Zhrnutie stanoviska európskeho dozorného úradníka pre ochranu údajov „Čeliť výzvam tzv. veľkých dát: Výzva v záujme transparentnosti, používateľskej kontroly, špecificky navrhnutej ochrany údajov a zodpovednosti“

[Úplné znenie tohto stanoviska sa nachádza v anglickom, vo francúzskom a v nemeckom jazyku na webovej lokalite európskeho dozorného úradníka pre ochranu údajov www.edps.europa.eu]

„Právo byť ponechaný sám je skutočne začiatkom každej slobody“ (1).

Ak sa k veľkým dátam (tzv. big data) pristupuje zodpovedne, môžu priniesť významné výhody a prínos pre spoločnosť a jednotlivcov nielen v zdravotníctve, vedeckom výskume, prostredí a iných osobitných oblastiach. Vážne obavy sa však spájajú so skutočným a možným vplyvom spracovania obrovských množstiev údajov na práva a slobody fyzických osôb vrátane ich práva na súkromie. Výzvy a riziká týkajúce sa veľkých dát si preto vyžadujú účinnejšiu ochranu údajov.

Technológia by nám nemala diktovať hodnoty a práva, ale ani propagovanie inovácie a zároveň zachovávanie základných práv by sa nemalo vnímať ako nezlučiteľné. Nové obchodné modely využívajúce nové schopnosti na hromadný zber, okamžitý prenos, spájanie a opätovné používanie osobných informácií na iné ako plánované účely spôsobili, že sa zásady ochrany údajov dostali pod nový tlak, ktorý si vyžaduje nové uvažovanie o spôsobe ich uplatňovania.

Európske právne predpisy o ochrane údajov boli vyvinuté na ochranu základných práv a hodnôt vrátane nášho práva na súkromie. Otázkou nie je, či uplatňovať právne predpisy o ochrane údajov na veľké dáta, ale skôr ako ich uplatniť inovatívne v nových prostrediach. Naše súčasné zásady ochrany údajov vrátane transparentnosti, primeranosti a obmedzenia účelu poskytujú základnú líniu, na ktorej bude potrebné dynamickejšie chrániť naše základné práva vo svete veľkých dát. Musia však byť doplnené o tzv. nové zásady, ktoré sa vyvinuli v priebehu rokov, ako je špecificky navrhnutá a štandardná zodpovednosť a súkromie. Očakáva sa, že súbor reforiem v oblasti ochrany údajov EÚ posilní a zmodernizuje regulačný rámec (2).

Zámerom EÚ je maximalizovať rast a konkurencieschopnosť prostredníctvom využívania veľkých dát. Jednotný digitálny trh však nemôže nekriticky prijímať technológie a obchodné modely založené na údajoch, ktoré sa stali ekonomickým hlavným prúdom v iných častiach sveta. Namiesto toho musí preukázať vedúce postavenie vo vývoji zodpovedného spracúvania osobných údajov. Internet sa vyvinul tak, že sledovanie – sledovanie správania ľudí – sa považuje za neodmysliteľný model príjmov pre niektoré z najúspešnejších spoločností. Tento vývoj si vyžaduje kritické posúdenie a hľadanie iných možností.

V každom prípade a bez ohľadu na zvolený obchodný model musia organizácie, ktoré spracúvajú veľké objemy osobných informácií, dodržiavať príslušné právne predpisy o ochrane údajov. Európsky dozorný úradník pre ochranu údajov (EDPS) sa domnieva, že zodpovedný a udržateľný rozvoj veľkých dát sa musí opierať o štyri základné prvky:

Pokiaľ ide o transparentnosť, fyzickým osobám sa musia poskytovať jasné informácie o tom, aké údaje sa spracúvajú vrátane údajov, ktoré sú o nich zaznamenané alebo implicitné. Musia byť lepšie informované o tom, ako a na aké účely sa ich informácie používajú vrátane logiky použitej v algoritmoch na stanovenie predpokladov a predpovedí o nich.

Používateľská kontrola prispeje k zabezpečeniu toho, aby boli fyzické osoby oprávnenejšie lepšie zistiť nespravodlivé odchýlky a namietať voči chybám. Takto sa prispeje k zabráneniu sekundárnemu používaniu údajov na účely, ktoré nespĺňajú ich oprávnené očakávania: S novou generáciou používateľskej kontroly získajú fyzické osoby v relevantných situáciách možnosti skutočnejšieho a lepšie informovaného výberu a budú sami požívať väčšie možnosti na to, aby lepšie používali svoje osobné údaje.

Silné práva na prístup a na prenosnosť údajov a účinné mechanizmy na ukončenie používania údajov môžu slúžiť ako predpoklad na to, aby mali používatelia väčšiu kontrolu nad svojimi údajmi, a takisto môže prispieť k rozvoju nových obchodných modelov a účinnejšiemu a transparentnejšiemu používaniu osobných údajov.

Vďaka začleneniu ochrany údajov do návrhu svojich systémov a procesov a nastaveniu ochrany údajov tak, aby umožňovala skutočnejšiu transparentnosť a používateľskú kontrolu, budú môcť zodpovední správcovia údajov takisto využívať výhody veľkých dát a zároveň zaistiť, že bude rešpektovaná dôstojnosť a slobody fyzických osôb.

Ochrana údajov je však len časť odpovede. EÚ musí využívať dostupné moderné nástroje jednotnejším spôsobom, a to aj v oblasti ochrany spotrebiteľov, antitrustu, výskumu a rozvoja s cieľom zaistiť ochranné opatrenia a možnosť výberu na trhu, na ktorom môžu prekvitať služby zohľadňujúce súkromie.

Ak chceme riešiť výzvy týkajúce sa veľkých dát, je potrebné umožniť inovácie a zároveň chrániť základné práva. Teraz je na spoločnostiach a iných organizáciách, ktoré venujú veľké úsilie hľadaniu inovatívnych spôsobov využívania osobných údajov, aby použili rovnako inovatívne zmýšľanie pri uplatňovaní právnych predpisov v oblasti ochrany údajov.

EDPS stavia na predchádzajúcich príspevkoch od akademikov a mnohých regulačných orgánov a zainteresovaných strán a chce stimulovať novú, otvorenú a informovanú diskusiu v EÚ a mimo nej tak, že lepšie zapojí občiansku spoločnosť, pôvodcov, spoločnosti, akademikov, verejné orgány a regulačné orgány do toho, ako čo najlepšie využiť kreatívny potenciál odvetvia na uplatňovanie právnych predpisov a ochranu nášho súkromia a iných základných práv najlepším možným spôsobom.

Ak chceme riešiť výzvy týkajúce sa veľkých dát, je potrebné umožniť inovácie a zároveň chrániť základné práva. Na tento účel by sa mali zachovať zásady stanovené v európskych právnych predpisoch o ochrane údajov, ale mali by sa uplatňovať novými spôsobmi.

Rokovania o návrhu všeobecného nariadenia o ochrane údajov sú v posledných etapách. Naliehali sme na zákonodarcov EÚ, aby prijali súbor reforiem v oblasti ochrany údajov, ktorým sa posilňuje a modernizuje regulačný rámec tak, aby zostal účinný v ére veľkých dát posilnením dôvery a istoty fyzických osôb online a na jednotnom digitálnom trhu (3).

V stanovisku 3/2015 sprevádzanom odporúčaniami úplného znenia návrhu nariadenia sme objasnili, že naše súčasné zásady ochrany údajov vrátane nevyhnutnosti, primeranosti, minimalizácie údajov, obmedzenia účelu a transparentnosti musia zostať hlavnými zásadami. Poskytujú základ, ktorý potrebujeme na ochranu našich základných práv vo svete veľkých dát (4).

Zároveň musia byť tieto zásady posilnené a účinnejšie uplatňované modernejším, pružnejším, kreatívnejším a inovatívnejším spôsobom. Musia byť takisto doplnené novými zásadami, ako je špecificky navrhnutá a štandardná zodpovednosť a ochrana údajov a súkromie.

Zvýšená transparentnosť, účinné práva na prístup a na prenosnosť údajov a účinné mechanizmy na ukončenie používania údajov môžu slúžiť ako predpoklad na to, aby mali používatelia väčšiu kontrolu nad svojimi údajmi a takisto môže prispieť k rozvoju efektívnejších trhov s osobnými údajmi v prospech spotrebiteľov, ako aj podnikov.

Napokon, rozšírenie pôsobnosti právnych predpisov EÚ o ochrane údajov na organizácie zamerané na fyzické osoby v EÚ a vybavenie orgánov pre ochranu údajov právomocami uplatňovať primerané prostriedky nápravy vrátane účinných pokút, ktoré sú stanovené v navrhovanom nariadení, bude takisto kľúčovou požiadavkou na účel účinného presadenia našich právnych predpisov v globálnom prostredí. Reformný proces v tomto smere plní kľúčovú úlohu.

Na zabezpečenie toho, aby boli pravidlá účinne presadzované, musia byť nezávislé orgány pre ochranu údajov vybavené nielen zákonnými právomocami a silnými nástrojmi, ale aj zdrojmi potrebnými na to, aby bola ich kapacita v súlade s rastom podnikov založených na údajoch.

Dobré nariadenie, aj keď je nevyhnutné, nestačí. Spoločnosti a iné organizácie, ktoré venujú veľké úsilie hľadaniu inovatívnych spôsobov využívania osobných údajov, by mali používať rovnako inovatívne zmýšľanie pri uplatňovaní zásad ochrany údajov. Orgány pre ochranu údajov by zase mali presadzovať a oceňovať účinné dodržiavanie súladu a zabrániť nie nevyhnutnej byrokracii a administratívnej práci.

Cieľom EDPS, ako bolo oznámené v stratégii EDPS na obdobie rokov 2015 – 2019, je prispieť k posilneniu tohto úsilia.

Naším zámerom je vytvoriť externú poradnú skupinu pre etiku zloženú z uznávaných a nezávislých osobností so spojenými skúsenosťami v mnohých disciplínach, ktoré môžu „skúmať vzťahy medzi ľudskými právami, technológiou, trhmi a obchodnými modelmi v 21. storočí“, analyzovať vplyv veľkých dát do hĺbky, posúdiť vyplývajúce zmeny našich spoločností a pomôcť určiť problémy, ktoré by mali byť predmetom politického procesu (5).

Budeme takisto vyvíjať model čestných informačných politík pre orgány EÚ ponúkajúce online služby, ktoré prispejú k najlepšej praxi pre všetkých správcov údajov.

Nakoniec, budeme takisto umožňovať diskusie, napríklad so zreteľom na identifikáciu, podnietenie a propagovanie najlepšej praxe na zvýšenie transparentnosti a používateľskej kontroly a využitie príležitostí alebo pamätí s osobnými údajmi a prenosnosti údajov. Zámerom EDPS je organizovať workshop o ochrane veľkých dát pre politických činiteľov a osoby nakladajúce s veľkým objemom osobných informácií v inštitúciách EÚ a externých expertov a s cieľom určiť, kde sú potrebné osobitné usmernenia a na uľahčenie práce Siete pre spravovanie súkromia na internete (IPEN) ako medzidisciplinárneho znalostného centra pre inžinierov a expertov na súkromie.

V Bruseli 19. novembra 2015

Giovanni BUTTARELLI

európsky dozorný úradník pre ochranu údajov

(1) Public Utilities Commission/Pollak, 343 U.S. 451, 467 (1952) (nesúhlasné stanovisko sudcu Williama O. Douglasa).

(2) Európska komisia prijala 25. januára 2012 súbor reforiem európskeho rámca pre ochranu údajov. Balík obsahuje i) oznámenie [(COM(2012) 9 final]; ii) návrh všeobecného nariadenia o ochrane údajov (návrh nariadenia) [COM(2012) 11 final] a iii) návrh smernice o ochrane údajov v oblasti presadzovania trestného práva [COM(2012) 10 final].

(4) Musíme odolať pokušeniu zoslabiť súčasnú úroveň ochrany v pokuse o uspokojenie vnímanej potreby laxnejšieho regulačného prístupu, pokiaľ ide o veľké dáta. Ochrana údajov sa musí naďalej vzťahovať na spracovanie vo svojej celistvosti, a to nielen vrátane používania údajov, ale aj ich zberu. Neexistujú opodstatnenia pre bianco výnimky na spracovanie pseudonymných údajov alebo na spracovanie verejne dostupných údajov. Vymedzenie osobných údajov musí zostať nedotknuté, ale mohlo by sa ísť smerom k ďalším objasneniam v znení samotného nariadenia. Naopak, musia sa vzťahovať na údaje, ktoré sa týkajú každej fyzickej osoby, ktorá je identifikovaná, vyčlenená alebo môže byť identifikovaná, alebo vyčlenená – či už správcom údajov alebo inou stranou.