Aktuální právní situace je taková, že harmonizovaná pravidla o ochraně osobních údajů jsou již zavedena. Přístup k jiným než osobním údajům a jejich další využití mezi podniky (B2B) však podniky mezi sebou řeší ad hoc na smluvním základě.

Již v prvních dnech roku 2017 proto Evropská komise vydala sdělení,⁴ v němž konstatovala, že hodnota trhu s daty v EU v předchozím roce (2016) byla odhadována na téměř 60 mld. EUR, což představuje růst o 9,5 % ve srovnání s rokem 2015. Podle studie by trh s daty v EU mohl v roce 2020 potenciálně představovat více než 106 miliard EUR.⁵

S cílem podpořit svůj program v oblasti digitální ekonomiky provedla Komise veřejnou konzultaci a diskuzi s členskými státy ohledně rámce spolupráce při zajišťování volného toku dat v rámci jednotného digitálního trhu EU. Výměna názorů napříč Unií směřovala k tomu, že uvažovaný rámec by mohl spolu s uplatňováním zásady volného pohybu údajů v rámci EU řešit požadavky členských států na bezpečnost datových úložišť a současně zajistit, aby data byla dostupná bez zeměpisného omezení pro regulatorní účely (například pro daňové kontroly), ale rovněž v zájmu zachování ekonomických a jiných výhod vyplývajících z volného pohybu jiných než osobních údajů. V souladu s dříve předloženou evropskou iniciativou v oblasti cloud computingu⁶ Komise dále uvážila i další doprovodná opatření, která by se vztahovala na smlouvy o cloudových službách pro uživatele z řad podniků a řešila mimo jiné i situace, kdy zákazník mění jejich poskytovatele.

Komise dále uvedla, že by mohla uplatnit právo na zahájení řízení o nesplnění povinnosti, vyskytnou-li se důkazy o tom, že nejsou řádně prováděna stávající pravidla volného pohybu služeb․ Kromě toho hodlá Komise pečlivě sledovat, jak členské státy uplatňují specifikace v obecném nařízení o ochraně osobních údajů, například v souvislosti s genetickými údaji, biometrickými a zdravotními údaji.⁷ Souhrnně řečeno, Komise konstatovala, že hodlá zajistit, aby volný pohyb osobních údajů v Unii nebyl nepřiměřeně omezován.

Kromě toho Komise dodala, že zavádění internetu věcí nově přináší značné výzvy, pokud jde o bezpečnost propojených systémů, produktů a služeb, ale i právní odpovědnost podniků. Při poruše čidla, nezabezpečení softwaru nebo nestabilitě připojení může být obtížné určit, kdo je technicky a právně odpovědný za případné následné škody. Komise hodlá dále zvážit, zda je potřeba přizpůsobit stávající právní rámec a zohlednit nový technologický vývoj (například v oblasti robotiky, umělé inteligence a 3D tisku). Dále považuje za nezbytné se zaměřit zejména na občanskoprávní odpovědnost a zohlednit výsledky probíhajícího hodnocení směrnice o odpovědnosti za vadné výrobky a směrnice o strojních zařízeních. Pro zavedení internetu věcí je podle Komise dále klíčová předvídatelnost přístupu k technologiím chráněným patenty, jejichž využití je nezbytné k dodržení technických norem (SEP). Široké spektrum odvětví bude tyto normy uplatňovat v oblasti mobilního připojení. Komise posuzuje prostředky k účinnému zajištění vyváženého rámce pro udělování licencí k tomuto typu duševního vlastnictví, který bude respektovat zájmy vývojářů i uživatelů technologií.

V souvislosti s přípravou nařízení o ochraně neosobních údajů stojí zvlášť za zmínku provedené konzultace. Již v rámci prvního kola shromažďování důkazů v roce 2015 byla uspořádána veřejná konzultace ohledně regulačního prostředí pro platformy, online zprostředkovatele, data a cloud computing a ekonomiku sdílení. Dvě třetiny respondentů (včetně malých a středních podniků) uvedly, že omezení ohledně umístění údajů měla vliv na jejich obchodní strategii. Druhé kolo shromažďování důkazů, které probíhalo od konce roku 2016 do druhé poloviny roku 2017, zahrnovalo veřejnou konzultaci pořádanou v souvislosti se sdělením „Budování evropské ekonomiky založené na datech“ ze dne 10. 1. 2017. Podle odpovědí v rámci veřejné konzultace bylo 61,9 % zúčastněných přesvědčeno, že omezení ohledně umístění údajů by měla být odstraněna. Většina účastníků (55,3 % respondentů) se domnívala, že nejvhodnějším nástrojem k řešení neopodstatněných omezení ohledně umístění údajů je legislativní opatření, přičemž řada z nich výslovně požadovala nařízení. Regulační opatření mělo nejvyšší podporu mezi poskytovateli služeb IT všech velikostí se sídlem v EU i mimo ni. Pokud jde o negativní dopady ohledně umístění údajů, vedle zvýšených nákladů pro podniky veřejná konzultace identifikovala zejména dopady na poskytování služby soukromým nebo veřejným subjektům (69,6 % respondentů označilo tento dopad za „vysoký“) nebo na možnost vstoupit na nový trh (73,9 % respondentů označilo tento dopad za „vysoký“). Veřejná konzultace online rovněž ukázala problém se změnou poskytovatele, neboť 56,8 % respondentů z řad malých a středních podniků uvedlo, že narazili na potíže, když hodlali změnit poskytovatele.

Rovněž byly provedeny studie, které se zabývaly opatřeními společné regulace nebo samoregulace v odvětví cloud computingu. Komise vycházela i z dalších externích zdrojů, včetně přezkumů trhu a statistik (např. údajů Eurostatu).

Předložené nařízení se tak již v rovině návrhu snažilo zohlednit obavy vyjádřené členskými státy a odvětvími, zejména nutnost stanovit průřezovou zásadu volného pohybu údajů, která poskytne právní jistotu, dosažení pokroku, pokud jde o dostupnost údajů pro regulační účely, jakož i usnadnění změny poskytovatele služeb uchovávání nebo jiného zpracování údajů a přenesení údajů profesionálním uživatelům, a to podporou větší transparentnosti ohledně uplatňovaných postupů a podmínek ve smlouvách, avšak bez toho, aby se poskytovatelům služeb v této fázi ukládaly zvláštní normy nebo povinnosti.

Nařízení o volném pohybu jiných než osobních údajů se zaměřuje z uvedeného souboru opatření pouze na parciální část – volný pohyb neosobních údajů. K tomu Komise ve svém sdělení „Budování evropské ekonomiky založené na datech“ ze dne 10. 1. 2017 uvedla, že pokud by se měl tento potenciál evropské ekonomiky uvolnit, musí právní úprava řešit následující oblasti:

V přezkumu v polovině období provádění strategie pro jednotný digitální trh⁸ byl oznámen legislativní návrh o rámci pro spolupráci v oblasti volného pohybu údajů v EU.

Obecným politickým cílem nařízení je upravit oblasti zařazené pod neosobní data, a tím dosáhnout konkurenčnějšího a integrovanějšího vnitřního trhu pro služby a činnosti uchovávání a jiného zpracování údajů. V nařízení se přitom „uchovávání nebo jiné zpracování údajů“ používá v širokém slova smyslu a zahrnuje používání všech typů IT systémů, ať už jsou umístěny v prostorách uživatele, nebo zajišťovány externě poskytovatelem služeb uchovávání nebo jiného zpracování údajů. Služby jiného zpracování údajů zahrnují poskytovatele služeb založených na datech, jako je analýza údajů, systémy pro správu údajů atd.

Nařízení se zaměřuje na poskytování služeb hostingu (uchovávání) a jiného zpracování údajů a usiluje o vytvoření účinného jednotného trhu EU pro tyto služby. Je tedy v souladu se směrnicí o elektronickém obchodu,⁹ jejímž cílem je komplexní a účinný jednotný trh EU pro obecnější kategorie služeb informační společnosti, a se směrnicí o službách,¹⁰ která sleduje prohlubování jednotného trhu EU pro služby ve vybraných odvětvích.

Zásadní otázkou, před kterou stála Komise při předkládání návrhu, bylo stanovení formy právní úpravy. Z oblasti působnosti těchto právních předpisů (tj. směrnice o elektronickém obchodu a směrnice o službách) je totiž výslovně vyloučena řada významných odvětví, takže na služby hostování (uchovávání) a jiného zpracování údajů jako celek se použijí pouze obecná ustanovení Smlouvy. Stávající překážky, kterým tyto služby čelí, tudíž nelze účinně odstranit jen s využitím přímé použitelnosti článků 49 a 56 Smlouvy o fungování Evropské unie (SFEU), neboť na jedné straně by jejich řešení případ od případu prostřednictvím řízení pro nesplnění povinnosti proti dotčeným členským státům bylo pro vnitrostátní i unijní orgány extrémně složité a na druhé straně odstranění mnoha překážek vyžaduje zvláštní pravidla, která by řešila nejen veřejné, ale i soukromé překážky, a žádá si zřízení mechanismu správní spolupráce. Pro uživatele nových technologií bylo navíc obzvláště důležité zvýšení právní jistoty, kterého se má docílit novou právní úpravou.

Komise ve svém návrhu vycházela z toho, že předmětné legislativní opatření se týká elektronických údajů jiných než osobních údajů, a není jím tudíž dotčen právní rámec EU pro ochranu údajů, zejména nařízení o ochraně osobních údajů,¹¹ tzv. policejní směrnice¹² a směrnice o soukromí a elektronických komunikacích,¹³ které zajišťují vysokou úroveň ochrany osobních údajů a jejich volný pohyb v rámci Unie. Cílem nového legislativního opatření je tak společně s již platným a účinným právním rámcem zavést komplexní a soudržný rámec EU umožňující volný pohyb údajů v rámci jednotného trhu. Nový legislativní rámec bude přitom vyžadovat oznamování návrhů opatření týkajících se umístění údajů podle směrnice o transparentnosti,¹⁴ aby bylo možné posoudit, zda jsou tato omezení ohledně umístění odůvodněná.

Pokud jde o spolupráci a vzájemnou pomoc příslušných orgánů, legislativní opatření předpokládá, že by se všechny takové mechanismy měly použít. Pro případy, kdy žádné mechanismy spolupráce neexistují, schválené nařízení zavádí opatření, jejichž cílem je umožnit příslušným orgánům, aby přistupovaly k údajům uchovávaným nebo jinak zpracovávaným v jiných členských státech a vyměňovaly si je.

V souladu s celkovou politikou Komise v rámci jednotného digitálního trhu je cílem nařízení snížit překážky pro konkurenceschopnou ekonomiku založenou na datech. V souladu se sdělením o přezkumu v polovině období provádění strategie pro jednotný digitální trh se Komise samostatně zabývá otázkou dostupnosti a dalšího využívání veřejných údajů, údajů financovaných z veřejných zdrojů a údajů veřejného zájmu, jež jsou ve vlastnictví soukromých subjektů, a otázkou právní odpovědnosti v případech, kdy je škoda způsobena datově náročnými produkty.

A konečně – nařízení navazuje na balíček pro politiku v oblasti digitalizace evropského průmyslu, který zahrnuje evropskou iniciativu v oblasti cloud computingu, jejímž cílem je realizovat cloudové řešení s velmi vysokou kapacitou pro uchovávání, sdílení a opakované použití vědeckých dat. Kromě toho tato iniciativa navazuje na revizi Evropského rámce interoperability,¹⁵ jenž má za cíl zlepšit digitální spolupráci mezi orgány veřejné správy v Evropě a bude mít z volného pohybu údajů přímý prospěch. Přispívá k závazku EU, pokud jde o otevřený internet.

Cílem schváleného nařízení je, aby byl zaveden jasný rámec, který bude doprovázen spoluprací s členskými státy i mezi nimi navzájem a samoregulací, který posílí právní jistotu a zvýší úroveň důvěry, avšak zůstane přitom relevantní a účinný v dlouhodobém horizontu díky flexibilnímu rámci pro spolupráci založenému na jednotných kontaktních místech v členských státech.

Nařízení o volném pohybu jiných než osobních údajů spadá do oblasti sdílené pravomoci v souladu s čl. 4 odst. 2 písm. a) SFEU. Jeho cílem je dosáhnout konkurenčnějšího a integrovanějšího vnitřního trhu pro služby uchovávání a jiného zpracování údajů, a to zajištěním volného pohybu údajů v rámci Unie. Stanoví pravidla týkající se požadavků ohledně umístění údajů, dostupnosti údajů příslušným orgánům a přenesení údajů pro profesionální uživatele. Nařízení je založeno na článku 114 SFEU, který je obecným právním základem pro přijímání takových pravidel.

Nařízení bylo Komisí předloženo rovněž jako souladné se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii (SEU). Cíle nařízení, totiž zajistit hladké fungování vnitřního trhu pro výše uvedené služby, který se neomezuje na území jednoho členského státu, a volný pohyb neosobních údajů v Unii, nemohou členské státy dosáhnout na vnitrostátní úrovni, neboť jádrem problému je přeshraniční mobilita údajů. Členské státy mohou omezit počet a rozsah svých vlastních omezení ohledně umístění údajů, avšak pravděpodobně by tak učinily do různé míry a za různých podmínek, nebo by tak neučinily vůbec. Různorodé přístupy by však vedly ke znásobení regulačních požadavků v rámci jednotného trhu EU a dodatečným hmotným nákladům pro podniky, zejména pro malé a střední podniky (MSP).

A konečně, nařízení je zpracováno v souladu se zásadou proporcionality stanovenou v článku 5 SEU, neboť jde o účinný ramec, který svým rozsahem nepřekračuje to, co je nezbytné k řešení zjištěných problémů a přiměřené k dosažení jeho cílů.

Aby nařízení odstranilo překážky bránící volnému pohybu neosobních údajů v Unii, který je omezen požadavky ohledně umístění údajů, a posílilo důvěru v přeshraniční pohyb údajů a služby uchovávání a jiného zpracování údajů, logicky se musí do značné míry opírat o stávající nástroje a rámce EU: směrnici o transparentnosti, pokud jde o oznamování návrhů opatření týkajících se požadavků ohledně umístění údajů, a různé rámce zajišťující dostupnost údajů pro regulační kontrolu ze strany členských států. Mechanismus spolupráce stanovený v návrhu se k řešení problémů s dostupností údajů příslušným vnitrostátním orgánům použije pouze v případech, kdy neexistují jiné mechanismy spolupráce a byly vyčerpány jiné prostředky, jak přístup získat.

Předložený přístup k pohybu údajů přes hranice členských států a mezi poskytovateli služeb / interními IT systémy se snaží nalézt rovnováhu mezi regulací ze strany EU a zájmy členských států v oblasti veřejné bezpečnosti, jakož i rovnováhu mezi regulací ze strany EU a samoregulací ze strany trhu. Konkrétně za účelem zmírnění potíží profesionálních uživatelů, pokud jde o změnu poskytovatele a přenesení údajů, inciativa podporuje samoregulaci formou kodexů chování týkajících se informací, jež mají být poskytovány uživatelům služeb uchovávání nebo jiného zpracování údajů. Samoregulací, která stanoví osvědčené postupy, by měly být řešeny i podrobnosti ohledně změny poskytovatele a přenesení údajů.

Nařízení již v rovině návrhu připomnělo, že bezpečnostní požadavky, které ukládá vnitrostátní právo a právo Unie, by měly být zajištěny i v případě, kdy si fyzické nebo právnické osoby zajišťují služby uchovávání nebo jiného zpracování údajů externě, též v jiném členském státě. Komise rovněž připomněla prováděcí pravomoci, které jí svěřuje směrnice o bezpečnosti sítí a informací za účelem řešení bezpečnostních požadavků, což rovněž přispívá k fungování tohoto nařízení. A konečně, i kdyby nařízení vyžadovalo činnost ze strany veřejných orgánů členských států z důvodu požadavků na oznamování/přezkum, transparentnost a správní spolupráci, je koncipováno tak, aby se tyto činnosti omezovaly jen na nejdůležitější potřeby spolupráce, čímž se vyhýbá zbytečné administrativní zátěži.

Z uvedeného logicky vyplynula i volba nástroje. Komise předložila legislativní opatření ve formě nařízení, kterým lze zaručit, že jednotná pravidla pro volný pohyb neosobních údajů budou použitelná v celé Unii současně. To je obzvláště důležité k tomu, aby se odstranila stávající omezení a předešlo se přijetí nových omezení ze strany členských států a aby se poskytovatelům a uživatelům dotčených služeb zaručila právní jistota, čímž se zvýší důvěra v přeshraniční pohyb údajů i ve služby uchovávání a jiného zpracování údajů.

Z pohledu využití se nařízení vztahuje na občany, vnitrostátní orgány veřejné správy a všechny podniky, včetně mikropodniků a malých a středních podniků. Ustanovení, která řeší překážky bránící mobilitě údajů, mohou být přínosem pro všechny podniky. Nařízení by přitom mělo být přínosem zejména pro malé a střední podniky, neboť volný pohyb neosobních údajů přímo sníží jejich náklady a přispěje k dosažení konkurenceschopnější pozice na trhu.

Evropský parlament přijal v prvním čtení dne 4. 10. 2018 k nařízení Evropského parlamentu a Rady (EU) o rámci pro volný tok neosobních údajů v Evropské unii, postoj, v němž schválil změny k předloženému návrhu nařízení, včetně jeho odůvodnění.

Evropský parlament (EP) ve svém legislativním usnesení přijal názor Komise, že digitalizace hospodářství nabírá na rychlosti a informační a komunikační technologie již nejsou specifickým sektorem, nýbrž základem všech moderních inovativních ekonomických systémů a společností. Jádrem těchto systémů jsou elektronické údaje. Zdůraznil přitom, že rychlý rozvoj ekonomiky založené na datech a nových technologiích, jako je umělá inteligence, produkty a služby internetu věcí, autonomní systémy a 5G, zároveň vyvolává nové právní otázky týkající se přístupu k údajům a jejich opakovaného použití, právní odpovědnosti, etiky a solidarity. Podle EP je třeba zvážit činnost zejména ve věci právní odpovědnosti, především prostřednictvím zavedení samoregulačních kodexů a dalších osvědčených postupů, a to s ohledem na doporučení, rozhodnutí a opatření přijatá bez zásahu člověka v celém hodnotovém řetězci zpracování údajů. Tato činnost může rovněž zahrnovat mj. vhodné mechanismy pro určení právní odpovědnosti pro převedení odpovědnosti mezi spolupracující služby, pojištění a audit.

Pokud jde o vlastní hmotněprávní základ regulace, EP shodně s Komisí konstatoval, že hodnotové řetězce údajů jsou postaveny na různých činnostech v oblasti údajů: vytváření a shromažďování údajů, agregaci a organizování údajů, zpracování údajů; analýze, uvádění na trh a šíření údajů, používání údajů včetně opakovaného použití. Zdůraznil přitom, že základním stavebním kamenem jakéhokoli hodnotového řetězce údajů je účinně a efektivně fungující zpracování údajů. Účinné a efektivní fungování zpracování údajů a rozvoj ekonomiky založené na datech v Unii ztěžují zejména dva druhy překážek v oblasti mobility údajů a vnitřního trhu: požadavky na lokalizaci údajů stanovené orgány členských států a praxe obchodních proprietárních uzamčení (tzv. vendor lock-in) v soukromém sektoru.

EP přitom rovněž zdůraznil, že rozvíjející se internet věcí, umělá inteligence a strojové učení představují rozsáhlý zdroj neosobních údajů, například ve výsledku jejich využívání v automatizovaných postupech průmyslové výroby. Mezi konkrétní příklady neosobních údajů patří souhrnné a anonymizované soubory údajů používané pro analýzu údajů velkého objemu, údaje o postupech přesného zemědělství, které mohou přispět k monitorování a optimalizaci používání pesticidů a vody, nebo údaje o potřebě údržby průmyslových strojů. Pokud technologický rozvoj umožňuje konvertovat údaje na údaje osobní, má se podle EP s takovými anonymizovanými údaji zacházet jako s osobními údaji a má se na ně náležitým způsobem uplatnit nařízení (EU) 2016/679.

Zvlášť důležité bylo konstatování EP, že nařízení v žádném případě neomezuje svobodu podniků uzavírat smlouvy, které stanoví, kde mají být údaje umístěny. Toto nařízení má tuto svobodu pouze podpořit tím, že zajistí, aby se dohodnuté umístění mohlo nacházet kdekoli v Unii. Nařízením rovněž není dotčen právní rámec o ochraně fyzických osob v souvislosti se zpracováním osobních údajů ani právní rámec týkající se respektování soukromého života a ochrany osobních údajů v elektronických komunikacích, a zejména nařízení Evropského parlamentu a Rady (EU) 2016/679, směrnice Evropského parlamentu a Rady (EU) 2016/680 a směrnice Evropského parlamentu a Rady 2002/58/ES.

Dále EP zdůraznil, že podle nařízení (EU) 2016/679 členské státy nesmějí omezit ani zakázat volný pohyb osobních údajů v Unii z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů. Nově schválené nařízení stanoví stejnou zásadu volného pohybu v Unii pro neosobní údaje, s výjimkou případů, kdy by omezení nebo zákaz ospravedlňovaly důvody veřejné bezpečnosti. Nařízení (EU) 2016/679 a předmětné nařízení tak poskytují soudržný soubor pravidel, která upravují volný pohyb různých typů údajů. Schválené nařízení navíc nestanoví povinnost ukládat jednotlivé typy údajů odděleně.

Pokud jde o vytvoření rámce pro volný tok neosobních údajů v Unii a položení základů pro rozvoj ekonomiky založené na datech, podle EP je nezbytné nejen stanovit jasný, komplexní a předvídatelný právní rámec pro zpracování údajů jiných než osobních údajů na vnitřním trhu, ale také poskytnout přístup založený na zásadách zajišťujících spolupráci mezi členskými státy a také samoregulaci. Aby se předešlo riziku překrývání se stávajícími mechanismy, a tím i vyšší zátěži členských států i podniků, neměla by být stanovena podrobná technická pravidla.

Významné bylo upozornění EP, že vzhledem k velkému množství údajů zpracovávaných veřejnými orgány a veřejnoprávními subjekty je mimořádně důležité, aby veřejné orgány a subjekty šly při zavádění služeb zpracování údajů příkladem a aby se v rámci využívání těchto služeb zdržely jakýchkoliv omezení týkajících se lokalizace údajů. Schválené nařízení by se proto mělo vztahovat na veřejné orgány a veřejnoprávní subjekty. V tomto ohledu by se volný tok neosobních údajů, který stanovuje nařízení, měl použít i na všeobecné a konzistentní administrativní postupy a na jiné požadavky na lokalizaci údajů v oblasti zadávání veřejných zakázek, aniž by byla dotčena směrnice Evropského parlamentu a Rady 2014/24/EU.¹⁶

Stejně jako v případě směrnice 2014/24/EU nejsou předmětným nařízením dotčeny právní a správní předpisy týkající se vnitřní organizace členských států a předpisy, kterými se veřejným orgánům a subjektům přidělují pravomoci a povinnosti související se zpracováním údajů, a to bez smluvní odměny soukromých stran, ani právní a správní předpisy členských států, kterými se upravuje vykonávání těchto pravomocí a povinností. Žádné ustanovení tohoto nařízení tudíž nezavazuje členské státy zadávat subdodávky nebo externalizovat poskytování služeb, jež si přejí poskytovat samy, nebo je organizovat jiným způsobem než prostřednictvím zadávání veřejných zakázek.

Pokud jde o osobní působnost nařízení, mělo by se vztahovat na fyzické nebo právnické osoby, jež poskytují služby zpracování údajů uživatelům, kteří mají bydliště nebo jsou usazeni v Unii, včetně osob, které poskytují služby zpracovávání údajů v Unii, aniž by v Unii byly usazené. Toto nařízení by se proto nemělo vztahovat na zpracování údajů, které probíhá mimo Unii, ani na požadavky na lokalizaci těchto údajů.

Nařízením se nestanoví pravidla, která se týkají určení rozhodného práva v obchodních záležitostech, a proto jím není dotčeno nařízení Evropského parlamentu a Rady (ES) č. 593/2008.¹⁷ Zejména pokud právo rozhodné pro smlouvu nebylo zvoleno v souladu s uvedeným nařízením, řídí se smlouva o poskytování služeb v zásadě právními předpisy země, ve které má poskytovatel služby obvyklé bydliště.

Schválené nařízení o ochraně neosobních údajů by se mělo použít na zpracování údajů v nejširším slova smyslu a zahrnovat používání všech typů IT systémů, ať už jsou uloženy v prostorách uživatele, nebo zajišťovány externě poskytovatelem služeb. Mělo by se vztahovat na různé úrovně zpracování údajů, od uložení údajů (infrastruktura poskytovaná jako služba – Infrastructure-as-a-Service, IaaS) po zpracování údajů na platformách (platforma poskytovaná jako služba – Platform-as-a-Service, PaaS) nebo v aplikacích (software poskytovaný jako služba – Software-as-a-Service, SaaS).

EP dále zdůraznil, že požadavky na lokalizaci údajů představují zjevnou překážku volnému poskytování služeb zpracování údajů v rámci Unie a na vnitřním trhu a jako takové by měly být zakázány (ledaže by byly odůvodněny veřejnou bezpečností, jak ji vymezuje právo Unie, zejména ve smyslu článku 52 Smlouvy o fungování EU, a byly v souladu se zásadou proporcionality zakotvenou v článku 5 Smlouvy o EU). S cílem zajistit účinnost zásady volného toku neosobních údajů, aby se odstranily stávající požadavky na lokalizaci údajů a aby se umožnilo zpracování údajů na více místech v Unii, by členské státy neměly mít možnost odůvodnit požadavky ohledně umístění údajů jinými důvody, než je veřejná bezpečnost.

V této souvislosti EP připomíná, že pojem „veřejná bezpečnost“ ve smyslu článku 52 Smlouvy o fungování EU, jak jej vykládá Soudní dvůr, zahrnuje jak vnitřní, tak vnější bezpečnost členského státu, jakož i otázky ochrany obyvatelstva, zejména pokud jde o usnadnění vyšetřování, odhalení a stíhání trestné činnosti. Předpokládá existenci skutečné a dostatečně vážné hrozby pro některý ze základních zájmů společnosti, jako je např. ohrožení chodu veřejných institucí a základních veřejných služeb a přežití obyvatelstva, a dále rizik vážného narušení zahraničních vztahů, mírového soužití národů nebo vojenských zájmů. V souladu se zásadou proporcionality by dle EP požadavky na lokalizaci údajů, které jsou ospravedlněny důvody veřejné bezpečnosti, měly odpovídat sledovaným cílům a neměly by překračovat rámec toho, co je k dosažení daného cíle nezbytné.

Pokud jde o povinnosti členských států při adaptaci na nařízení o ochraně neosobních údajů, aby se zajistilo účinné uplatňování zásady volného toku neosobních údajů a předešlo se vzniku nových překážek bránících hladkému fungování vnitřního trhu, měly by členské státy Komisi neprodleně sdělit každý návrh aktu, který zavádí nový požadavek na lokalizaci údajů nebo mění stávající požadavek na lokalizaci údajů. Tyto návrhy aktů by měly předkládat a posuzovat v souladu se směrnicí Evropského parlamentu a Rady (EU) 2015/1535.¹⁸ Kromě toho by za účelem odstranění možných stávajících překážek členské státy měly během přechodného období 24 měsíců od počátku používání tohoto nařízení provést přezkum stávajících právních nebo správních předpisů obecné povahy, které stanovují požadavky na lokalizaci údajů, a veškeré takové požadavky na lokalizaci údajů, u kterých mají za to, že jsou v souladu s tímto nařízením, sdělit i s jejich odůvodněním Komisi. Komise by měla mít případně možnost vznést vůči dotčenému členskému státu připomínky, které by mohly obsahovat doporučení, aby členský stát požadavek ohledně umístění údajů změnil nebo zrušil. Zásadně by přitom mělo platit, že povinnost sdělovat Komisi stávající požadavky na lokalizaci údajů a návrhy aktů zavedená nařízením by se měla uplatnit na regulační požadavky na lokalizaci údajů a na návrhy aktů obecné povahy, a nikoliv na rozhodnutí určená konkrétní fyzické či právnické osobě.

EP dále zdůraznil, že fyzické nebo právnické osoby, které jsou povinny poskytnout údaje příslušným orgánům, mohou těmto povinnostem dostát tím, že příslušným orgánům poskytnou a zaručí účinný a včasný elektronický přístup k údajům bez ohledu na členský stát, na jehož území jsou tyto údaje zpracovávány. Uvedený přístup může být zajištěn konkrétními podmínkami ve smlouvách mezi fyzickou nebo právnickou osobou, která je povinna poskytnout přístup, a poskytovatelem služeb. Jestliže je fyzická nebo právnická osoba povinna poskytnout údaje a tuto povinnost nesplní, měl by mít příslušný orgán možnost požádat o pomoc příslušné orgány v ostatních členských státech.

V takových případech by příslušné orgány měly použít zvláštní nástroje pro spolupráci podle práva Unie nebo mezinárodních dohod v závislosti na předmětu dané věci, tedy v oblastech, jako je policejní spolupráce, trestní nebo civilní soudnictví či správní záležitosti, jde například o rámcové rozhodnutí Rady 2006/960/SVV,¹⁹ směrnici Evropského parlamentu a Rady 2014/41/EU,²⁰ Úmluvu Rady Evropy o kyberkriminalitě,²¹ nařízení Rady (ES) č. 1206/2001,²² směrnici Rady 2006/112/ES²³ a nařízení Rady (EU) č. 904/2010.²⁴ Pokud takové zvláštní mechanismy spolupráce neexistují, dle EP by měly příslušné orgány vzájemně spolupracovat prostřednictvím určených jednotných kontaktních míst s cílem poskytnout přístup k požadovaným údajům. Pokud žádost o poskytnutí pomoci obnáší získání přístupu dožádaného orgánu do jakýchkoliv prostor fyzické nebo právnické osoby, včetně přístupu k jakýmkoliv zařízením a prostředkům pro zpracování údajů, musí být takový přístup v souladu s právem Unie nebo vnitrostátním procesním právem, včetně případného požadavku získat předem soudní povolení.

Dále EP zdůraznil, že nařízení by nemělo uživatelům umožňovat, aby se pokoušeli obcházet uplatňování vnitrostátního práva. Proto je nutné stanovit členským státům možnost ukládat účinné, přiměřené a odrazující sankce uživatelům, kteří příslušným orgánům brání v získání přístupu k jejich údajům potřebným k výkonu úředních povinností příslušných orgánů podle práva Unie a vnitrostátního práva. V naléhavých případech, pokud uživatel zneužívá svá práva, by členské státy měly mít možnost uložit přísně přiměřená dočasná opatření. Jakákoliv dočasná opatření, která vyžadují přemístění údajů na dobu přesahující 180 dní od přemístění, by znamenala odchylku od zásady volného pohybu údajů na značně dlouhé období, a měla by proto být oznámena Komisi.

V této souvislosti EP zdůraznil, že podrobné informační a provozní požadavky ohledně přenesení údajů by měly být definovány ze strany účastníků trhu prostřednictvím samoregulace, kterou podpoří, usnadní a monitoruje Komise, a to ve formě kodexů chování Unie, jež mohou zahrnovat vzorové smluvní podmínky. V zájmu účinnosti a usnadnění změny poskytovatele služeb a přenesení údajů by předmětné nástroje – kodexy chování – měly být komplexní a měly by zahrnovat alespoň klíčové aspekty, které jsou důležité v rámci procesu přenosu údajů, jako jsou postupy zálohování údajů a místa uložení záloh, dostupné formáty a nosiče údajů, požadované IT konfigurace a minimální přenosové rychlosti sítě, dále pak doba potřebná k zahájení procesu přenesení a doba, po kterou údaje zůstanou k dispozici pro přenesení, jakož i záruky, pokud jde o přístup k údajům v případě úpadku poskytovatele služeb. Tyto kodexy chování by rovněž měly jasně stanovit, že proprietární uzamčení není přijatelnou obchodní praxí, měly by prosazovat technologie, které zvyšují důvěru, a měly by být pravidelně aktualizovány, aby držely krok s vývojem technologií. Komise by měla zajistit, aby v průběhu tohoto procesu byly konzultovány všechny příslušné zúčastněné strany, včetně sdružení malých a středních podniků, začínajících podniků, uživatelů a poskytovatelů cloudových služeb.

Závěrem EP připomenul bezpečnostní problematiku ochrany neosobních údajů, když zdůraznil, že na zpracování údajů v jiném členském státě by se měly i nadále vztahovat veškeré bezpečnostní požadavky týkající se zpracování údajů, které jsou na základě práva Unie nebo vnitrostátního práva, jež je v souladu s právem Unie, důvodně a přiměřeně uplatňovány v členském státě, v němž mají bydliště nebo jsou usazené fyzické nebo právnické osoby, o jejichž údaje se jedná. Tyto fyzické nebo právnické osoby by měly mít možnost splnit tyto požadavky buď samy, nebo prostřednictvím smluvních ujednání ve smlouvách s poskytovateli služeb. Bezpečnostní požadavky stanovené na vnitrostátní úrovni by přitom měly být nezbytné a přiměřené bezpečnostním rizikům pro zpracování údajů v oblasti působnosti vnitrostátních právních předpisů, kterými jsou tyto požadavky stanoveny.

Právní opatření zajišťující posílení celkové úrovně kybernetické bezpečnosti v Unii stanoví směrnice Evropského parlamentu a Rady (EU) 2016/1148.²⁵ EP připomněl, že služby zpracování údajů představují jednu z digitálních služeb, na něž se však uvedená směrnice vztahuje. Podle předmětné směrnice členské státy zajistí, aby poskytovatelé digitálních služeb určili a přijali vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž jsou vystaveny sítě a informační systémy, které využívají. Opatření by měla zajišťovat úroveň bezpečnosti odpovídající existující míře rizika, přičemž by měla zohledňovat bezpečnost systémů a zařízení, řešení incidentů, řízení kontinuity provozu, monitorování, audity a testování a soulad s mezinárodními normami. EP doporučil, aby Komise tyto prvky blíže upřesnila v prováděcích aktech podle předmětné směrnice.

A konečně – nařízení stanoví, aby Komise předložila zprávu o provádění předmětného nařízení, zejména s cílem určit, zda jsou nutné změny zohledňující vývoj techniky nebo vývoj na trhu. Zpráva by měla zejména vyhodnotit uplatňování nařízení, pokud jde o soubory údajů obsahující jak osobní, tak neosobní údaje, a dále uplatňování výjimky z důvodu veřejné bezpečnosti. Předtím, než se začne používat toto nařízení, by Komise také měla zveřejnit pokyny ohledně toho, jak postupovat v případě souborů údajů obsahujících jak osobní, tak neosobní údaje, aby podniky, včetně malých a středních podniků, lépe chápaly vzájemné působení tohoto nařízení a nařízení (EU) 2016/679 a zajistily dodržování obou těchto nařízení.

Články 1 až 3 stanoví vlastní hmotněprávní základ nařízení – jeho cíl, oblast působnosti a definice, které se pro účely nařízení použijí.

Předmětem nařízení (článek 1) je zajistit volný tok jiných než osobních údajů v rámci Unie tím, že stanoví pravidla, pokud jde o požadavky na lokalizaci údajů, dostupnost údajů příslušným orgánům a přenos údajů pro profesionální uživatele.

Oblast působnosti nařízení (článek 2) je zpracování elektronických údajů jiných než osobních údajů v Unii, které je:

V případě souborů údajů obsahujících jak osobní, tak neosobní údaje se toto nařízení vztahuje na část souboru údajů s neosobními údaji. Pokud jsou osobní a neosobní údaje v souboru údajů neoddělitelně propojeny, není tímto nařízením dotčeno použití nařízení (EU) 2016/679. Nařízení se rovněž nevztahuje na činnosti, které nespadají do oblasti působnosti práva Unie. Nařízením také nejsou dotčeny právní a správní předpisy týkající se vnitřní organizace členských států a předpisy, kterými se veřejným orgánům a veřejnoprávním subjektům uvedeným v čl. 2 odst. 1 bodu 4 směrnice 2014/24/EU přidělují pravomoci a povinnosti související se zpracováním údajů, a to bez smluvní odměny soukromých stran, ani právní a správní předpisy členských států, kterými se upravuje výkon těchto pravomocí a povinností.

Pokud jde o definice (článek 3), nařízení stanoví, že pro jeho účely se rozumějí „údaji“ údaje jiné než osobní údaje ve smyslu čl. 4 bodu 1 nařízení (EU) 2016/679; „zpracováním“ jakákoliv operace nebo soubor operací s údaji nebo soubory údajů v elektronické podobě, prováděné pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; „poskytovatelem služby“ fyzická nebo právnická osoba, která poskytuje služby zpracování údajů; „uživatelem“ fyzická nebo právnická osoba, včetně veřejného orgánu nebo veřejnoprávního subjektu, která využívá nebo požaduje službu zpracování údajů, a „profesionálním uživatelem“ fyzická nebo právnická osoba, včetně veřejného orgánu nebo veřejnoprávního subjektu, která využívá nebo požaduje službu zpracování údajů pro účely související s její obchodní činností, podnikáním, řemeslem, profesí či úlohou.

V dalších článcích se pak stanoví zásada volného pohybu neosobních údajů v Unii (článek 4), která zakazuje veškeré požadavky ohledně umístění údajů, pokud nejsou odůvodněny veřejnou bezpečností. Kromě toho stanoví přezkum stávajících požadavků, oznamování zbývajících nebo nových požadavků Komisi a opatření k zajištění transparentnosti. Článek 5 stanoví povinnost zajistit dostupnost údajů pro regulační kontrolu ze strany příslušných orgánů. Za tímto účelem uživatelé nesmějí odmítnout poskytnout příslušným orgánům přístup k údajům na základě toho, že údaje jsou uchovávány nebo jinak zpracovávány v jiném členském státě.

Článek 6 pak stanoví, že Komise podpoří poskytovatele služeb a profesionální uživatele v tom, aby vypracovali a zavedli kodexy chování upřesňující informace o podmínkách přenesení údajů (včetně technických a provozních požadavků), které by poskytovatelé měli dát k dispozici svým profesionálním uživatelům dostatečně podrobným, jasným a transparentním způsobem před uzavřením smlouvy. Komise přezkoumá tvorbu a účinné provádění takových kodexů chování do dvou let od data použitelnosti tohoto nařízení. Článek dále stanoví, že kodexy chování, které vycházejí ze zásad transparentnosti a interoperability, zohledňují otevřené standardy a stanoví pokyny mimo jiné pro následující otázky:

A konečně článek 7 stanoví, že každý členský stát určí jednotné kontaktní místo, které jedná s kontaktními místy ostatních členských států a s Komisí v otázkách uplatňování tohoto nařízení.

Evropský parlament ve svém usnesení²⁶ přijal v prvním čtení postoj, kterým schválil návrh Komise se změnami vznesenými ve výborech při projednávání v plénu Evropského parlamentu. Vyzval současně Komisi, aby věc znovu postoupila Parlamentu, jestliže svůj návrh nahradí jiným textem, podstatně jej změní nebo má v úmyslu jej podstatně změnit, a pověřil svého předsedu, aby předal postoj Parlamentu Radě a Komisi, jakož i vnitrostátním parlamentům.

Pokud jde o plán provádění nařízení, jeho monitorování, hodnocení a podávání zpráv, po pěti letech od začátku uplatňování pravidel se provede komplexní hodnocení s cílem posoudit jejich účinnost a přiměřenost. Předmětné hodnocení bude provedeno v souladu s pokyny pro zlepšování právní úpravy. Zejména se zaměří na prověření, zda nařízení přispělo ke snížení počtu a rozsahu omezení ohledně umístění údajů a k posílení právní jistoty a transparentnosti, pokud jde o zbývající (odůvodněné a přiměřené) požadavky. Při hodnocení bude rovněž posouzeno, zda nařízení přispělo ke zvýšení důvěry ve volný pohyb neosobních údajů, zda mohou členské státy pro účely regulační kontroly rozumně získat přístup k údajům uloženým v zahraničí a zda nařízení vedlo ke zvýšení transparentnosti podmínek pro přenesení údajů. Plánuje se přitom, že jako cenný zdroj informací ve fázi hodnocení právního předpisu ex post by měla sloužit jednotná kontaktní místa členských států.

Tři měsíce před schválením nařízení o volném pohybu neosobních údajů schválil Evropský parlament usnesení z vlastní iniciativy [2017/2007(INI)],²⁷ o trojrozměrném tisku jakožto výzvě v oblastech práv duševního vlastnictví a občanskoprávní odpovědnosti, které symbolicky předznamenává a doplňuje celou oblast neosobních údajů z pohledu 3D tisku, jak ji ostatně předvídal i Evropský parlament a konečně i Komise.

Zpravodajka a předkladatelka návrhu usnesení, Joëlle Bergeron z Výboru pro právní záležitosti, ve svém vysvětlujícím prohlášení uvozuje, že trojrozměrný tisk (3D tisk) byl poprvé experimentálně realizován v šedesátých letech minulého století ve Spojených státech a začal být používán v průmyslu na počátku osmdesátých let, aby se plně rozvinul souběžně s uvedením 3D tiskáren na trh a s příchodem digitálních modelů a služeb 3D tisku. Díky uvedení 3D tiskáren určených soukromým osobám na trh se technologie stala přístupnou pro širokou veřejnost. EU tuto technologii klasifikovala mezi technologie prioritní a Komise ji ve svém sdělení COM (2017) 240 zahrnula mezi hlavní faktory, které budou motorem transformací v průmyslu.

Legislativní usnesení nicméně zdůrazňuje, že specialisté na autorské právo se domnívají, že 3D tisk autorské právo nerozvrátil. Vytvořený soubor bude považován za dílo a jako takový bude chráněn. V každém případě však podle EP lze počítat s problémy, které v oblasti autorského práva nastanou, až se 3D tisk začne využívat v průmyslovém měřítku. Budoucí revize směrnice 2004/48/ES o dodržování práv duševního vlastnictví, kterou Komise plánuje předložit v tomto volebním období, bude obzvlášť důležitá, a to tím spíše, že bude doprovázena „soft law“ iniciativami (tj. právně nevynutitelnými požadavky) týkajícími se poskytování informací o tomto tématu. Nicméně se zdá být rozumné rozlišovat domácí tisk určený k soukromému užívání od tisku pro komerční účely a také dodávky probíhající mezi profesionály a mezi profesionály a spotřebiteli.

Samostatnou otázkou je pak občanskoprávní odpovědnost v souvislosti s 3D tiskem, která by mohla být vyřešena (pokud se jedná o spotřebitele) prostřednictvím článků 10 a 14 návrhu Evropské komise o některých aspektech smluv o poskytování digitálního obsahu. Směrnice 85/374/EHS o odpovědnosti za vadné výrobky by naproti tomu mohla pokrývat všechny smlouvy.

Občanskoprávní odpovědnost nicméně není předmětem harmonizace a podléhá vnitrostátní právní úpravě. Právní předpisy Unie se omezují na konkrétnější pravidla, jako je např. občanskoprávní odpovědnost z důvodu vady výrobku. Pro osobu, která v souvislosti s předmětem vyrobeným 3D technologií utrpěla újmu, tak může být obtížné identifikovat odpovědnou osobu. Pravidla obecné odpovědnosti by v praxi mohla umožnit identifikovat výrobce 3D tiskárny, výrobce softwaru, který ji řídí, nebo osobu vyrábějící dotčený předmět. Zpravodajka proto požádala Komisi, aby zaměřila zvláštní pozornost na řetězec odpovědností a na identifikaci jejich nositelů s cílem zjistit, zda může zůstat v platnosti obecný režim odpovědnosti. S výhledem budoucích problémů spojených s odpovědností v případě nehody nebo na porušování práv duševního vlastnictví bude proto třeba přijmout nové právní normy na úrovni EU nebo normy stávající přizpůsobit specifické otázce 3D.

Vysvětlující prohlášení zde připomíná, že již v současnosti se otvírá mnoho způsobů, jak řešit otázky týkající se práv duševního vlastnictví a občanskoprávní odpovědnosti. Měla by se vytvořit globální databáze vytisknutých předmětů s cílem kontrolovat reprodukce trojrozměrných předmětů chráněných autorským právem? Měla by se stanovit právní omezení počtu kopií trojrozměrných předmětů pro osobní potřebu s cílem zabránit nezákonnému kopírování? Měla by se zavést daň z 3D tisku s cílem kompenzovat škodu, která držitelům práv duševního vlastnictví vznikne kopírováním 3D předmětů pro osobní potřebu? Legislativní reakce se bude muset v každém případě vyvarovat zdvojování pravidel a zohledňovat návrhy, o nichž se již jedná. Je třeba, aby zákon inovaci doprovázel, aniž by však pro ni představoval brzdu nebo překážku.

Na základě uvedených východisek Evropský parlament přijal předmětné usnesení, v němž vyzval Komisi k akci v předmětné problematice. Zdůraznil přitom zejména:

Usnesení závěrem zdůrazňuje, že je důležité vytvořit jednotný právní rámec, který zajistí harmonický přechod a právní jistotu pro spotřebitele i podniky za účelem podpory inovací v EU.

Je zřejmé, že problematika volného pohybu údajů je mnohem širší, než se jevila při projednávání obecného nařízení o ochraně osobních údajů, které v podstatě danou problematiku spíše otevřelo. Šíře problematiky se ukazuje při schválení nařízení o volném pohybu neosobních údajů, ale také dalších předpisů, které s danou problematikou souvisejí – v poslední době jde o zmíněný podnět Evropského parlamentu k regulaci 3D tisku.

Je zřejmé, že právní regulace se stále více nachází na půdě informačních a komunikačních technologií, které zahrnují široké spektrum technologií od informačních technologií (IT) přes telekomunikace, vysílací média, různé druhy zpracování a přenosu audio- a videoobsahu až po kontrolní a monitorovací funkce založené na využívání sítí. V posledních třech desetiletích se v důsledku „konvergence technologií“ stírají hranice mezi telekomunikací, vysílacími službami a informačními technologiemi.

Ve snaze reagovat na tyto rozmanité otázky otevřela Komise v roce 2015 politický program jednotného digitálního trhu s cílem realizovat hlavní legislativní návrhy, které byly stanoveny jako priorita, např. týkající se podpory růstu a rozvoje elektronického obchodu, dále autorského práva, audiovizuálních služeb, přezkumu předpisů v oblasti telekomunikací, ochrany soukromí v odvětví elektronických komunikací, harmonizace digitálních práv, dostupnosti zásilkových služeb, harmonizovaných pravidel DPH a kybernetické bezpečnosti. Je nepochybné, že budoucnost přinese nejen formulaci nových otázek, ale rovněž i stanovení nových legislativních opatření. Ochrana údajů a s ní spojená bezpečnost bude přímým důsledkem těchto legislativních snah, a to včetně nové politické reprezentace EU po volbách do Evropského parlamentu v příštím roce.

Mgr. PETER MIŠÚR (red.)