Evropský parlament přijal v prvním čtení dne 4. 10. 2018 k nařízení Evropského parlamentu a Rady (EU) o rámci pro volný tok neosobních údajů v Evropské unii, postoj, v němž schválil změny k předloženému návrhu nařízení, včetně jeho odůvodnění.
Evropský parlament (EP) ve svém legislativním usnesení přijal názor Komise, že digitalizace hospodářství nabírá na rychlosti a informační a komunikační technologie již nejsou specifickým sektorem, nýbrž základem všech moderních inovativních ekonomických systémů a společností. Jádrem těchto systémů jsou elektronické údaje. Zdůraznil přitom, že rychlý rozvoj ekonomiky založené na datech a nových technologiích, jako je umělá inteligence, produkty a služby internetu věcí, autonomní systémy a 5G, zároveň vyvolává nové právní otázky týkající se přístupu k údajům a jejich opakovaného použití, právní odpovědnosti, etiky a solidarity. Podle EP je třeba zvážit činnost zejména ve věci právní odpovědnosti, především prostřednictvím zavedení samoregulačních kodexů a dalších osvědčených postupů, a to s ohledem na doporučení, rozhodnutí a opatření přijatá bez zásahu člověka v celém hodnotovém řetězci zpracování údajů. Tato činnost může rovněž zahrnovat mj. vhodné mechanismy pro určení právní odpovědnosti pro převedení odpovědnosti mezi spolupracující služby, pojištění a audit.
Pokud jde o vlastní hmotněprávní základ regulace, EP shodně s Komisí konstatoval, že hodnotové řetězce údajů jsou postaveny na různých činnostech v oblasti údajů: vytváření a shromažďování údajů, agregaci a organizování údajů, zpracování údajů; analýze, uvádění na trh a šíření údajů, používání údajů včetně opakovaného použití. Zdůraznil přitom, že základním stavebním kamenem jakéhokoli hodnotového řetězce údajů je účinně a efektivně fungující zpracování údajů. Účinné a efektivní fungování zpracování údajů a rozvoj ekonomiky založené na datech v Unii ztěžují zejména dva druhy překážek v oblasti mobility údajů a vnitřního trhu: požadavky na lokalizaci údajů stanovené orgány členských států a praxe obchodních proprietárních uzamčení (tzv. vendor lock-in) v soukromém sektoru.
EP přitom rovněž zdůraznil, že rozvíjející se internet věcí, umělá inteligence a strojové učení představují rozsáhlý zdroj neosobních údajů, například ve výsledku jejich využívání v automatizovaných postupech průmyslové výroby. Mezi konkrétní příklady neosobních údajů patří souhrnné a anonymizované soubory údajů používané pro analýzu údajů velkého objemu, údaje o postupech přesného zemědělství, které mohou přispět k monitorování a optimalizaci používání pesticidů a vody, nebo údaje o potřebě údržby průmyslových strojů. Pokud technologický rozvoj umožňuje konvertovat údaje na údaje osobní, má se podle EP s takovými anonymizovanými údaji zacházet jako s osobními údaji a má se na ně náležitým způsobem uplatnit nařízení (EU) 2016/679.
Zvlášť důležité bylo konstatování EP, že nařízení v žádném případě neomezuje svobodu podniků uzavírat smlouvy, které stanoví, kde mají být údaje umístěny. Toto nařízení má tuto svobodu pouze podpořit tím, že zajistí, aby se dohodnuté umístění mohlo nacházet kdekoli v Unii. Nařízením rovněž není dotčen právní rámec o ochraně fyzických osob v souvislosti se zpracováním osobních údajů ani právní rámec týkající se respektování soukromého života a ochrany osobních údajů v elektronických komunikacích, a zejména nařízení Evropského parlamentu a Rady (EU) 2016/679, směrnice Evropského parlamentu a Rady (EU) 2016/680 a směrnice Evropského parlamentu a Rady 2002/58/ES.
Dále EP zdůraznil, že podle nařízení (EU) 2016/679 členské státy nesmějí omezit ani zakázat volný pohyb osobních údajů v Unii z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů. Nově schválené nařízení stanoví stejnou zásadu volného pohybu v Unii pro neosobní údaje, s výjimkou případů, kdy by omezení nebo zákaz ospravedlňovaly důvody veřejné bezpečnosti. Nařízení (EU) 2016/679 a předmětné nařízení tak poskytují soudržný soubor pravidel, která upravují volný pohyb různých typů údajů. Schválené nařízení navíc nestanoví povinnost ukládat jednotlivé typy údajů odděleně.
Pokud jde o vytvoření rámce pro volný tok neosobních údajů v Unii a položení základů pro rozvoj ekonomiky založené na datech, podle EP je nezbytné nejen stanovit jasný, komplexní a předvídatelný právní rámec pro zpracování údajů jiných než osobních údajů na vnitřním trhu, ale také poskytnout přístup založený na zásadách zajišťujících spolupráci mezi členskými státy a také samoregulaci. Aby se předešlo riziku překrývání se stávajícími mechanismy, a tím i vyšší zátěži členských států i podniků, neměla by být stanovena podrobná technická pravidla.
Významné bylo upozornění EP, že vzhledem k velkému množství údajů zpracovávaných veřejnými orgány a veřejnoprávními subjekty je mimořádně důležité, aby veřejné orgány a subjekty šly při zavádění služeb zpracování údajů příkladem a aby se v rámci využívání těchto služeb zdržely jakýchkoliv omezení týkajících se lokalizace údajů. Schválené nařízení by se proto mělo vztahovat na veřejné orgány a veřejnoprávní subjekty. V tomto ohledu by se volný tok neosobních údajů, který stanovuje nařízení, měl použít i na všeobecné a konzistentní administrativní postupy a na jiné požadavky na lokalizaci údajů v oblasti zadávání veřejných zakázek, aniž by byla dotčena směrnice Evropského parlamentu a Rady 2014/24/EU.
Stejně jako v případě směrnice 2014/24/EU nejsou předmětným nařízením dotčeny právní a správní předpisy týkající se vnitřní organizace členských států a předpisy, kterými se veřejným orgánům a subjektům přidělují pravomoci a povinnosti související se zpracováním údajů, a to bez smluvní odměny soukromých stran, ani právní a správní předpisy členských států, kterými se upravuje vykonávání těchto pravomocí a povinností. Žádné ustanovení tohoto nařízení tudíž nezavazuje členské státy zadávat subdodávky nebo externalizovat poskytování služeb, jež si přejí poskytovat samy, nebo je organizovat jiným způsobem než prostřednictvím zadávání veřejných zakázek.
Pokud jde o osobní působnost nařízení, mělo by se vztahovat na fyzické nebo právnické osoby, jež poskytují služby zpracování údajů uživatelům, kteří mají bydliště nebo jsou usazeni v Unii, včetně osob, které poskytují služby zpracovávání údajů v Unii, aniž by v Unii byly usazené. Toto nařízení by se proto nemělo vztahovat na zpracování údajů, které probíhá mimo Unii, ani na požadavky na lokalizaci těchto údajů.
Nařízením se nestanoví pravidla, která se týkají určení rozhodného práva v obchodních záležitostech, a proto jím není dotčeno nařízení Evropského parlamentu a Rady (ES) č. 593/2008. Zejména pokud právo rozhodné pro smlouvu nebylo zvoleno v souladu s uvedeným nařízením, řídí se smlouva o poskytování služeb v zásadě právními předpisy země, ve které má poskytovatel služby obvyklé bydliště.
Schválené nařízení o ochraně neosobních údajů by se mělo použít na zpracování údajů v nejširším slova smyslu a zahrnovat používání všech typů IT systémů, ať už jsou uloženy v prostorách uživatele, nebo zajišťovány externě poskytovatelem služeb. Mělo by se vztahovat na různé úrovně zpracování údajů, od uložení údajů (infrastruktura poskytovaná jako služba – Infrastructure-as-a-Service, IaaS) po zpracování údajů na platformách (platforma poskytovaná jako služba – Platform-as-a-Service, PaaS) nebo v aplikacích (software poskytovaný jako služba – Software-as-a-Service, SaaS).
EP dále zdůraznil, že požadavky na lokalizaci údajů představují zjevnou překážku volnému poskytování služeb zpracování údajů v rámci Unie a na vnitřním trhu a jako takové by měly být zakázány (ledaže by byly odůvodněny veřejnou bezpečností, jak ji vymezuje právo Unie, zejména ve smyslu článku 52 Smlouvy o fungování EU, a byly v souladu se zásadou proporcionality zakotvenou v článku 5 Smlouvy o EU). S cílem zajistit účinnost zásady volného toku neosobních údajů, aby se odstranily stávající požadavky na lokalizaci údajů a aby se umožnilo zpracování údajů na více místech v Unii, by členské státy neměly mít možnost odůvodnit požadavky ohledně umístění údajů jinými důvody, než je veřejná bezpečnost.
V této souvislosti EP připomíná, že pojem „veřejná bezpečnost“ ve smyslu článku 52 Smlouvy o fungování EU, jak jej vykládá Soudní dvůr, zahrnuje jak vnitřní, tak vnější bezpečnost členského státu, jakož i otázky ochrany obyvatelstva, zejména pokud jde o usnadnění vyšetřování, odhalení a stíhání trestné činnosti. Předpokládá existenci skutečné a dostatečně vážné hrozby pro některý ze základních zájmů společnosti, jako je např. ohrožení chodu veřejných institucí a základních veřejných služeb a přežití obyvatelstva, a dále rizik vážného narušení zahraničních vztahů, mírového soužití národů nebo vojenských zájmů. V souladu se zásadou proporcionality by dle EP požadavky na lokalizaci údajů, které jsou ospravedlněny důvody veřejné bezpečnosti, měly odpovídat sledovaným cílům a neměly by překračovat rámec toho, co je k dosažení daného cíle nezbytné.
Pokud jde o povinnosti členských států při adaptaci na nařízení o ochraně neosobních údajů, aby se zajistilo účinné uplatňování zásady volného toku neosobních údajů a předešlo se vzniku nových překážek bránících hladkému fungování vnitřního trhu, měly by členské státy Komisi neprodleně sdělit každý návrh aktu, který zavádí nový požadavek na lokalizaci údajů nebo mění stávající požadavek na lokalizaci údajů. Tyto návrhy aktů by měly předkládat a posuzovat v souladu se směrnicí Evropského parlamentu a Rady (EU) 2015/1535. Kromě toho by za účelem odstranění možných stávajících překážek členské státy měly během přechodného období 24 měsíců od počátku používání tohoto nařízení provést přezkum stávajících právních nebo správních předpisů obecné povahy, které stanovují požadavky na lokalizaci údajů, a veškeré takové požadavky na lokalizaci údajů, u kterých mají za to, že jsou v souladu s tímto nařízením, sdělit i s jejich odůvodněním Komisi. Komise by měla mít případně možnost vznést vůči dotčenému členskému státu připomínky, které by mohly obsahovat doporučení, aby členský stát požadavek ohledně umístění údajů změnil nebo zrušil. Zásadně by přitom mělo platit, že povinnost sdělovat Komisi stávající požadavky na lokalizaci údajů a návrhy aktů zavedená nařízením by se měla uplatnit na regulační požadavky na lokalizaci údajů a na návrhy aktů obecné povahy, a nikoliv na rozhodnutí určená konkrétní fyzické či právnické osobě.
EP dále zdůraznil, že fyzické nebo právnické osoby, které jsou povinny poskytnout údaje příslušným orgánům, mohou těmto povinnostem dostát tím, že příslušným orgánům poskytnou a zaručí účinný a včasný elektronický přístup k údajům bez ohledu na členský stát, na jehož území jsou tyto údaje zpracovávány. Uvedený přístup může být zajištěn konkrétními podmínkami ve smlouvách mezi fyzickou nebo právnickou osobou, která je povinna poskytnout přístup, a poskytovatelem služeb. Jestliže je fyzická nebo právnická osoba povinna poskytnout údaje a tuto povinnost nesplní, měl by mít příslušný orgán možnost požádat o pomoc příslušné orgány v ostatních členských státech.
V takových případech by příslušné orgány měly použít zvláštní nástroje pro spolupráci podle práva Unie nebo mezinárodních dohod v závislosti na předmětu dané věci, tedy v oblastech, jako je policejní spolupráce, trestní nebo civilní soudnictví či správní záležitosti, jde například o rámcové rozhodnutí Rady 2006/960/SVV, směrnici Evropského parlamentu a Rady 2014/41/EU, Úmluvu Rady Evropy o kyberkriminalitě, nařízení Rady (ES) č. 1206/2001, směrnici Rady 2006/112/ES a nařízení Rady (EU) č. 904/2010. Pokud takové zvláštní mechanismy spolupráce neexistují, dle EP by měly příslušné orgány vzájemně spolupracovat prostřednictvím určených jednotných kontaktních míst s cílem poskytnout přístup k požadovaným údajům. Pokud žádost o poskytnutí pomoci obnáší získání přístupu dožádaného orgánu do jakýchkoliv prostor fyzické nebo právnické osoby, včetně přístupu k jakýmkoliv zařízením a prostředkům pro zpracování údajů, musí být takový přístup v souladu s právem Unie nebo vnitrostátním procesním právem, včetně případného požadavku získat předem soudní povolení.
Dále EP zdůraznil, že nařízení by nemělo uživatelům umožňovat, aby se pokoušeli obcházet uplatňování vnitrostátního práva. Proto je nutné stanovit členským státům možnost ukládat účinné, přiměřené a odrazující sankce uživatelům, kteří příslušným orgánům brání v získání přístupu k jejich údajům potřebným k výkonu úředních povinností příslušných orgánů podle práva Unie a vnitrostátního práva. V naléhavých případech, pokud uživatel zneužívá svá práva, by členské státy měly mít možnost uložit přísně přiměřená dočasná opatření. Jakákoliv dočasná opatření, která vyžadují přemístění údajů na dobu přesahující 180 dní od přemístění, by znamenala odchylku od zásady volného pohybu údajů na značně dlouhé období, a měla by proto být oznámena Komisi.
V této souvislosti EP zdůraznil, že podrobné informační a provozní požadavky ohledně přenesení údajů by měly být definovány ze strany účastníků trhu prostřednictvím samoregulace, kterou podpoří, usnadní a monitoruje Komise, a to ve formě kodexů chování Unie, jež mohou zahrnovat vzorové smluvní podmínky. V zájmu účinnosti a usnadnění změny poskytovatele služeb a přenesení údajů by předmětné nástroje – kodexy chování – měly být komplexní a měly by zahrnovat alespoň klíčové aspekty, které jsou důležité v rámci procesu přenosu údajů, jako jsou postupy zálohování údajů a místa uložení záloh, dostupné formáty a nosiče údajů, požadované IT konfigurace a minimální přenosové rychlosti sítě, dále pak doba potřebná k zahájení procesu přenesení a doba, po kterou údaje zůstanou k dispozici pro přenesení, jakož i záruky, pokud jde o přístup k údajům v případě úpadku poskytovatele služeb. Tyto kodexy chování by rovněž měly jasně stanovit, že proprietární uzamčení není přijatelnou obchodní praxí, měly by prosazovat technologie, které zvyšují důvěru, a měly by být pravidelně aktualizovány, aby držely krok s vývojem technologií. Komise by měla zajistit, aby v průběhu tohoto procesu byly konzultovány všechny příslušné zúčastněné strany, včetně sdružení malých a středních podniků, začínajících podniků, uživatelů a poskytovatelů cloudových služeb.
Závěrem EP připomenul bezpečnostní problematiku ochrany neosobních údajů, když zdůraznil, že na zpracování údajů v jiném členském státě by se měly i nadále vztahovat veškeré bezpečnostní požadavky týkající se zpracování údajů, které jsou na základě práva Unie nebo vnitrostátního práva, jež je v souladu s právem Unie, důvodně a přiměřeně uplatňovány v členském státě, v němž mají bydliště nebo jsou usazené fyzické nebo právnické osoby, o jejichž údaje se jedná. Tyto fyzické nebo právnické osoby by měly mít možnost splnit tyto požadavky buď samy, nebo prostřednictvím smluvních ujednání ve smlouvách s poskytovateli služeb. Bezpečnostní požadavky stanovené na vnitrostátní úrovni by přitom měly být nezbytné a přiměřené bezpečnostním rizikům pro zpracování údajů v oblasti působnosti vnitrostátních právních předpisů, kterými jsou tyto požadavky stanoveny.
Právní opatření zajišťující posílení celkové úrovně kybernetické bezpečnosti v Unii stanoví směrnice Evropského parlamentu a Rady (EU) 2016/1148. EP připomněl, že služby zpracování údajů představují jednu z digitálních služeb, na něž se však uvedená směrnice vztahuje. Podle předmětné směrnice členské státy zajistí, aby poskytovatelé digitálních služeb určili a přijali vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž jsou vystaveny sítě a informační systémy, které využívají. Opatření by měla zajišťovat úroveň bezpečnosti odpovídající existující míře rizika, přičemž by měla zohledňovat bezpečnost systémů a zařízení, řešení incidentů, řízení kontinuity provozu, monitorování, audity a testování a soulad s mezinárodními normami. EP doporučil, aby Komise tyto prvky blíže upřesnila v prováděcích aktech podle předmětné směrnice.
A konečně – nařízení stanoví, aby Komise předložila zprávu o provádění předmětného nařízení, zejména s cílem určit, zda jsou nutné změny zohledňující vývoj techniky nebo vývoj na trhu. Zpráva by měla zejména vyhodnotit uplatňování nařízení, pokud jde o soubory údajů obsahující jak osobní, tak neosobní údaje, a dále uplatňování výjimky z důvodu veřejné bezpečnosti. Předtím, než se začne používat toto nařízení, by Komise také měla zveřejnit pokyny ohledně toho, jak postupovat v případě souborů údajů obsahujících jak osobní, tak neosobní údaje, aby podniky, včetně malých a středních podniků, lépe chápaly vzájemné působení tohoto nařízení a nařízení (EU) 2016/679 a zajistily dodržování obou těchto nařízení.