práva na přístup, opravu, výmaz a přenositelnost svých osobních údajů, právo vznést námitku proti zpracování, jakož i práva na zvýšenou transparentnost. Nařízení GDPR posílilo procesní práva zahrnující právo podat stížnost u úřadu pro ochranu osobních údajů, a to i prostřednictvím zástupných žalob, a právo na soudní ochranu. Jednotlivci tato práva stále více využívají, je však třeba usnadnit jejich výkon a jejich plné prosazování. Úvahy vedené sborem vyjasní a dále usnadní výkon práv jednotlivců, zatímco navrhovaná směrnice o zástupných žalobách 45 by měla jednotlivcům umožnit podávat hromadné žaloby ve všech členských státech a sníží náklady na přeshraniční činnosti.

    Právo na přenositelnost údajů má jasný potenciál, který dosud není plně využíván, aby se jednotlivci dostali do centra datové ekonomiky, a to tak, že budou mít možnost přecházet mezi různými poskytovateli služeb, kombinovat různé služby, využívat jiné inovativní služby a zvolit si služby, které nejvíce respektují ochranu osobních údajů. To nepřímo podpoří hospodářskou soutěž a inovace. Uvolnění tohoto potenciálu je jednou z priorit Komise, a to zejména vzhledem k tomu, že rostoucí využívání zařízení „internetu věcí“ generuje stále více údajů ze strany spotřebitelů, kterým hrozí, že se budou čelit nekalým praktikám a účinkům blokování výběru („lock-in“). Přenositelnost by mohla přinést významné výhody, pokud jde o zdraví a wellness, sníženou ekologickou stopu a přístup k veřejným a soukromým službám, vyšší produktivitu ve výrobě a vyšší kvalitu a bezpečnost výrobků.

    V datové strategii byla zdůrazněna potřeba řešit obtíže, jako je nedostatek standardů umožňujících poskytování údajů ve strojově čitelném formátu, aby se zvýšilo účinné využívání práva na přenositelnost údajů, které je v současné době omezeno na několik málo odvětví (např. bankovnictví a telekomunikace). Toho by mohlo být dosaženo zejména prostřednictvím navržení vhodných nástrojů, standardizovaného formátu a rozhraní 46 . Tohoto zvýšeného využívání by mohlo být dosaženo zejména zavedením technických rozhraní a strojově čitelných formátů umožňujících přenositelnost dat v reálném čase. Častější využívání práva na přenositelnost by mohlo mimo jiné usnadnit jednotlivcům možnost využití jejich údajů pro veřejné blaho (například podpora výzkumu v oblasti zdravotnictví), pokud si to přejí („datový altruismus“). Při přípravě balíčku předpisů o digitálních službách 47 Komise šířeji prozkoumá úlohu údajů a postupů souvisejících s údaji v ekosystému platforem.


    Příležitosti a výzvy pro organizace, zejména malé a střední podniky

    Nařízení GDPR společně s nařízením o volném toku neosobních údajů 48 nabízí společnostem příležitosti tím, že podporují hospodářskou soutěž a inovace, zajišťují volný tok údajů v rámci EU a vytvářejí rovné podmínky se společnostmi se sídlem mimo EU 49 . Právo na přenositelnost se ve spojení s rostoucím počtem osob, které hledají řešení, jež jsou příznivější pro ochranu soukromí, má potenciál snížit překážky vstupu na trh pro podniky a otevřít možnosti růstu na základě důvěry a inovací. Některé zúčastněné strany uvádějí, že uplatňování nařízení GDPR je náročné zejména pro malé a střední podniky (MSP). V souladu s přístupem založeným na rizicích by nebylo vhodné stanovit odchylky na základě velikosti provozovatelů, protože jejich velikost není sama o sobě ukazatelem rizik, které může pro jednotlivce představovat zpracování osobních údajů prováděné společností. Některé úřady pro ochranu osobních údajů však poskytly praktické nástroje usnadňující provádění nařízení GDPR malými a středními podniky s nízkorizikovými činnostmi zpracování. Toto úsilí je třeba zintenzívnit a rozšířit nejlépe v rámci společného evropského přístupu, aby se nevytvářely překážky fungování jednotného trhu.

    Úřady pro ochranu údajů vyvinuly řadu činností na pomoc malým a středním podnikům v souladu s obecným nařízením o ochraně osobních údajů, například poskytnutím šablon ke zpracování smluv a záznamů o zpracování, seminářů a telefonních linek pro konzultace. Řada těchto iniciativ využila financování EU 50 . Měly by být zváženy další činnosti usnadňující použití nařízení GDPR pro malé a střední podniky.

    Nařízení GDPR dává všem typům společností a organizací k dispozici sadu nástrojů, které jim mají pomoci prokázat dodržování předpisů, jako jsou kodexy chování, mechanismy vydávání osvědčení a standardní smluvní doložky. Tato sada nástrojů by měla být použita v plném rozsahu. Malé a střední podniky zdůrazňují zejména význam a užitečnost kodexů chování, které jsou přizpůsobeny jejich situaci a nepředstavují nepřiměřené náklady. Pokud jde o systémy certifikace, jsou bezpečnost (včetně kybernetické bezpečnosti) a ochrana údajů již od návrhu klíčovými prvky, které je třeba zohlednit v rámci nařízení GDPR, a těží ze společného a ambiciózního přístupu v celé EU. Komise v současné době pracuje na standardních smluvních doložkách mezi správci a zpracovateli údajů 51 , přičemž vychází z probíhající práce na modernizaci standardních smluvních doložek pro mezinárodní předávání 52 .

    Použití nařízení GDPR na nové technologie

    Nařízení GDPR, které bylo formulováno technologicky neutrálním způsobem, je založeno na zásadách, a je proto koncipováno tak, aby zahrnovalo vyvíjející se nové technologie.

    Je považováno za nezbytný a pružný nástroj k zajištění, aby byl vývoj nových technologií v souladu se základními právy. Právní rámec pro ochranu osobních údajů a ochranu soukromí prokázal svou důležitost a pružnost během krize COVID-19, zejména pokud jde o návrh aplikací pro sledování a další technologická řešení v boji proti pandemii. Úkolem bude nyní vyjasnit, jak se osvědčené zásady uplatní na konkrétní technologie, jako je umělá inteligence, technologie blockchain, internet věcí nebo rozpoznávání obličeje, které vyžadují průběžné monitorování. Například Bílá kniha Komise o umělé inteligenci 53 zahájila veřejnou diskusi o případných zvláštních okolnostech, které by mohly odůvodnit využití umělé inteligence k účelům vzdálené biometrické identifikace na veřejných místech (např. rozpoznávání obličeje) a společné záruky. V tomto ohledu by orgány pro ochranu osobních údajů měly být připraveny provázet procesy technického návrhu již v rané fázi.

    Významným prvkem ochrany jednotlivců je navíc silné a účinné prosazování nařízení GDPR ve vztahu k velkým digitálním platformám a integrovaným společnostem, a to i v oblastech, jako je reklama na internetu a mikrocílení.

    Vývoj moderní sady nástrojů pro předávání údajů

    Nařízení GDPR nabízí modernizovanou sadu nástrojů k usnadnění předávání osobních údajů z EU do třetí země nebo mezinárodní organizaci a zároveň zajišťuje, aby údaje i nadále požívaly vysoké úrovně ochrany. V posledních dvou letech Komise zintenzivnila svou činnost za účelem využití plného potenciálu nástrojů v rámci nařízení GDPR.

    Patřilo tam i aktivní zapojení klíčových partnerů s cílem dosáhnout „rozhodnutí o odpovídající ochraně“. Účinkem takového rozhodnutí je umožnit bezpečný a volný tok osobních údajů do dotčené třetí země, aniž by vývozce údajů musel poskytovat další záruky nebo získat jakékoli povolení. Zejména rozhodnutí o vzájemné odpovídající ochraně mezi EU a Japonskem, která vstoupila v platnost v únoru 2019, vytvořila největší oblast volného a bezpečného toku údajů na světě. V pokročilé fázi je také proces o odpovídající ochraně s Korejskou republikou a probíhají průzkumné rozhovory s dalšími důležitými partnery v Asii a Latinské Americe.

    Odpovídající ochrana rovněž hraje důležitou úlohu v souvislosti s budoucími vztahy se Spojeným královstvím za předpokladu, že budou splněny příslušné podmínky. Představuje podpůrný faktor pro obchod, včetně digitálního obchodu, a zásadní předpoklad pro úzkou a náročnou spolupráci v oblasti prosazování práva a bezpečnosti. Vysoký stupeň sbližování v oblasti ochrany osobních údajů je navíc důležitým prvkem zajištění rovných podmínek mezi dvěma tak úzce integrovanými ekonomikami. V souladu s politickým prohlášením o budoucím vztahu mezi EU a Spojeným královstvím provádí Komise v současné době posouzení odpovídající ochrany jak podle nařízení GDPR, tak podle směrnice o prosazování práva 54 .

    V rámci prvního hodnocení nařízení GDPR se od Komise rovněž požaduje přezkoumat rozhodnutí o odpovídající ochraně, která byla přijata podle dřívějších pravidel 55 . Útvary Komise zahájily s každou z 11 dotčených třetích zemí a území 56 intenzivní dialog s cílem posoudit, jak se jejich systémy ochrany osobních údajů vyvinuly od přijetí rozhodnutí o odpovídající ochraně a zda splňují standard stanovený v nařízení GDPR. Potřeba zajistit kontinuitu takových rozhodnutí jakožto klíčového nástroje pro obchod a mezinárodní spolupráci je jedním z faktorů, který podnítil některé z těchto zemí a území k modernizaci a posílení jejich práva v oblasti ochrany soukromí. S některými z těchto zemí a území jsou projednávány další bezpečnostní záruky, které řeší příslušné rozdíly v ochraně. Ale vzhledem k tomu, že Soudní dvůr v rozsudku, který má být vynesen dne 16. července, může poskytnout vysvětlení, která by mohla být relevantní pro některé prvky ochrany odpovídající standardu, podá Komise zprávu o hodnocení stávajících rozhodnutí o odpovídající ochraně odděleně poté, co Soudní dvůr vynese v této věci 57 rozsudek.

    Kromě své činnosti zaměřené na odpovídající ochranu pracuje Komise na komplexní modernizaci standardních smluvních doložek, aby je aktualizovala s ohledem na nové požadavky, které nařízení GDPR zavedlo. Cílem je lépe zohlednit skutečnosti operací zpracování osobních údajů v moderní digitální ekonomice a zvážit případnou potřebu dalšího vyjasnění určitých ochranných opatření, a to i s ohledem na nadcházející judikaturu Soudního dvora. 58 Tyto doložky představují zdaleka nejpoužívanější mechanismus předávání údajů, přičemž tisíce společností z EU jich využívají k tomu, aby svým klientům, dodavatelům, partnerům a zaměstnancům poskytly širokou škálu služeb.

    Sbor se rovněž aktivně podílel na rozvoji mezinárodních aspektů nařízení GDPR. Zahrnuje to aktualizaci pokynů pro stávající mechanismy předávání údajů, jako jsou závazná podniková pravidla a tzv. „odchylky“, jakož i rozvoj právní infrastruktury pro používání nových nástrojů zavedených nařízením GDPR tj. kodexy chování a vydávání osvědčení.

    Aby zúčastněné strany mohly plně využívat sady nástrojů GDPR pro předávání osobních údajů, je důležité, aby sbor zintenzivnil svou probíhající práci na různých mechanismech předávání, včetně dalšího zefektivnění procesu schvalování závazných podnikových pravidel, dokončení pokynů ohledně kodexů chování a vydávání osvědčení jakožto nástrojů pro předávání a vyjasnění vzájemného vztahu mezi pravidly mezinárodního předávání údajů (kapitola V) s územní působností nařízení GDPR (čl. 3).

    Dalším důležitým aspektem mezinárodního rozměru pravidel EU pro ochranu osobních údajů je rozšířená územní působnost nařízení GDPR, která se rovněž vztahuje na činnosti zpracování zahraničními subjekty, které jsou na trhu EU aktivní. Aby byl zajištěn účinný soulad s nařízením GDPR a skutečně rovné podmínky, je nezbytné, aby se toto rozšíření náležitě promítlo do prosazovacích opatření úřadů pro ochranu osobních údajů. Tato opatření by se měla případně vztahovat zejména na zástupce správce nebo zpracovatele údajů v EU, kteří mohou být obesláni vedle nebo namísto společnosti se sídlem mimo EU. Tento přístup by měl být důsledněji sledován, aby bylo možné vyslat jasný signál o tom, že neexistence provozovny v EU nezbavuje zahraniční provozovatele jejich povinností vyplývajících z nařízení GDPR.

    Podpora sbližování a mezinárodní spolupráce v oblasti ochrany osobních údajů

    Nařízení GDPR se již objevilo jako klíčový referenční bod na mezinárodní úrovni a působilo jako katalyzátor pro mnoho zemí na celém světě, aby zvážily zavedení moderních pravidel na ochranu soukromí. Tento trend ke sbližování na celosvětové úrovni představuje velmi pozitivní vývoj, který přináší nové příležitosti k lepší ochraně jednotlivce v EU při předávání jejich osobních údajů do zahraničí a zároveň usnadňuje toky údajů.

    V návaznosti na tento trend Komise zintenzivnila svůj dialog v rámci řady dvoustranných, regionálních a mnohostranných fór s cílem podpořit celosvětovou kulturu respektování soukromí a rozvíjet prvky sbližování různých systémů ochrany soukromí. Komise se ve svém úsilí opírala a bude se i nadále opírat o aktivní podporu Evropské služby pro vnější činnost a sítě delegací EU ve třetích zemích a o diplomatické zastoupení v mezinárodních organizacích. To rovněž umožnilo větší soudržnost a doplňkovost mezi různými aspekty vnějšího rozměru politik EU – od obchodu po nové partnerství mezi EU a Afrikou. Skupiny G20 a G7 rovněž nedávno uznaly přínos ochrany osobních údajů pro důvěru v digitální ekonomiku a toky údajů zejména prostřednictvím iniciativy „Data Free Flow with Trust“ (volný tok dat s důvěrou), původně navržené japonským předsednictvím G20. 59 Strategie v oblasti údajů zdůrazňuje záměr Komise pokračovat v podpoře sdílení osobních údajů s důvěryhodnými partnery a zároveň bojovat proti zneužívání, jako je nepřiměřený přístup (zahraničních) veřejných orgánů k osobním údajům. 

    Komise podporuje sbližování norem v oblasti ochrany osobních údajů na mezinárodní úrovni jako způsob, jak usnadnit toky údajů a tím i obchod, a je rovněž odhodlána řešit digitální protekcionismus, jak bylo nedávno zdůrazněno v datové strategii. 60 Za tímto účelem vypracovala zvláštní ustanovení o tocích údajů a ochraně údajů v obchodních dohodách 61 , které systematicky tabeluje jako dvoustranné obchodní dohody – naposledy s Austrálií, Novým Zélandem a Spojeným královstvím – a mnohostranná jednání, jako je stávající jednání o elektronickém obchodování v rámci WTO. 62 Tato horizontální ujednání vylučují neopodstatněná omezení, například požadavky na povinnou lokalizaci údajů, a zároveň zachovávají regulační samostatnost stran při ochraně základního práva na ochranu údajů.

    Proto by měly být dále prozkoumány synergie mezi obchodem a nástroji na ochranu osobních údajů, aby se zajistily bezplatné a bezpečné mezinárodní toky údajů, které jsou zásadní pro obchodní činnost, konkurenceschopnost a růst evropských společností včetně malých a středních podniků ve stále více digitalizované ekonomice.

    Stejně důležité je zajistit, aby společnosti, které působí na evropském trhu, byly vyzvány na základě legitimního požadavku na sdílení údajů pro účely vymáhání práva a mohly údaje sdílet bez rizika, že budou čelit kolizi právních předpisů, a v plném souladu se základními právy EU. Ke zlepšení takových předávání údajů a zamezení kolizi norem je Komise odhodlána vyvinout, ve spolupráci se svými mezinárodními partnery, vhodné právní rámce na podporu efektivních forem spolupráce, zejména zajištěním nezbytných záruk ochrany osobních údajů, a tím přispět k účinnějšímu boji proti trestné činnosti.

    V neposlední řadě by měla být ještě více posílena spolupráce „na místě“ mezi evropskými a mezinárodními regulačními orgány, a to zejména v době, kdy problémy spojené s dodržováním pravidel ochrany soukromí nebo incidenty v oblasti bezpečnosti údajů mohou mít dopad na velký počet jednotlivců současně v několika jurisdikcích. Především to vyžaduje, aby byly vytvořeny vhodné právní nástroje pro užší formy spolupráce a vzájemné pomoci, včetně nezbytné výměny informací v souvislosti s vyšetřováním. V tomto duchu Komise rovněž zřizuje akademii pro ochranu osobních údajů (Data Protection Academy), tedy platformu, kde by orgány EU a zahraniční úřady pro ochranu osobních údajů sdílely znalosti, zkušenosti a osvědčené postupy s cílem usnadnit a podpořit spolupráci donucovacích orgánů.

    3Další postup

    K dosažení plného potenciálu nařízení GDPR je důležité zavést harmonizovaný přístup a společnou evropskou kulturu ochrany osobních údajů a podporovat účinnější a harmonizovanější vyřizování přeshraničních případů. To představuje zásadní cíl reformy pravidel EU pro ochranu osobních údajů, který je v linii očekávání občanů i podniků. Stejně důležité je zajistit, aby všechny nástroje, které jsou k dispozici v nařízení GDPR, byly plně využívány k zajištění účinného uplatňování pro jednotlivce i podniky.

    Komise bude pokračovat ve dvoustranných jednáních s členskými státy o provádění nařízení o GDPR a v případě potřeby bude i nadále využívat všechny nástroje, které má k dispozici, aby podpořila dodržování povinností členských států vyplývajících z nařízení GDPR.

    Vzhledem k probíhajícímu posuzování vnitrostátních právních předpisů, krátkému období praktické zkušenosti od vstupu nařízení GDPR v platnost a ke skutečnosti, že právní předpisy pro jednotlivá odvětví jsou v mnoha členských státech stále předmětem revize, je dosud příliš brzy na to, aby bylo možné vyvodit konečné závěry o stávající míře roztříštěnosti. Pokud jde o možnou kolizi norem v důsledku toho, že členské státy provádějí specifikační doložky, je nejprve nutné lépe pochopit důsledky pro správce a zpracovatele 63 .

    V návaznosti na tyto otázky přispívá příslušná judikatura vnitrostátních soudů a Soudního dvora k vytvoření jednotného výkladu pravidel ochrany osobních údajů. Vnitrostátní soudy v nedávné době vydaly rozsudky, které ruší platnost ustanovení vnitrostátních právních předpisů, které se od nařízení GDPR odchylují 64 .

    Pokud jde o mezinárodní rozměr, Komise se bude i nadále zaměřovat na podporu sbližování pravidel ochrany osobních údajů jako způsob zajištění bezpečných toků údajů. To zahrnuje různé formy předchozí činnosti, například v kontextu probíhajících reforem nových nebo aktualizovaných právních předpisů v oblasti ochrany osobních údajů, nebo prosazování koncepce „Data Free Flow with Trust“ na mnohostranných fórech. Spadají sem rovněž různé dialogy o odpovídající ochraně a modernizaci a rozšíření našich sad nástrojů pro předávání údajů prostřednictvím aktualizace standardních smluvních doložek a položení základů mechanismům vydávání osvědčení. Tato činnost rovněž zahrnuje mezinárodní jednání, například v oblasti přeshraničního přístupu k elektronickým důkazům, aby se zajistilo předávání údajů s příslušnými zárukami v oblasti ochrany osobních údajů. Tím, že se Komise zapojí do jednání o mezinárodní spolupráci a vzájemné pomoci mezi donucovacími orgány v oblasti ochrany osobních údajů, bude usilovat o to, aby sbližování přešlo „z knih do reality“.

    Na základě tohoto hodnocení uplatňování nařízení GDPR od května 2018 byla níže uvedená opatření určena jako potřebná na podporu jeho uplatňování. Komise bude sledovat jejich provádění také s ohledem na nadcházející hodnotící zprávu v roce 2024.

    Provádění a doplňování právního rámce

    Členské státy by měly

    -dokončit harmonizaci svých odvětvových právních předpisů s nařízením GDPR;

    -zvážit omezení používání specifikačních doložek, které by mohly vést k roztříštěnosti a ohrozit volný tok údajů v rámci EU;

    -posoudit, zda jsou vnitrostátní právní předpisy, kterými se nařízení GDPR provádí, za všech okolností v rámci mezí stanovených v právních předpisech členských států.

    Komise bude:

    -pokračovat ve dvoustranných jednáních s členskými státy ohledně souladu vnitrostátních právních předpisů s nařízením GDPR včetně nezávislosti a zdrojů vnitrostátních úřadů pro ochranu osobních údajů; využívat veškeré nástroje, které má k dispozici, včetně řízení o porušení povinnosti, aby bylo zajištěno dodržování nařízení GDPR členskými státy;

    -podporovat další jednání a vnitrostátní postupy mezi členskými státy v otázkách, které jsou předmětem další specifikace na vnitrostátní úrovni, a snižovat tak úroveň roztříštěnosti jednotného trhu, jako je zpracování osobních údajů týkajících se zdraví a výzkumu nebo které jsou předmětem vyvažování s jinými právy, jako je svoboda projevu;

    -podporovat jednotné uplatňování rámce pro ochranu osobních údajů ve vztahu k novým technologiím na podporu inovací a technologického vývoje;

    -používat expertní skupinu členských států pro GDPR (zřízenou během přechodné fáze před zavedením nařízení GDPR) k usnadnění diskusí a sdílení zkušeností mezi členskými státy a Komisí;

    -zkoumat, zda by s ohledem na další zkušenosti a příslušnou judikaturu bylo vhodné navrhnout možné budoucí cílené změny některých ustanovení nařízení GDPR, zejména pokud jde o záznamy zpracování ze strany malých a středních podniků, které nemají zpracování osobních údajů za svou hlavní podnikatelskou činnost (nízké riziko) 65 , a možnou harmonizaci věku dětí, pokud jde o souhlas s poskytováním služeb informační společnosti.

    Využití celého potenciálu nového systému správy a řízení

    Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:

    -rozvíjely účinná ujednání mezi úřady pro ochranu osobních údajů, pokud jde o fungování mechanismů spolupráce a jednotnosti, a to i pokud jde o procedurální aspekty, s využitím odborných znalostí jeho členů a posílením zapojení jeho sekretariátu;

    -podporovaly harmonizaci při uplatňování a prosazování nařízení GDPR za použití všech prostředků, které mají k dispozici, včetně dalšího vyjasnění klíčových pojmů nařízení GDPR a zajištění toho, aby vnitrostátní pokyny byly plně v souladu s pokyny přijatými sborem;

    -podporovaly používání všech nástrojů stanovených v nařízení GDPR, aby se zajistilo jednotné uplatňování tohoto nařízení;

    -posílily spolupráci mezi úřady pro ochranu osobních údajů, například prováděním společných šetření.

    Komise bude:

    -nadále pečlivě sledovat účinnou a úplnou nezávislost vnitrostátních úřadů pro ochranu osobních údajů;

    -podporovat spolupráci mezi regulačními orgány (zejména v oblastech, jako je hospodářská soutěž, elektronické komunikace, bezpečnost sítí a informačních systémů a spotřebitelská politika);

    -podporovat úvahy v rámci sboru o postupech uplatňovaných vnitrostátními úřady pro ochranu osobních údajů s cílem zlepšit spolupráci v přeshraničních případech.

    Členské státy:

    -budou úřadům pro ochranu osobních údajů přidělovat prostředky, které jsou dostatečné k plnění jejich úkolů.

    Podpora zúčastněných stran

    Sbor a úřady pro ochranu osobních údajů se vyzývají, aby:

    -přijaly další praktické, snadno srozumitelné pokyny, které poskytnou jasné odpovědi a zamezí nejasnostem v otázkách týkajících se uplatňování nařízení GDPR například ohledně zpracování údajů dětí a práv údajů subjektu, včetně výkonu práva na přístup a práva na výmaz, a v tomto procesu konzultoval se zúčastněnými stranami;

    -přezkoumaly pokyny, pokud jsou nezbytná další upřesnění na základě zkušeností a vývoje, včetně judikatury Soudního dvora;

    -vyvinuly praktické nástroje, jako jsou harmonizované formuláře pro porušení ochrany osobních údajů a zjednodušené záznamy o činnostech zpracování údajů, které malým a středním podnikům pomohou splnit jejich povinnosti.

    Komise bude:

    -poskytovat standardní smluvní doložky jak pro mezinárodní předávání, tak pro správce/zpracovatele;

    -poskytovat nástroje objasňující/podporující uplatňování pravidel ochrany osobních údajů u dětí 66 ;

    -v souladu s datovou strategií zkoumat praktické prostředky, jak usnadnit větší využívání práva na přenositelnost ze strany jednotlivců, jako například jim umožní větší kontrolu nad tím, kdo může získávat a používat strojově generované údaje;

    -podporovat standardizaci/vydávání osvědčení zejména v otázkách kybernetické bezpečnosti prostřednictvím spolupráce mezi Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA), úřady pro ochranu osobních údajů a sborem;

    -v případě potřeby využívat svého práva požádat sbor o vypracování pokynů a stanovisek ke konkrétním otázkám, které budou pro zúčastněné strany důležité;

    -v případě potřeby poskytovat pokyny, přičemž bude plně respektovat úlohy sboru;

    -podporovat činnosti úřadů pro ochranu osobních údajů, které napomáhají při provádění plnění povinností malých a středních podniků při zavádění nařízení GDPR prostřednictvím finanční podpory zejména na praktické vedení a digitální nástroje, které lze replikovat v jiných členských státech.

    Pobídky k inovacím

    Komise bude:

    -sledovat uplatňování nařízení GDPR na nové technologie, a to i s ohledem na možné budoucí iniciativy v oblasti umělé inteligence a v rámci datové strategie;

    -podporovat, a to i prostřednictvím finanční podpory, vypracovávání kodexů chování EU v oblasti zdraví a výzkumu;

    -pozorně sledovat vývoj a používání aplikací v kontextu pandemie COVID-19.

    Sbor se vyzývá, aby:

    -vydával pokyny k uplatňování nařízení GDPR v oblasti vědeckého výzkumu, umělé inteligence, technologie blockchain a dalšího technologického vývoje;

    -přezkoumal pokyny, pokud jsou nezbytná další upřesnění na základě technologického vývoje.

    Další rozvoj sady nástrojů pro předávání údajů

    Komise bude:

    -pokračovat v dialogu o odpovídající ochraně se třetími zeměmi, které o to projeví zájem, v souladu se strategií stanovenou ve sdělení z roku 2017 nazvaném „Výměna a ochrana osobních údajů v globalizovaném světě“, pokud možno včetně zahrnutí předávání údajů donucovacím orgánům (podle směrnice o prosazování práva) a jiným orgánů veřejné moci; to zahrnuje dokončení procesu o odpovídající ochraně s Korejskou republikou co nejdříve;

    -dokončovat probíhající hodnocení stávajících rozhodnutí o odpovídající ochraně a podá zprávu Evropskému parlamentu a Radě;

    -dokončovat práci na modernizaci standardních smluvních doložek s cílem aktualizovat je s ohledem na nařízení GDPR, přičemž budou zahrnuty všechny relevantní scénáře předávání údajů a lépe zohledněny moderní obchodní postupy.

    Sbor se vyzývá, aby:

    -dále vyjasnil vzájemný vztah mezi pravidly pro mezinárodní předávání údajů (kapitola V) s územním rozsahem působnosti GDPR (čl. 3);

    -zajistil účinné prosazování vůči provozovatelům se sídlem ve třetích zemích, které spadají do územní působnosti nařízení GDPR, včetně případného jmenování zástupce (čl. 27);

    -zjednodušil posuzování a případné schválení závazných podnikových pravidel s cílem urychlit tento proces;

    -dokončil práci na architektuře, postupech a hodnotících kritériích pro kodexy chování a mechanismy pro vydávání osvědčení jako nástroje pro předávání údajů.

    Podpora sbližování a rozvoj mezinárodní spolupráce

    Komise bude:

    -podporovat probíhající reformní procesy ve třetích zemích týkající se nových nebo modernizovaných pravidel ochrany osobních údajů sdílením zkušeností a osvědčených postupů;

    -spolupracovat s africkými partnery na podpoře sbližování právních předpisů a podporovat budování kapacit orgánů dohledu jako součást digitální kapitoly nového partnerství mezi EU a Afrikou;

    -posuzovat možnosti usnadnění spolupráce mezi soukromými provozovateli a donucovacími orgány zejména včetně vyjednání dvoustranných a mnohostranných rámců pro předávání údajů v souvislosti s přístupem zahraničních donucovacích orgánů k elektronickým důkazům, aby se zabránilo konfliktům při současném zajištění vhodných záruk ochrany údajů;

    -spolupracovat s mezinárodními a regionálními organizacemi, jako jsou OECD, ASEAN nebo skupina G20, na podpoře důvěryhodných toků údajů založených na přísných standardech pro ochranu údajů, a to i v souvislosti s iniciativou toku údajů s důvěrou;

    -pracovat na založení akademie pro ochranu údajů (Data Protection Academy) s cílem usnadnit a podpořit jednání mezi evropskými a mezinárodními regulačními orgány;

    -podporovat mezinárodní spolupráci v oblasti vymáhání práva mezi orgány dohledu, mimo jiné prostřednictvím jednání o dohodách o spolupráci a vzájemné pomoci.

    (1)

     Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. L 119, 4.5.2016, s. 1-88) 

    (2)

    Nařízení se po svém začlenění do Dohody o Evropském hospodářském prostoru (EHP) vztahuje rovněž na Norsko, Island a Lichtenštejnsko.

    (3)

      https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en

    (4)

      https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

    (5)

    Tento legislativní rámec rovněž zahrnuje Trestněprávní směrnici (směrnice 2016/680) a nařízení o ochraně údajů pro orgány a instituce EU (nařízení 2018/1725).

    (6)

     Návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích), COM(2017) 010 final - 2017/03 (COD)

    (7)

    Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) – Úř. věst. L 201, 31/07/2002, s. 0037-0047.

    (8)

    https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en

    (9)

    Sdělení Komise Evropskému parlamentu, Evropské radě, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů – Zelená dohoda pro Evropu, COM(2019) 640 final

    (10)

     Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů – Evropská strategie pro data, COM(2020) 66 final.

    (11)

    Těchto deset odvětvových společných evropských datových prostorů je určeno pro oblasti: zdravotnictví, průmyslové výroby, energetiky, mobility, zemědělství, finančních údajů, veřejné správy, společného evropského datového prostoru pro datové dovednosti, datového prostoru Zelené dohody pro Evropu a evropského cloudu pro otevřenou vědu.

    (12)

    Viz např. studie Cisco o ochraně soukromí spotřebitele 2019 ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Podle této studie, v rámci níž bylo dotazováno 2 600 spotřebitelů po celém světě, již významný počet spotřebitelů přijal opatření na ochranu svého soukromí, například změnou společnosti nebo poskytovatele z důvodu jejich politik v oblasti údajů nebo postupů sdílení údajů.

    (13)

    Proslov generálního tajemníka OSN k italskému senátu, 18. prosince 2019 (k dispozici na adrese: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

    (14)

    Tento rámec zahrnuje kromě nařízení GDPR i směrnici o soukromí a elektronických komunikacích (směrnice 2002/58/ES), která mimo jiné stanovuje pravidla přístupu k informacím na koncových zařízeních uživatelů a jejich ukládání.

    (15)

    Sdělení Komise Pokyny k aplikacím podporujícím boj proti pandemii COVID-19 ve vztahu k ochraně údajů 2020/C 124 I/01 - C/2020/2523 - Úřvěst. C 124I, 17.4.2020, s. 1-9. Dne 16. dubna 2020 vypracovaly členské státy EU s podporou Komise sadu nástrojů EU k používání mobilních aplikací pro dohledávání kontaktů a varování v reakci na pandemii koronaviru. To je součástí společného koordinovaného přístupu na podporu postupného rušení opatření omezujících volný pohyb osob. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

    (16)

     Pokyny Komise k uplatňování práva Unie o ochraně údajů ve volebním kontextu Příspěvek Evropské komise pro zasedání vedoucích představitelů v Salcburku ve dnech 19.-20. září 2018 - COM(2018) 638 final.

    (17)

    Postoj a zjištění Rady týkající se uplatňování obecného nařízení o ochraně osobních údajů:

    https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/en/pdf

    (18)

    Dopis Výboru Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE) ze dne 21. února 2020 adresovaný komisaři Reyndersovi, č.j.: IPOL-COM-LIBE D (2020)6525.

    (19)

    Příspěvek sboru k hodnocení nařízení GDPR podle čl. 97 přijatého dne 18. února 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en

    (20)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en

    (21)

    Expertní skupina více zúčastněných stran pro nařízení stanovená Komisí zahrnuje zástupce občanské společnosti a komerční sféry, akademickou obec a odborníky z praxe:

    https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

    (22)

      https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437

    (23)

    Viz například postoj a závěry Rady i příspěvek sboru.

    (24)

    Viz bod 2.1 pracovního dokumentu útvarů Komise.

    (25)

    Pokud společnost zpracovává údaje přes hranice, je příslušným úřadem pro ochranu údajů úřad toho členského státu, ve kterém má společnost hlavní místo podnikání.

    (26)

    Viz bod 2.2 pracovního dokumentu útvarů Komise.

    (27)

    V období od 25. května 2018 do 31. prosince 2019 bylo prostřednictvím jednotného správního místa předloženo 141 návrhů rozhodnutí, z nichž 79 vedlo ke konečným rozhodnutím.

    (28)

    Lépe harmonizovány by mohly být například vnitrostátní seznamy druhů operací zpracování osobních údajů, které vyžadují posouzení dopadu na ochranu osobních údajů podle čl. 35 nařízení GDPR.

    (29)

    Viz bod 2.2 pracovního dokumentu útvarů Komise.

    (30)

    Zejména zástupci podniků a občanské společnosti. Viz bod 2.3 pracovního dokumentu útvarů Komise.

    (31)

    Doplňují 10 pokynů, které byly přijaty pracovní skupinou zřízenou podle čl. 29 před vstupem nařízení v platnost a které sbor schválil. V období od ledna do konce května 2020 sbor rovněž přijal 4 další pokyny a aktualizoval pokyny stávající.

    (32)

    Celkem 42 z těchto stanovisek bylo přijato podle článku 64 nařízení GDPR a jedno bylo přijato podle čl. 70 odst. 1 písm. s) nařízení GDPR a na základě rozhodnutí o odpovídající ochraně s ohledem na Japonsko.

    (33)

    Sdělení Komise Evropskému parlamentu a Radě, Pravidla ochrany údajů zprostředkující důvěru v EU i za jejími hranicemi – vyhodnocení– COM(2019) 374 final, 24.7.2019.

    (34)

    Celkově došlo v EHP v letech 2016 až 2019 k 42% zvýšení počtu zaměstnanců a 49% zvýšení rozpočtu pro vnitrostátní úřady pro ochranu osobních údajů.

    (35)

    Viz bod 2.4 pracovního dokumentu útvarů Komise.

    (36)

    Naposledy prostřednictvím dopisu komisaře Reynderse z března 2020.

    (37)

    Je třeba poznamenat, že vnitrostátní úřad pro ochranu osobních údajů ve Slovinsku je zřízen na základě stávajícího vnitrostátního práva v oblasti ochrany osobních údajů a dohlíží na uplatňování nařízení GDPR v tomto členském státě.

    (38)

    Viz bod 3.1 pracovního dokumentu útvarů Komise.

    (39)

    Viz bod 3.2 pracovního dokumentu útvarů Komise.

    (40)

    Čl. 52 odst. 1 Listiny.

    (41)

    Viz bod 3.1 pracovního dokumentu útvarů Komise: Sladění práva na ochranu osobních údajů se svobodou projevu a informací.

    (42)

    Komise zahájila studii s názvem „Posouzení pravidel členských států týkajících se zdravotních údajů s ohledem na obecné nařízení o ochraně osobních údajů“, Chafea/2018/Health/03, zvláštní smlouva č. 2019 70 01.

    (43)

    Viz opatření oznámená v Evropské strategii pro data na straně 30.

    (44)

    Agentura Evropské unie pro základní práva (FRA) (2020): Průzkum základních práv 2019. Ochrana údajů a technologie: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

    (45)

    Očekává se, že jakmile bude přijata navrhovaná směrnice o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů (COM(2018) 0184 final - 2018/089 (COD)), posílí se rámec pro zástupné žaloby i v oblasti ochrany osobních údajů.

    (46)

    Tyto nástroje mohou zahrnovat nástroje pro správu souhlasu a aplikace pro správu osobních informací.

    (47)

      https://ec.europa.eu/commission/presscorner/detail/en/ip_20_962  

    (48)

    Nařízení (EU) 2018/1807 ze dne 14. listopadu 2018 o rámci pro volný tok neosobních údajů v Evropské unii, Úř. věst. L 303, 28.11.2018, s. 59–68.

    (49)

    Viz bod 5 pracovního dokumentu útvarů Komise. Viz také dokument COM(2019) 250 final Pokyny k nařízení o rámci pro volný tok neosobních údajů v Evropské unii, v němž jsou uvedena pravidla zpracování smíšených datových sad, které se skládají z osobních i neosobních údajů, což dokument činí praktickým pro podniky, včetně malých a středních podniků.

    (50)

    Komise poskytla finanční podporu prostřednictvím tří vln grantů v celkové hodnotě 5 milionů EUR, přičemž poslední dvě z nich byly konkrétně zaměřeny na podporu vnitrostátních úřadů pro ochranu osobních údajů v jejich úsilí oslovit jednotlivce a malé a střední podniky: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . V roce 2020 bude přidělen další 1 milion EUR.

    (51)

    Podle čl. 28 nařízení GDPR

    (52)

    Podle čl. 46 nařízení GDPR.

    (53)

    „White Paper On Artificial Intelligence - A European approach to excellence and trust“ (Bílá kniha o umělé inteligenci - evropský přístup k excelenci a důvěře) - COM(2020) 65 final.

    (54)

    Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, Úř. věst. L 119, 4.5.2016, s. 89–131.

    (55)

    Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31–50.

    (56)

    Těmito zeměmi a územími jsou: Andorra, Argentina, Kanada, Faerské ostrovy, Guernsey, Jersey, Ostrov Man, Izrael, Nový Zéland, Švýcarsko a Uruguay.

    (57)

    Viz věc C-311/18, komisař pro ochranu údajů vs. Facebook Ireland Limited, Maximillian Schrems (dále jen „Schrems II“), která se týká žádosti o rozhodnutí o předběžné otázce týkající se tzv. standardních smluvních doložek. Některé prvky standardu odpovídající ochrany však může dále vyjasnit i Soudní dvůr.

    (58)

    Viz věc Schrems II.

    (59)

    Viz např. znění prohlášení vedoucích představitelů skupiny G20 z Osaky: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

    (60)

    Datová strategie, s. 23.

    (61)

         Viz znění horizontálních ustanovení pro přeshraniční toky údajů a pro ochranu osobních údajů (v obchodních a investičních dohodách EU): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf  

    (62)

    84 členů WTO se nyní účastní mnohostranných jednání o elektronickém obchodování v návaznosti na společnou iniciativu, kterou přijali ministři dne 25. ledna 2019 v Davosu. V rámci tohoto procesu předložila EU dne 3. května 2019 svůj návrh znění budoucích pravidel a závazků v oblasti elektronického obchodování. Návrh obsahuje horizontální ustanovení o tocích údajů a ochraně osobních údajů: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

    (63)

    Viz postoj Rady a zjištění týkající se uplatňování nařízení GDPR.

    (64)

    Tak tomu bylo v Německu a ve Španělsku, nebo v Rakousku při odstranění mezery ve vnitrostátních právních předpisech.

    (65)

    Čl. 30 odst. 5 nařízení GDPR.

    (66)

    Projekt Komise týkající se nástrojů pro určování věku – pilotní projekt, jehož cílem je prokázat interoperabilní technickou infrastrukturu na ochranu dětí včetně ověřování věku a souhlasu rodičů. Očekává se, že to podpoří provádění mechanismů ochrany dětí na základě stávajících právních předpisů EU, které se týkají ochrany dětí na internetu.

    Top