Magda Komínková, psáno Euroskop, 27. 3. 2018
Nařízení o ochraně osobních údajů, označované jako GDPR (General Data Protection Regulation), které vstoupí v účinnost 25. května 2018, vzbudilo silný mediální zájem a pozornost veřejnosti. Ochrana osobních údajů ale není v EU novinkou. Přečtěte si náš dvoudílný seriál, v kterém se dozvíte, jak nová legislativa na ochranu osobních údajů vznikala a co přinese firmám a občanům.
Nová právní úprava má přinést změny zejména malým a středním firmám a panuje kolem ní řada obav, nejasností a také polopravd. Ze všech stran můžeme slyšet, že GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU. A to včetně společností a institucí mimo území Unie, které působí na evropském trhu. Díky formě legislativního aktu, kterým je nařízení, budou pravidla uplatňována jednotně v celé EU.
Strach z nového nařízení se nejčastěji týká vysokých pokut. Kdo ovšem dodržuje platná pravidla, neměl by mít s novou legislativní úpravou vážnější problémy. GDPR budí zájem z velké části proto, že je to jedno z nařízení, které pocítí velká skupina obyvatel.
Cesta k přijetí nové legislativy
Jak již bylo řečeno, ochrana osobních údajů není v rámci evropské legislativy ničím novým. Do května 2018 je platná směrnice 95/46/ES o ochraně údajů z roku 1995. Zaměřovala se na dva cíle: chránit základní právo na ochranu údajů a zaručit volný pohyb osobních údajů mezi členskými státy.
Směrnice byla doplněna rámcovým rozhodnutím Rady (2008/977/SVV), které jako obecný nástroj na úrovni Unie upravuje ochranu osobních údajů v oblasti policejní a justiční spolupráce v trestních věcech. Stávající směrnice vstoupila v platnost před více jak dvaceti lety, kdy neexistovaly sociální sítě, cloudová úložiště apod. Technologický pokrok v posledních letech přinesl řadu nových výzev týkajících se ochrany osobních údajů, a proto bylo nutné vypracovat novou legislativní úpravu.
Největším problém platné legislativy je tedy její zastaralost. Dalším důvodem pro jednání o novém aktu byla zjištění, že tajné služby některých států mimo evropský prostor shromažďovaly údaje o občanech EU.
Osobní data jsou velmi žádanou a strategicky významnou komoditou. Někteří přirovnávají data k ropě. Mnohem vhodnější je však přirovnání ke vzduchu, neboť data jsou stejně jako vzduch nevyčerpatelná. Občané si ještě stále neuvědomují, jak z jich osobních dat, která jsou nedílnou součást osobní identity, mohou někteří profitovat.
Potřeba úpravy stávajícího legislativního rámce je zakotvena také v Lisabonské smlouvě. V čl. 16 Smlouvy o fungování EU je uvedeno, že „každý má právo na ochranu osobních údajů, které se jej týkají“. Dále smlouva explicitně uvádí, že „Evropský parlament a Rada přijmou řádným legislativním postupem pravidla o ochraně fyzických osob při zpracování osobních údajů…“. Navíc v čl. 8 Listiny základních práv EU je ochrana osobních údajů zakotvena jako základní právo.
Možnost revize stávajícího právního rámce tedy vyplývá přímo i z primárního práva. V souladu s běžnou praxí Evropská rada vyzvala Komisi, aby zhodnotila fungování nástrojů EU pro ochranu osobních údajů. Návrhy možných řešení se objevily ve Stockholmském programu. Následně v listopadu 2010 Komise ve svém sdělení Komplexní přístup k ochraně osobních údajů v Evropské unii uvedla, „že pokud jde o základní právo na ochranu osobních údajů, potřebuje EU komplexnější a jednotnější politiku“. I zde byly uvedeny jako hlavní důvody úpravy, technologický rozvoj a nutnost zohlednit rozvoj digitální ekonomiky na celém vnitřním trhu EU.
Stejně jako u většiny významnějších revizí, proběhla i tentokrát veřejná konzultace. O přezkumu stávajícího právního rámce se v rámci konzultací jednalo více než dva roky. Veřejná konzultace proběhla ve dvou fázích:
1) Konzultace o právním rámci pro základní právo na ochranu osobních údajů probíhala od 9. července do 31. prosince 2009. Komise obdržela 168 odpovědí, z toho 127 od jednotlivých osob, obchodních organizací a sdružení a 12 od orgánů veřejné moci.
2) Konzultace o komplexním přístupu Komise k ochraně osobních údajů v EU probíhala od 4. listopadu 2010 do 15. ledna 2011. Komise obdržela 305 odpovědí, z toho 54 odpovědí od občanů, 31 od orgánů veřejné moci a 220 od soukromých organizací, zejména obchodních sdružení a nevládních organizací.
Mimo to proběhly také cílené konzultace se zúčastněnými stranami; kulaté stoly o reformě ochrany údajů, konference na vysoké úrovni, tematické workshopy a semináře o konkrétních otázkách. Konzultace s občany EU proběhla také prostřednictvím průzkumu Eurobarometr v listopadu a prosinci 2010.
Evropský parlament schválil v rámci usnesení v červenci 2011 zprávu, ve které podpořil činnost Komise k reformě rámce pro ochranu údajů. Následně Rada EU přijala v únoru 2011 závěry, ve kterých podpořila snahu Komise o tuto reformu. Evropský hospodářský a sociální výbor obdobně podpořil cíl Komise sjednotit pravidla uplatňování.
Většina zúčastněných stran během konzultací souhlasila se stávajícími pravidly, nicméně také uvedla, že je potřeba reagovat na rychlý vývoj nových technologií (především online) a rostoucí globalizaci. Obecné a technické nastavení právního rámce mělo být ovšem zachováno. Kriticky se zúčastnění vyjádřili ke stávající nejednotnosti, zejména pak ze strany hospodářských subjektů. Jako problematická byla zhodnocena také složitost pravidel týkajících se mezinárodního předávání osobních údajů.
Komise po řadě jednání představila návrh o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) 25. ledna 2012. Před konečným přijetím návrhu byl dokument v průběhu čtyř let několikrát projednáván v institucích EU. Nejvíce se nový legislativní akt projednával mezi členskými státy v Radě EU (viz obrázek níže).
Z dlouhé přípravy právního aktu a z níže uvedeného jasně vyplývá, že se jedná o významnou, ale také kontroverzní změnu, která se přímo dotkne většiny občanů EU.
Projednávání návrhu GDPR
Zdroj: Evropská komise
V průběhu června 2015 dosáhla Rada po mnoha kolech jednání obecného přístupu. Obecný přístup znamená, že Rada dosáhla politické dohody, na jejímž základě mohla zahájit jednání s Parlamentem.
Lotyšský ministr spravedlnosti Dzintars Rasnačs : „Jsem velmi rád, že po více než tříletém jednání jsme konečně dospěli ke kompromisnímu znění. Nové nařízení o ochraně údajů přizpůsobené potřebám digitální éry posílí individuální práva našich občanů a zajistí vysokou úroveň ochrany.“
Dohody mezi Radou, Parlamentem a Komisí bylo v rámci trialogu dosaženo 15. prosince 2015. Následně Coreper 18. prosince 2015 potvrdil kompromisní znění dohodnuté po jednání s Parlamentem. Dle požadavků Evropské rady bylo dohody dosaženo do konce roku 2015. Na začátku dubna 2016 na základě doporučení Výboru pro občanské svobody, spravedlnost a vnitřní věci pro druhé čtení schválil Parlament postoj Rady v prvním čtení bez pozměňovacích návrhů. A k finálnímu podpisu došlo 27. dubna 2016.
Zajímá Vás, co vše nová legislativa přinese? Informace o tom najdete v druhé části analýzy na Euroskopu!
Autor: Magda Komínková, psáno pro Euroskop
