GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
1. Hlavní kontroverze i přínosy
návrhu unijní úpravy ochrany osobních
údajů – návrhy EDRi, Art. 29 WP a EDPS
Helena Svatošová
Iuridicum Remedium
2. I. Nepřehledné výjimky tříští smysl
➲ Soukromí správci s výjimkou osobního užití a s
výjimkou služeb elektronických komunikací
(komunikace, poloha) a výjimkou plošného
záchytu komunikace celé populace
➲ Správci veřejnoprávní s výjimkou EU a jejích
orgánů s výjimkou SBZP s výjimkou justice
(návrh Law Enforcement Data Protection Directive)
s výjimkou národní bezpečnosti (mimo oblast EU
práva)
➲ Návrh = podřídit vše nařízení, které je vhodný
nástroj, zrušit výjimky (např. ohledně EU i návrh
JURI)
3. I. Nepřehledné výjimky tříští smysl
➲ čl. 85 církve – výjimky z dohledu DPA mají-li vlastní
pravidla OÚ – tuto výjimku zrušit
➲ čl. 80 prostor pro výjimky ve prospěch svobody projevu –
žurnal., uměl. - zvážit, upřesnit např. žurnalistické účely
➲ SME´s – stanovit jasně, že výjimky platí jen pro část jejich
povinností, ne pro práva subjektu údajů
4. II. Paralelní matoucí právní úpravy
I. e-Privacy směrnice, data retention směrnice
- neodůvodněné mezery mezi službami el.
komunikací a jinými službami, brzda reakce na
vývoj technologií
- návrh nahradit DR směrnici úpravou respektující
judikaturu ECHR i Chartu základních práv
- v mezidobí podřídit úpravě v nařízení a prohlásit za
neplatná ustanovení, která jsou s ním v rozporu
II. směrnice o elektronickém obchodu
- vyjasnit odpovědnost zprostředkovatele
5. III. Průlomy do základních zásad
1. Bezbřehé výjimky v případě „legitimního zájmu“
- vyjmout přímý marketing jako legitimní zájem (odpovídá
směrnici o službách informační společnosti
- vložit právo nesouhlasu (zdarma, účinný, stejným kanálem) s
každým zpracování na základě „legitimního zájmu“
2. Dovoluje použít data k jinému účelu než získán
souhlas
- zrušit, není důvod, - dtto navrhuje EDPS, Art. 29 WP
3. Legitimní zájem též dovoluje volný tok OÚ do
třetích zemí (i od soukromých subjektů k orgánům
veřejné moci) – zrušit
6. Přínosné prvky úpravy
I. Požadavky na souhlas subjektu údajů
- výslovně stanovit, že souhlas může být jen komisivní
- doplnit definici „významné nerovnováhy“ stran, aby
pokrývala realitu
II. Potvrzení pozice DPA´s a evropské Rady ochrany
OÚ
- vyloučit možnost jmenování členů vládou
- požadavek na technickou a expertní složku
- zrušit možnost Komise vydat závazný názor pro DPA´s
III. Práva subjektů údajů
- RTBF, přenositelnost dat (-open source, ne obvyklý)
- přidat též hromadná podání
7. Přínosné prvky úpravy
IV. Deklarace možnosti řešení privacy by default a
privacy by design
- doplnit definici („organizační a technické opatření
integrované ve výrobcích a službách“)
- stanovit jako základní povinnost (např. zákaz vyloučit
užívání služby pod pseudonymem)
V. Povinnosti v zabezpečení OÚ
- výslovná odpovědnost správce za analýzu rizik a
opatření, 72 hodin na nahlášení incidentu, upřesnit
výjimky z DPIA a výslovně stanovit, že DP officer
nezbavuje správce odpovědnosti
8. Reakce na nové technologie a
postupy
I. Profilování
- zejména pomocí cookies, IP adres, ale i SPZ, údajů o
SIM, RFID čipy...(screening uchazečů o místo, trestní
politika, jiná „bodování“)
Problémy: 1.algoritmus je subjektu údajů neznámý
(obch. tajemství) – vede k nedůvěře a
netransparentnosti 2. značné riziko diskriminiace
(přístup ke službám, cenzura obsahu apod. 3. riziko
chyb při automatizovaném rozhodování
- zpřesnit definici, aby dopadlo na on- i offline profiling
- definovat elektronické identifikátory vždy jako OÚ
- zavést právo na informace o metodě profilování a právo na vysvětlení kde je lidský
faktor
- zákaz profilování na základě citlivých OÚ v soukromém sektoru
- prokázat DPA, že metoda profilování je nediskriminující
9. Reakce na nové technologie a
postupy
II. Online komunity – návrh zpřesnění výjimky „užití pro
osobní účely“ (= nesmí být zpřístupněn mimo osobní sféru)
III. OÚ v cloudech (v jurisdikci třetí strany)
- dodat souhlas DPA (byl v dřívější verzi návrhu) čl. 42
- riziko např. USA Foreign Intelligence Surveillance Act, čl. 1881