Evropský sbor pro ochranu osobních údajů

Evropský sbor pro ochranu osobních údajů – šesté plenární zasedání: štít na ochranu soukromí, brexit, otázky a odpovědi týkající se klinických hodnocení, seznamy posouzení vlivu na ochranu osobních údajů, pokyny k vydávání osvědčení, odpověď australskému

Thursday, 24 January, 2019
EDPB

Brusel 24. ledna – Ve dnech 22. a 23. ledna se evropské orgány pro ochranu osobních údajů setkaly v rámci Evropského sboru pro ochranu osobních údajů na svém šestém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Štít na ochranu soukromí
Členové Evropského sboru pro ochranu osobních údajů přijali zprávu sboru o druhém meziročním přezkumu štítu EU-USA na ochranu soukromí. Sbor vítá úsilí orgánů USA a Komise o zavedení štítu na ochranu údajů, zejména pokud jde o opatření přijatá ke změně původního postupu vydávání osvědčení, zahájení postupů dohledu z moci úřední a prosazování předpisů. Dále vítá úsilí o zveřejnění řady důležitých dokumentů, a to částečně odtajněním (např. rozhodnutí Soudu pro uplatňování zákona FISA), jmenování nového předsedy a tří nových členů Výboru pro dohled nad ochranou soukromí a občanských svobod a nedávno ohlášené jmenování stálého veřejného ochránce práv.

Ze závěrů druhého společného přezkumu vyplývá, že k zavádění štítu na ochranu soukromí stále přetrvávají některé výhrady. Tyto výhrady, které vyjádřil již předchůdce sboru, pracovní skupina zřízená podle článku 29, se týkají absence konkrétních záruk, že je vyloučeno neselektivní shromažďování osobních údajů a přístup k nim pro účely národní bezpečnosti. Na základě dosud poskytnutých informací dále sbor konstatuje, že veřejný ochránce práv nyní nemá odpovídající pravomoci k nápravě nesouladu. Sbor navíc upozorňuje, že kontroly dodržování zásad štítu na ochranu soukromí nejsou dostatečně přísné.

Sbor má také další výhrady, pokud jde o kontroly nezbytné ke splnění požadavků na další předávání údajů, významový rozsah pojmu údaje o lidských zdrojích, postup opětovného vydávání osvědčení a seznam otázek, jež byly vzneseny po prvním společném přezkumu a stále nejsou dořešeny.

Brexit
Evropský sbor pro ochranu osobních údajů jednal o možných důsledcích brexitu v oblasti ochrany údajů. Členové se dohodli na spolupráci a výměně informací o přípravě a nástrojích, které budou k dispozici pro předávání osobních údajů do Spojeného království po jeho odchodu z EU.

Otázky a odpovědi týkající se klinických hodnocení
Na žádost Evropské komise (Generální ředitelství pro zdraví a bezpečnost potravin) přijal Evropský sbor pro ochranu osobních údajů stanovisko k otázkám a odpovědím týkajícím se klinických hodnocení. Stanovisko se zabývá především aspekty vhodného právního základu pro klinická hodnocení a druhotným využíváním údajů z klinických hodnocení pro vědecké účely. Stanovisko bude nyní zasláno Evropské komisi.

Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, předloženým Lichtenštejnskem a Norskem. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Uvedená dvě stanoviska navazují na 22 stanovisek přijatých na zářijovém plenárním zasedání a na čtyři stanoviska přijatá na prosincovém plenárním zasedání a budou využita ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Pokyny k vydávání osvědčení
Evropský sbor pro ochranu osobních údajů schválil po veřejné konzultaci konečnou verzi pokynů k vydávání osvědčení. Sbor dále přijal novou přílohu. Návrh pokynů byl přijat již na prvním květnovém plenárním zasedání sboru. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 GDPR. Pokyny se zabývají vydáváním osvědčení jakožto nástrojem pro zajištění odpovědnosti a vysvětlují klíčové pojmy ustanovení o vydávání osvědčení v článcích 42 a 43, rozsah toho, co může být osvědčováno, a účel vydávání osvědčení. Pokyny pomohou členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům při přezkoumávání a schvalování kritérií pro vydávání osvědčení podle článků 42 a 43 GDPR. Příloha pokynů bude předložena k veřejné konzultaci.

Odpověď australskému dozorovému úřadu týkající se oznamování případů porušení zabezpečení údajů
V říjnu 2018 obdržel předseda Evropského sboru pro ochranu osobních údajů písemnou žádost Úřadu australské komisařky pro informace, která se týkala toho, jak dozorové úřady zveřejňují oznámení o případech porušení zabezpečení údajů. Sbor vítá zájem australské komisařky o spolupráci v této otázce a zdůrazňuje význam mezinárodní spolupráce. Ve své odpovědi podrobněji informuje, zda a jak se dozorové úřady zabývají zveřejňováním informací týkajících se oznámení o porušení zabezpečení údajů.