Evropský sbor pro ochranu osobních údajů a Evropský inspektor ochrany údajů přijímají společné stanovisko k aktu o správě dat

10 March 2021 EDPB

Brusel 10. března – Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor ochrany údajů (EIOÚ) přijali společné stanovisko k návrhu aktu o správě dat. Smyslem aktu je podpořit dostupnost dat zvýšením důvěry ve zprostředkovatele dat[1] a posílením mechanismů pro sdílení dat v celé EU. Cílem je zejména podporovat zpřístupňování dat veřejného sektoru pro opakované použití, sdílení údajů mezi podniky a možnost použít osobní údaje s pomocí „zprostředkovatele sdílení osobních údajů“. Akt rovněž stanoví možnost použít data z altruistických důvodů.

EDPB a EIOÚ uznávají legitimní cíl aktu zlepšit podmínky pro sdílení dat na vnitřním trhu. Zásadním a nedílným prvkem důvěry v digitální ekonomiku je však zároveň ochrana osobních údajů. EDPB a EIOÚ tímto společným stanoviskem vyzývají normotvorné orgány, aby zajistili, že budoucí akt o správě dat bude plně v souladu s právními předpisy EU v oblasti ochrany osobních údajů, čímž posílí důvěru v digitální ekonomiku a zachová úroveň ochrany, kterou stanoví právo Unie a na niž dohlíží dozorové orgány členských států EU. 

Předsedkyně Evropského sboru pro ochranu osobních údajů Andrea Jelineková uvedla: „Právní rámec EU pro ochranu osobních údajů nebrání rozvoji ekonomiky založené na datech. Je to právě naopak. Díky tomuto rámci je takový rozvoj možný, jelikož důvěry v jakýkoli druh sdílení dat lze dosáhnout pouze dodržováním stávajících právních předpisů v oblasti ochrany údajů. Základem pro evropský model správy dat musí být obecné nařízení o ochraně osobních údajů (GDPR). Proto zdůrazňujeme, že je třeba zajistit soulad s tímto nařízením, pokud jde o pravomoci dozorových úřadů, úlohu různých zúčastněných subjektů, právní základ pro zpracování osobních údajů, nezbytné záruky a výkon práv subjektů údajů.“

Evropský inspektor ochrany údajů Wojciech Wiewiórowski doplnil: „Rozumíme, že roste význam dat pro ekonomiku a společnost, jak uvádí evropská strategie pro data. Jelikož však s daty velkého objemu přichází i velká odpovědnost, musí být také zavedeny vhodné záruky ochrany osobních údajů. Zastřešující rámec pro evropské datové prostory by měl zajistit, aby acquis v oblasti ochrany údajů nebylo narušeno.“

EDPB a EIOÚ se domnívají, že normotvůrce EU by měl zajistit, aby bylo v aktu jasně a jednoznačně uvedeno, že jím není dotčena úroveň ochrany osobních údajů fyzických osob ani se nemění práva a povinnosti stanovené v právních předpisech o ochraně údajů. 

Pokud jde o opakované použití osobních údajů v držení subjektů veřejného sektoru, EDPB a EIOÚ doporučují uvést akt do souladu se stávajícími pravidly pro ochranu osobních údajů stanovenými v GDPR a se směrnicí o otevřených datech. Dále by mělo být upřesněno, že opakované použití osobních údajů v držení subjektů veřejného sektoru může být povoleno pouze tehdy, zakládá-li se na právních předpisech EU nebo členských států. Tyto právní předpisy by měly obsahovat seznam jasně vymezených slučitelných účelů, pro které může být další zpracování oprávněné a pro něž toto zpracování představuje nezbytné a přiměřené opatření v demokratické společnosti k zajištění cílů uvedených v článku 23 GDPR.

Pokud jde o poskytovatele služeb sdílení dat, společné stanovisko zdůrazňuje, že je třeba zajistit pro fyzické osoby předběžné informace a kontroly s přihlédnutím k zásadám záměrné a standardní ochrany údajů, transparentnosti a omezení účelu.  Dále by měly být objasněny podmínky, za nichž by tito poskytovatelé služeb účinně pomáhali fyzickým osobám při výkonu jejich práv jakožto subjektů údajů

EDPB a EIOÚ rovněž doporučují, aby byly v aktu lépe vymezeny cíle obecného zájmu u datového altruismu. Datový altruismus by měl fungovat tak, aby mohly fyzické osoby snadno nejen udělovat, ale i odvolávat svůj souhlas.

S ohledem na rizika, jež by pro subjekty údajů mohla vyplývat ze zpracování jejich osobních údajů poskytovateli služeb sdílení dat nebo organizacemi pro datový altruismus, mají EDPB a EIOÚ za to, že deklaratorní režim registrace těchto subjektů, jak je stanoven v aktu, nepředstavuje dostatečně přísný postup pro prověření takových služeb. EDPB a EIOÚ proto doporučují prozkoumat alternativní postupy, které předpokládají systematičtější začleňování nástrojů odpovědnosti, jako jsou zejména kodex chování nebo mechanismus pro vydávání osvědčení.

Společné stanovisko obsahuje rovněž doporučení týkající se určování dozorových úřadů jako hlavních příslušných orgánů pro kontrolu dodržování ustanovení aktu ve spolupráci s dalšími dotčenými odvětvovými subjekty.

______________________________________
[1] Viz důvodová zpráva k návrhu, strana 1.

Poznámka pro redaktory: Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání Evropského sboru pro ochranu osobních údajů se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách Evropského sboru pro ochranu osobních údajů, jakmile budou uvedené kontroly dokončeny.

EDPB_Press Release_statement_2021_02