Obecné nařízení o ochraně údajů

SP ČR se návrhem tzv. obecného nařízení o ochraně údajů zabývá dlouhodobě a vysoce kladně hodnotíme spolupráci s partnery na straně vlády i evropských institucí. Naším společným cílem je, aby návrh nařízení, který je aktuálně ve fázi finalizace jednání v trialogu mezi Komisí, Parlamentem a Radou, přispěl jak k ochraně soukromí našich občanů, tak ke tvorbě vhodného legislativního prostředí, které bude podporovat rozvoj podniků a jejich inovací. Jen tak zajistíme udržitelný hospodářský růst celého evropského regionu.

Obávám se však, že díky současné podobě návrhu nařízení ambice evropského udržitelného růstu zůstanou nenaplněny. I v kontextu rozsudku o Safe Harbor se zdá, že v EU převládla velmi omezená a rigidní představa ochrany soukromí, jejíž protagonisté zcela přehlížejí obrovský rozvojový potenciál, který data představují pro rozvoj hospodářství. Pokud nová legislativa Evropská unie znemožní firmám inovace, bude se hlavní inovační dění odehrávat mimo evropský prostor. To bude mít zásadní dopad jak na budování jednotného digitálního trhu EU, tak na plány ČR a ostatních evropských zemí v oblasti Průmyslu 4.0. Pokud se chceme tohoto nežádoucího účinku vyvarovat, je třeba, aby konečná podoba nařízení:

1. Zachovala institut legitimního zájmu pro správce dat:

SP ČR je toho názoru, že institut legitimního zájmu, který umožňuje další zpracování dat, musí být zachován tak, je jak jej navrhla Rada EU.

2. Umožňovala využití velkých objemů dat:

Svaz má za to, že možnost využívat velké objemy dat, moderní analytické nástroje či mobilní technologie je zásadní podmínkou inovací v Evropě. Aby to bylo možné:

• Článek 6 nařízení musí zachovat institut legitimního zájmu správce dat ve formě, jakou navrhla Rada,
• Článek 20 musí zpracování dat umožňovat tak, že budou vyloučeny formy zpracování, které budou mít pro nositele dat negativní právní důsledky či podobně závažné dopady na jeho práva a svobody. Současně by měly být podniky motivovány k práci se anonymizovanými či pseudoanonymizovanými údaji.

3. Zachovávala jasné rozdělení odpovědností mezi správci a zpracovateli údajů:

Článek 77 návrhu nařízení zavádí mechanismus jejich společné odpovědnosti. SP ČR varuje před přijetím tohoto návrhu, protože dle našeho názoru povede k právní nejistotě. Nebude totiž jasné, kdo je při zpracování údajů v dodavatelsko-odběratelských řetězcích za co zodpovědný. Takový stav pak bude znamenat zdlouhavá a nákladná soudní řízení, ohrožení ochrany soukromí občanů a zvýšení finanční a byrokratické zátěže podniků.

4. Umožňovala mezinárodní přenos dat:

Svaz zastává názor, že nařízení musí vytvářet rámec, který bude přispívat k rozvoji exportu evropských podniků mimo EU. Z tohoto důvodu je nezbytné, aby nová právní norma podporovala rozvoj mezinárodního obchodu včetně přenosu dat do zemí mimo EU. Podporujeme proto návrh Rady rozšiřující kapitolu IV “legitimní zájem” tak, že umožňuje správcům a zpracovatelům dat přenášet určitý typ a objem dat.

5. Vytvořila sankční systém, který motivuje k zvyšování ochrany soukromí:

SP ČR považuje sankce za nepostradatelnou součást funkčních pravidel na ochranu soukromí občanů. Avšak sankční pravidla musí být přiměřená a také úměrná způsobené škodě. Odpovědné orgány by měly mít prostor k posouzení a řešení incidentu včetně užití nástrojů, které by podniky motivovaly ke zvyšování ochrany soukromí. Jedná se například o možnost eliminovat pokuty, pokud dotyčný podnik učinil účinná opatření, která zajistí zvýšení ochrany dat při jejich zpracování. Dále SP ČR doporučuje zastropování pokut a omezení absolutního rozsahu sankcí.