„Data Omnibus Leak“ a změna GDPR

Jakých změn obecného nařízení o ochraně osobních údajů (GDPR) se tedy možná dočkáme?

1. Změnu přístupu k pojmu osobní údajů. V návaznosti na nedávný rozsudek Soudního dvora Evropské unie ve věci C-413/23 P, EDPS v. SRB, se navrhuje zdůraznit relativní pojetí osobního údaje. Podle tohoto přístupu jsou údaje osobními pouze pro toho, kdo je skutečně schopen je spojit s určitou fyzickou osobou. Nad rámec rozsudku ve věci SRB navíc nemá dle návrhu Komise postačovat skutečnost, že příjemce, kterému jsou údaje předány, má k dispozici prostředky pro identifikaci dotčené fyzické osoby, aby se dané údaje považovaly za osobní údaje i pro osobu, která je příjemci předala. Není ale řešena situace, kdy příjemce nejenže má prostředky k identifikaci, ale identifikaci skutečně provede a některé další nejasné aspekty.

2. Zvláštní kategorie osobních údajů mají být omezeny na případy, kdy dotčené údaje přímo vypovídají o kategoriích údajů uvedených v čl. 9 odst. 1 (s výjimkou genetických a biometrických údajů, kde má zůstat zachován dosavadní režim). Nicméně u biometrických údajů má být zavedena další výjimka pro zpracování pro případy biometrické verifikace, kdy data zůstávají pod kontrolou subjektu údajů (např. ve vstupních systémech neukládajících biometrické údaje a pouze porovnávajících kryptované údaje s údaji subjektu údajů).  

3. Za zpřísněných podmínek bude možné využívat zvláštní kategorie osobních údajů i pro trénování AI systémů a AI modelů, pokud nebudou přímo cíleně za tímto účelem zpracovávány a správce učiní vše, co bude v jeho silách, pro vyjmutí takových údajů z datasetu. Zde návrh zjevně reaguje na to, že v rozsáhlých datasetech se mohou taková data reziduálně vyskytovat a je obtížné je zcela odstranit anebo identifikovat.  

4. Právo na přístup k údajům (a právo na informace) má být možné nově omezit také tehdy, pokud subjekt údajů zjevně bude uplatňovat tato práva za jiným účelem než pro ochranu svých osobních údajů.

5. Povinnost informovat o zpracování osobních údajů získaných od subjektu údajů by se podle návrhu neuplatnila tehdy, pokud by byly údaje zpracovávány v rámci existujícího vztahu mezi správcem a subjektem údajů, nebude se jednat o intenzivní zpracování a data nebudou předávána jiným příjemcům, předávána do třetích zemí a nebude se jednat o speciální zpracování (v jehož rámci by docházelo k automatizovanému rozhodování podle čl. 22 nebo by bylo rizikové). Zde změna míří na běžné zpracování údajů o zakáznících zejména ze strany menších podnikatelů.

6. V čl. 22 v odst. 1 písm. a) GDPR (zpracování … „nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů“) se doplňuje, že nerozhoduje, zda je možné přijmout rozhodnutí i jinými způsoby než automatizovaně. Zde se má odstranit pochybnost plynoucí z požadavků na „nezbytnost“ automatizované zpracování a extenzivní výklad tohoto pojmu ze strany SDEU a některých dozorových úřadů.

7. Sjednocují se hlediska pro oznámení data breach dozorovému úřadu a subjektům údajů. Tzn. i dozorovým úřadům bude nutné data breache oznamovat až tehdy, pokud bude „pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob“. Lhůta pro oznámení se prodlužuje ze stávajících 72 na 96 hodin. To opět reaguje na praktické zkušenosti, kdy oznámení dozorovým úřadům byla formální a ve skutečnosti z hlediska řešení data breach neměla žádnou přidanou hodnotu. Povinnost oznamovat všechny případy data breach (vyjma případů, kdy bylo „nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob“) pouze představovala zbytečnou administrativní zátěž. Do budoucna by se také mělo sjednotit oznamování podle různých předpisů a to tak, že by měla agentura ENISA zřídit „single-entry point“ pro oznamování incidentů. To by mělo být zabezpečeno novým čl.  23a ve směrnici NIS2.

8. Seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, který je předpokládán v čl. 35 odst. 4 GDPR a negativní seznam podle čl. 35 odst. 5 by měly být nově připravovány Evropským sborem pro ochranu osobních údajů a Komisí jednotně pro celou EU.

9. V návrhu je také zvažováno zavedení regulatorních sandboxů pro otázky zpracování údajů po vzoru AI Actu.

10. Regulace cookies a dalších identifikátorů využívaných pro zpracování osobních údajů se má přesunout z čl. 5 odst. 3 ePrivacy směrnice do nových čl. 88a a 88b GDPR. Úprava se má částečně zmírnit a umožnit i využití oprávněného zájmu. Zároveň se však má zavést pro provozovatele internetových stránek (vyjma médií) a aplikací (resp. „online rozhraní“) povinnost respektovat signály nastavení webových prohlížečů a koncových zařízení uživatele a to jak pro udělení souhlasu, tak pro námitku proti zpracování pro účely přímého marketingu. Komise by měla být oprávněna k tomu vydávat technické standardy. V případě žádosti o souhlas se má rozhodnutí subjektu údajů respektovat po dobu 6  měsíců. Tzn. zejména pokud subjekt souhlas odmítne udělit, nová žádost by měla následovat až po 6 měsících.  

11. Výslovně se uznává, že právním základem zpracování osobních údajů pro trénování a provoz AI systémů a modelů bude oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR, byť poskytovatelé těchto systémů budou muset přijmout zvláštní opatření pro ochranu práv subjektů údajů.

Obecně lze navrhované změny přivítat, protože směřují k flexibilnějšímu zpracování osobních údajů, aniž by výrazně snižovaly úroveň ochrany fyzických osob a jejich údajů. Je ovšem otázkou, zda tento „leak“ nebyl jen účelovým nástrojem pro zjištění reakcí veřejnosti a zda finální návrh na změnu bude skutečně obsahovat změny v tomto rozsahu.

‍