Kľúčové zistenia preskúmania GDPR: Občania majú silnejšie postavenie a sú viac informovaní o svojich právach

Európska komisia – len niečo vyše dva roky po tom, ako sa začalo uplatňovať všeobecné nariadenie o ochrane údajov (tzv. GDPR) – o tomto nariadení uverejnila hodnotiacu správu. V správe sa konštatuje, že GDPR splnilo väčšinu vytýčených cieľov, a to najmä tak, že ponúka občanom komplexný súbor vymáhateľných práv a že sa ním vytvoril nový európsky systém správy, riadenia a presadzovania právnych predpisov. Nariadenie GDPR sa ukázalo ako flexibilný nástroj podpory digitálnych riešení v nepredvídateľných situáciách, ako je napríklad kríza spôsobená ochorením COVID-19. V správe sa zároveň konštatuje, že miera harmonizácie v jednotlivých členských štátoch rastie, hoci stále existuje určitý stupeň fragmentácie, ktorú treba neustále monitorovať.

Správa obsahuje aj zistenie, že podniky si postupne osvojujú kultúru dodržiavania právnych predpisov a čoraz častejšie využívajú prísnu ochranu údajov ako svoju konkurenčnú výhodu. Správa obsahuje zoznam opatrení, ktoré majú všetkým zainteresovaným stranám – a najmä malým a stredným podnikom – ešte viac uľahčiť uplatňovanie GDPR s cieľom podporiť skutočne európsku kultúru ochrany údajov a razantné presadzovanie predpisov.

Podpredsedníčka pre hodnoty a transparentnosť Věra Jourová v tejto súvislosti povedala: „Európsky režim ochrany osobných údajov sa stal akýmsi kompasom, ktorý nás pri rešpektovaní ľudského rozmeru prevedie digitálnou transformáciou a ktorý je dôležitým pilierom, na ktorom staviame ďalšie politiky, ako napríklad stratégiu v oblasti údajov alebo náš prístup k umelej inteligencii. GDPR je dokonalým príkladom toho, ako Európska únia na základe prístupu zohľadňujúceho základné práva posilňuje postavenie svojich občanov a poskytuje podnikom príležitosti na čo najlepšie využívanie digitálnej revolúcie. Zároveň však v úsilí nesmieme poľavovať, aby sme dokázali využiť plný potenciál nariadenia GDPR.“

Komisár pre spravodlivosť Didier Reynders v tejto súvislosti uviedol: „Nariadenie GDPR úspešne splnilo svoje ciele a v celosvetovom meradle sa stalo referenčným bodom pre krajiny, ktoré chcú svojim občanom priznať vysokú úroveň ochrany. Aj tak však môžeme dosiahnuť viac, o čom sa hovorí aj v dnešnej správe. Potrebujeme napríklad dosiahnuť to, aby sa príslušné pravidlá v celej únii uplatňovali jednotnejším spôsobom, čo má veľký význam pre občanov i podniky, najmä MSP. Zároveň musíme zabezpečiť, aby si občania mohli v plnej miere uplatňovať svoje práva. Komisia bude v úzkej spolupráci s Európskym výborom pre ochranu údajov a v rámci pravidelnej komunikácie s členskými štátmi monitorovať pokrok v tejto oblasti, aby GDPR naplno realizovalo svoj potenciál.“

Kľúčové zistenia preskúmania GDPR

Občania majú silnejšie postavenie a sú viac informovaní o svojich právach: Nariadením GDPR sa posilňuje transparentnosť a fyzickým osobám sa poskytujú vymožiteľné práva, ako napríklad právo prístupu k údajom, právo na ich opravu či vymazanie, právo namietať voči nim a právo na prenosnosť údajov. K dnešnému dňu počulo o GDPR 69 % obyvateľov EÚ vo veku nad 16 rokov, pričom 71 % osôb už počulo aj o svojom vnútroštátnom orgáne pre ochranu osobných údajov. Vyplýva to z výsledkov prieskumu Agentúry EÚ pre základné práva, ktoré boli uverejnené minulý týždeň. V snahe pomôcť občanom pri uplatňovaní ich práv – najmä práva na prenosnosť údajov – však možno urobiť ešte viac.

• Pravidlá ochrany údajov sú pripravené na digitálny vek: Nariadenie GDPR posilnilo postavenie fyzických osôb tak, že teraz môžu zohrávať aktívnejšiu úlohu vo vzťahu k tomu, čo sa v priebehu digitálnej transformácie deje s ich osobnými údajmi. Zároveň to prispieva k podpore dôveryhodných inovácií, najmä prostredníctvom prístupu založeného na riziku a takých zásad, ako sú špecificky navrhnutá a automatická ochrana údajov.
• Orgány pre ochranu osobných údajov už využívajú svoje posilnené právomoci v oblasti nápravy: Nariadenie GDPR poskytuje vnútroštátnym orgánom pre ochranu osobných údajov tie správne nástroje na presadzovanie pravidiel – od varovaní cez upomienky až po administratívne pokuty. Tieto nástroje však musia mať primeranú oporu v podobe nevyhnutných ľudských, technických a finančných zdrojov. Mnohé členské štáty už v tejto oblasti začali konať a výrazne navyšujú rozpočtové prostriedky a počty pracovníkov. V rozmedzí rokov 2016 až 2019 došlo v EÚ celkovo k 42-percentnému zvýšeniu počtu pracovníkov a 49-percentnému navýšeniu rozpočtu všetkých vnútroštátnych orgánov pre ochranu osobných údajov. Medzi jednotlivými členskými štátmi sú však výrazné rozdiely.
• Orgány pre ochranu osobných údajov spolupracujú v kontexte Európskeho výboru pre ochranu údajov (EDPB), ale stále je čo zlepšovať: Nariadenie GDPR vytvorilo inovatívny systém správy a riadenia, ktorý je navrhnutý tak, aby zabezpečoval konzistentné a účinné uplatňovanie GDPR prostredníctvom tzv. jednotného kontaktného miesta, ktoré bude podľa tohto nariadenia pôsobiť pre spoločnosť spracúvajúcu údaje na cezhraničnom základe ako jediný kontaktný orgán pre ochranu osobných údajov – konkrétne orgán členského štátu, v ktorom sa nachádza ústredie danej spoločnosti. V období od 25. mája 2018 do 31. decembra 2019 bolo prostredníctvom jednotného kontaktného miesta predložených 141 návrhov rozhodnutí, z ktorých 79 viedlo k prijatiu konečných rozhodnutí. V snahe dosiahnuť skutočne jednotnú kultúru ochrany údajov však možno urobiť viac. Ak majú orgány pre ochranu osobných údajov – najmä pri riešení cezhraničných prípadov – lepšie spolupracovať, vyžaduje si to efektívnejší a harmonizovanejší prístup a účinné využívanie všetkých nástrojov, ktoré sú k dispozícii v rámci GDPR.

• Poradenstvo a usmernenia orgánov pre ochranu osobných údajov: EDPB vydáva usmernenia týkajúce sa kľúčových aspektov nariadenia a novovznikajúcich otázok. Niekoľko orgánov pre ochranu osobných údajov vytvorilo nové nástroje vrátane liniek pomoci pre jednotlivcov a podniky a súbory nástrojov pre malé podniky a mikropodniky. Je nevyhnutné zabezpečiť, aby usmernenia poskytované na vnútroštátnej úrovni boli v plnom súlade s usmerneniami, ktoré prijal EDPB.
• Realizácia plného potenciálu medzinárodného prenosu údajov: Medzinárodný záväzok Komisie v oblasti voľného a bezpečného prenosu údajov priniesol za posledné dva roky dôležité výsledky. Patrí sem aj Japonsko, s ktorým teraz EÚ zdieľa celosvetovo najväčšiu oblasť voľného a bezpečného toku údajov. Komisia bude so svojimi partnermi na celom svete naďalej spolupracovať v oblasti primeranosti údajov. Popri tom a v spolupráci s EDPB sa Komisia zameriava aj na modernizáciu ďalších mechanizmov prenosu údajov vrátane štandardných zmluvných doložiek, ktoré sú najčastejšie používaným nástrojom prenosu údajov. EDPB pracuje na osobitných usmerneniach týkajúcich sa využívania certifikácie a kódexov správania pre prípady prenosu údajov mimo EÚ, ktoré treba čo najskôr dokončiť. Vzhľadom na to, že v rozsudku, ktorý sa očakáva 16. júla a ktorý by mohol byť relevantný pre určité prvky normy primeranosti, môže Európsky súdny dvor uviesť určité objasnenia, Komisia predloží samostatnú správu o existujúcich rozhodnutiach v oblasti primeranosti po tom, ako Súdny dvor vynesie tento rozsudok.
• Presadzovanie medzinárodnej spolupráce: Komisia za posledné dva roky zintenzívnila bilaterálny, regionálny a multilaterálny dialóg, ktorým sa snaží podporovať globálnu kultúru rešpektovania súkromia a konvergencie medzi rôznymi systémami ochrany súkromia v prospech občanov i podnikov. Komisia sa zaviazala pokračovať v tejto práci v rámci svojej širšej vonkajšej činnosti, napríklad v kontexte partnerstva Afriky a EÚ a v rámci svojej podpory medzinárodných iniciatív, ako napríklad „Data Free Flow with Trust“ (Spoľahlivý voľný tok údajov). V dobe, keď môže mať porušovanie pravidiel ochrany súkromia vplyv na mnohých jednotlivcov vo viacerých častiach sveta súčasne, nastáva čas zintenzívniť medzinárodnú spoluprácu medzi orgánmi presadzovania ochrany údajov. Práve preto Komisia požiada Radu o povolenie začať s príslušnými tretími krajinami rokovania o uzavretí dohôd o vzájomnej pomoci a spolupráci v oblasti presadzovania právnych predpisov.

Uvedenie práva EÚ do súladu so smernicou o presadzovaní práva

Komisia navyše uverejnila aj oznámenie, v ktorom sa uvádza desať právnych aktov, ktoré upravujú spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania a trestného stíhania, ktoré by mali byť uvedené do súladu so smernicou o presadzovaní práva v oblasti ochrany údajov. Ich uvedením do súladu sa dosiahne právna istota a objasnia sa otázky, ako napríklad účely spracúvania osobných údajov príslušnými orgánmi a aké druhy údajov môžu byť predmetom takéhoto spracúvania.

Súvislosti

Vo všeobecnom nariadení o ochrane údajov (GDPR) sa stanovuje, že Komisia má podávať správy o hodnotení a preskúmaní tohto nariadenia, pričom prvá správa sa má predložiť dva roky po začiatku uplatňovania nariadenia a následné správy majú nasledovať každé štyri roky.

Všeobecné nariadenie o ochrane údajov je jednotný súbor právnych predpisov EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Posilňujú sa ním záruky v oblasti ochrany osobných údajov, fyzickým osobám sa poskytujú dodatočné a silnejšie práva a zvyšuje sa transparentnosť a miera zodpovednosti všetkých subjektov, ktoré spracúvajú osobné údaje. Nariadenie dalo vnútroštátnym orgánom pre ochranu osobných údajov k dispozícii silnejšie a harmonizovanejšie právomoci v oblasti presadzovania právnych predpisov a na základe neho došlo medzi orgánmi pre ochranu osobných údajov k vytvoreniu nového systému správy a riadenia. Zároveň sa ním vytvárajú rovnaké podmienky pre všetky spoločnosti pôsobiace na trhu EÚ bez ohľadu na to, kde majú sídlo, zabezpečuje sa voľný tok údajov v rámci EÚ, uľahčuje bezpečný medzinárodný prenos údajov a samotné nariadenie sa na medzinárodnej úrovni stalo referenčným pojmom.

Ak sa uvádza v článku 97 ods. 2 nariadenia GDPR, uverejňovaná správa sa týka najmä medzinárodného prenosu údajov a „mechanizmu spolupráce a konzistentnosti“, hoci Komisia vo svojom preskúmaní zaujala širší postoj, aby sa venovala aj otázkam, ktoré v priebehu posledných dvoch rokov nastolili rozliční aktéri. Patria sem príspevky Rady, Európskeho parlamentu, EDPB, vnútroštátnych orgánov pre ochranu osobných údajov a zainteresovaných strán.