fb
IT Systems 1-2/2019 IT právo 7. 3. 2019 9:00

EU stanovila podmínky pro nakládání s „neosobními“ údaji a jejich přenos

GDPRV listopadu 2018 nabylo platnosti nové nařízení o rámci pro volný tok neosobních údajů v Evropské unii (Nařízení Evropského Parlamentu a Rady (EU) 2018/1807 ze dne 14. listopadu 2018, dále jen „Nařízení“), které má za cíl zajistit podmínky pro odstranění omezení mobility zpracování neosobních údajů mezi jednotlivými členskými zeměmi EU i mezi poskytovateli zpracovatelských služeb.

Evropská právní regulace nakládání s osobními údaji, do níž v loňském roce významně zasáhlo Obecné nařízení o ochraně osobních údajů (tzv. GDPR), je notoricky známá. Uvedené nařízení detailně upravuje jednotlivé povinnosti správců a zpracovatelů v oblasti činností zpracování osobních údajů, jejich zabezpečení, povinnosti vůči dozorovým úřadům i vůči subjektům údajů a další. Nařízení pochopitelně mimo jiné definuje samotný pojem „osobního údaje“. Všude kolem nás však zároveň dochází ke zpracování obrovských objemů elektronických dat, které definici „osobního údaje“ nenaplňují, a které se tudíž nachází mimo působnost GDPR. Tato data jsou z principu snadno přenositelná, mohou být zpracovávána v zahraničí a lze je přenášet mezi různými poskytovateli. I zpracování takových údajů si zaslouží právní regulaci – s ohledem na objemy těchto dat možná ještě více, než jakou vyžaduje zpracování osobních údajů.

Hlavní překážky zpracování ne-osobních údajů

Proč je vlastně regulace nakládání s ne-osobními údaji zapotřebí? V odůvodnění Nařízení je proces nakládání s údaji, pojmenovaný jako „hodnotový řetězec údajů“, rozdělen na fáze jako jsou vytváření a shromažďování; agregace a organizování; zpracování, analýza, uvádění na trh a šíření a jejich používání. Přitom tím hlavním základním stavebním kamenem je „účinně a efektivně fungující zpracování údajů“, které je službou, na kterou se vztahuje standardní svoboda usazování a volný pohyb služeb podle Smlouvy o fungování Evropské unie. Této mobilitě zpracování údajů v rámci vnitřního trhu jsou však doposud kladeny dva druhy překážek – jednak to jsou požadavky na tzv. lokalizaci zpracování údajů, stanovené orgány členských států, a jednak to jsou proprietární uzamčení (tzv. „vendor lock-in“) v soukromém sektoru.

Lokalizace zpracování údajů je jedním z nejvýznamnějších pojmů, s nímž Nařízení operuje, přičemž znamená jakýkoli požadavek vyplývající z právních předpisů členských států nebo i z jiných pravidel nebo ze správní praxe na to, aby byly údaje pro účely zpracování umístěny v určité zeměpisné oblasti nebo na určitém území, nebo který zpracování údajů mimo určitou zeměpisnou oblast nebo území v rámci Unie znesnadňuje (výslovně jsou jako příklad zmíněny požadavky na použití technických prostředků, které jsou certifikovány nebo schváleny v konkrétním členském státě).
Za proprietární uzamčení se pak ve smyslu obecně známého označení „vendor lock-in“ považují právní a zejména technické překážky, které uživatelům služeb zpracování údajů znesnadňují nebo znemožňují přenést své údaje od jednoho poskytovatele služeb k jinému nebo zpět do svých vlastních informačních systémů, a to nejen při ukončení smlouvy s poskytovatelem služeb.

Výsledkem aplikace těchto překážek je dle Nařízení nedostatečná konkurence mezi poskytovateli cloudových služeb v rámci Unie, rozmanitost proprietárních uzamčení, problémy s mobilitou údajů a omezení možností spolupráce výzkumných a vývojářských společností. Cílem Nařízení není omezovat smluvní svobodu jednotlivých soukromých subjektů, ale zajistit, aby právní prostředí umožňovalo umístění zpracování údajů kdekoli v Unii.

Co je to ne-osobní údaj a jeho zpracování

Ne-osobní údaj je definován negativním odkazem na GDPR, když se jedná o veškeré údaje, které nejsou osobními údaji, jak je definuje čl. 4 bod 1 GDPR. Připomeňme si, že osobní údaje jsou tímto ustanovením definovány jako informace, pomocí nichž lze přímo či nepřímo identifikovat konkrétní fyzickou osobu zejména odkazem na určitý identifikátor, jakým je například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo další údaje. Za osobní údaje jsou mimo jiné považovány i biometrické údaje, údaje o preferencích včetně uživatelských údajů uložených v nejrůznějších on-line službách, včetně těch, které sice samy o sobě konkrétní osobu neidentifikují, ale ve spojení s dalšími údaji už ano. Jako nejzásadnější zdroje ne-osobních údajů Nařízení uvádí především strojové učení, internet věcí nebo umělou inteligenci, přičemž spektrum ne-osobních údajů je nesmírně široké - půjde např. o technická data z nejrůznějších výrobních strojů a zařízení, analytická data týkající se počasí nebo dopravy, ekonomická data bez vazby na konkrétní fyzické osoby apod.

Zpracováním údajů se rozumí jakákoli operace nebo soubor operací s údaji nebo se soubory údajů v elektronické podobě, prováděná pomocí či bez pomoci automatizovaných postupů. Například jsou vypočteny operace jako shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení údajů. Kdo zná GDPR, napadne ho, že tato definice je vlastně shodná s tím, jak GDPR definuje pojem „zpracování osobních údajů“, včetně výčtu jednotlivých operací zpracování. To je téměř pravda, nicméně je zde jedna podstatná odlišnost – zatímco GDPR zpracování nijak neomezuje podobou údajů (elektronickou či listinnou), Nařízení tak činí, když pojem „zpracování“ výslovně vztahuje pouze na ne-osobní údaje v elektronické podobě. Dat, která nejsou zpracovávána elektronicky, se Nařízení nedotýká.

Shodně s výkladem pojmu „zpracování“ ve vztahu k osobním údajům je pak nutno uvést, že se i ve vztahu k údajům ne-osobním musí jednat o činnost, prováděnou systematicky, nikoliv pouze nahodile. Nařízení výslovně požaduje, aby bylo aplikováno na co nejširší spektrum služeb zpracování ne-osobních údajů, od služby uložení údajů v rámci úrovně Infrastructure-as-a-Service (IaaS), přes zpracování údajů v rámci platforem na úrovni Platform-as-a-Service (PaaS), až po zpracování v rámci aplikací na úrovni Software-as-a-Service (SaaS).

Na koho se Nařízení vztahuje?

Vedle výše uvedené věcné působnosti je třeba vymezit i působnost personální, tedy okruh osob, na které se Nařízení vlastně vztahuje. Nařízení personální působnost definuje jednak podle příjemců služby zpracování a jednak podle jejích poskytovatelů. Nařízení se tak vztahuje na zpracování elektronických ne-osobních údajů, které je poskytováno jako služba uživatelům, kteří mají bydliště nebo jsou usazení v Unii, bez ohledu na to, zda je v Unii usazen poskytovatel služeb. To znamená, že postačuje, aby byl samotný příjemce služby zpracování údajů usazen v Unii, a Nařízením se musí řídit i poskytovatel služby, který má sídlo například v USA (vedle toho se jím pochopitelně musí řídit i poskytovatel, který má rovněž sídlo v Unii).

Dále se Nařízení vztahuje na zpracování, prováděné fyzickou nebo právnickou osobou, která má bydliště nebo je usazena v Unii, pro její vlastní potřebu. Subjekt, provádějící na území Unie zpracování svých vlastních ne-osobních údajů (který tedy neposkytuje zpracování jako službu pro jinou osobu) se tedy Nařízením musí řídit také. Z uvedeného vymezení vyplývá, že se Nařízení nebude vztahovat na zpracování prováděné pro subjekty, usídlené mimo EU, i když by bylo prováděno poskytovatelem, usazeným v EU. Místo bydliště nebo sídla příjemce služby zpracování je tedy základním dělícím kritériem pro aplikaci Nařízení.

Zákaz požadavků na lokalizaci údajů

Z výše uvedeného lze učinit dílčí závěr, že Nařízení považuje za klíčovou a žádoucí možnost svobodné volby poskytovatele elektronických služeb používaných ke zpracování ne-osobních dat všemožného druhu. Subjekty usídlené v Unii mají mít možnost nechat si poskytnout službu zpracování elektronických dat (např. virtuální server, cloudové úložiště, aplikaci poskytovanou formou SAAS apod.) od jakéhokoli poskytovatele dle svého výběru, bez ohledu na to, kde je tento poskytovatel usazen. Toho se má dosáhnout zrušením nebo maximálním omezením tzv. požadavků na lokalizaci údajů, vysvětlených výše.

Takovéto požadavky Nařízení plošně zakazuje s výjimkou, kdy jsou odůvodněny tzv. veřejnou bezpečností, anebo kdy vyplývají přímo ze stávajícího unijního práva. Pod pojmem „veřejná bezpečnost“ se rozumí záležitosti vnitřní i vnější bezpečnosti členského státu a ochrany obyvatelstva, zejména pokud jde o usnadnění vyšetřování, odhalení a stíhání trestné činnosti. Z příkladů, citovaných Preambulí Nařízení (závažné ohrožení chodu veřejných institucí a základních veřejných služeb a přežití obyvatelstva, rizika vážného narušení zahraničních vztahů, mírového soužití národů nebo vojenských zájmů) lze vyrozumět, že se jedná o ty nejvážnější případy ohrožení života, zdraví a bezpečnosti mnoha osob. Důležité je, že při uplatňování požadavků na lokalizaci údajů odůvodněných těmito případy veřejné bezpečnosti platí striktní zásada proporcionality - požadavek tedy musí být přiměřený sledovanému bezpečnostnímu cíli a mobilitu zpracování dat má omezovat pouze do míry, v níž je to k dosažení daného cíle nezbytné.

Uvedený zákaz požadavků na lokalizaci údajů Nařízení aplikuje jak na stávající právní předpisy členských států, tak i na předpisy nové. Ve vztahu k těm stávajícím je členským státům stanovena povinnost nejpozději do 30.5.2021 (tedy do dvou let od nabytí účinnosti Nařízení) zrušit veškeré požadavky stanovené v právních předpisech, které nejsou v souladu s výše uvedenými výjimkami. Pokud se členský stát domnívá, že konkrétní požadavek spadá do některé z výjimek (tedy zejména že je odůvodněn veřejnou bezpečností daného státu), pak důvody pro jeho zachování v platnosti sdělí ve stejné lhůtě Evropské Komisi, která do 6 měsíců od přijetí tohoto sdělení existenci tohoto důvodu potvrdí nebo nikoliv. Ve vztahu k novým předpisům se členským státům stanoví povinnost neprodleně sdělit Evropské Komisi každý návrh právního předpisu, kterým se zavádí nový požadavek na lokalizaci údajů. Takové sdělení se pak posuzuje v souladu se Směrnicí č. 2015/1535 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti. Je nutno dodat, že uvedená oznamovací povinnost se vztahuje na právní akty obecně závazné povahy, nikoliv na individuální rozhodnutí vydávaná v konkrétních řízeních.

Podle informačního dokumentu, vydaného k návrhu Nařízení Parlamentním institutem Poslanecké sněmovny ČR v lednu 2018 v současné době neexistuje žádný požadavek (tedy právní či správní předpis nebo správní praxe), který by byl v rozporu s Nařízením, tedy který by obsahoval požadavek na lokalizaci údajů tak, jak je Nařízení definuje. Je tedy zřejmé, že v rámci notifikační povinnosti vztahující se na stávající předpisy nebude Česká republika notifikovat žádný případ rozporu s požadavky Nařízení.

Dostupnost údajů pro kontrolující orgány

Pokud dochází k rušení omezení zabraňujících zpracovávání neosobních údajů mimo konkrétní členský stát, je zapotřebí zajistit podmínky k tomu, aby byly zpracovávané údaje dostupné těm orgánům, které k nim podle vnitrostátních právních předpisů mají mít přístup (pro inspekci a audit za účelem regulační kontroly či dozoru). V rámci ČR lze jako příklad uvést oprávnění Státní zemědělské a potravinářské inspekce (SZPI) kontrolovat evidenční knihu vstupů a výstupů produktů v odvětví vína ve smyslu Nařízení č. 1308/2013, která může být daným provozovatelem vedena i v elektronické podobě. Na straně těchto orgánů panuje v současné době obava z toho, že v případě potřeby nebudou mít k údajům přístup právě proto, že jsou zpracovávány v jiném členském státě, tedy mimo jejich územní působnost. Přístupu oprávněných orgánů k údajům nesmí bránit to, že jsou údaje zpracovávány v jiném státě.

Tedy v situacích, kdy právo členského státu nebo právo Unie zakládá některému orgánu možnost požadovat přístup ke zpracovávaným údajům na soukromé osobě (viz výše uvedený případ kontroly ze strany SZPI), a tyto údaje jsou zpracovávány v jiném členském státě, může se orgán domáhat přístupu na příslušném orgánu státu, v němž jsou údaje zpracovávány. To platí samozřejmě až tehdy, kdy povinná osoba orgánu přístup k údajům neposkytne. V tomto ohledu Nařízení doporučuje, aby byl přístup oprávněným orgánům k datům zajištěn konkrétními podmínkami mezi uživatelem služby zpracování a jejím poskytovatelem. Lze tedy očekávat, že toto doporučení se odrazí i v čistě soukromoprávní smluvní úpravě mezi poskytovateli a uživateli. Je však nutno podotknout, že Nařízení samo žádné konkrétní právo na přístup orgánu ke zpracovávaným údajům nevytváří – to může vyplývat pouze z vnitrostátních předpisů členského státu nebo z předpisů Unijních. Nařízení pouze otevírá cestu k snadnějšímu přeshraničnímu uplatňování tohoto práva.

Za účelem komunikace členských států ve věcech vztahujících se k uplatňování práva na přístup ke zpracovávaným údajům v jiném členském státu musí každý členský stát vytvořit jedno kontaktní místo, na které se mohou orgány jiných členských států obracet se žádostmi o přístup. Jednotné kontaktní místo pak bude určovat, kterého konkrétního orgánu členského státu se přijatá žádost týká, a žádost takovému orgánu předá. Takto určený orgán má pak žádost vyřídit a odpovědět na ni „bez zbytečného odkladu a ve lhůtě přiměřené naléhavosti“ (čl. 7 odst. 4 Nařízení). Jednotné kontaktní místo má dále plnit funkci poskytovatele souhrnných informací uživatelům ohledně povinností stanovených Nařízením.

Usnadnění přenosu údajů

Vedle usnadnění přeshraničního zpracování údajů a usnadnění přístupu orgánů k údajům zpracovávaným v zahraničí v zákonem stanovených případech je významným tématem Nařízení přenositelnost zpracování. GDPR stanovilo pravidla pro usnadnění přenositelnosti osobních údajů od jednoho poskytovatele zpracování k druhému. Ve vztahu k ne-osobním údajům však v současné době existuje spousta potenciálních překážek jejich snadné přenositelnosti k jinému zpracovateli (například při ukončení smlouvy), kdy zpracovatelé mají možnost s uživateli sjednat různá smluvní omezení – jedná se především o vendor lock-in omezení. Tomu se Nařízení snaží bránit tím, že podporuje (tedy nikoliv direktivně zavádí) tvorbu a aplikaci samoregulačních kodexů chování ze strany jednotlivých zpracovatelských subjektů. Komise má zajistit, aby byly tyto kodexy zpracovány ve spolupráci se všemi účastníky trhu (včetně uživatelů, poskytovatelů cloudových služeb, sdružení malých a středních podniků a dalších) a aby byla jejich příprava dokončena do 29. listopadu 2019. Do 1 roku od nabytí účinností Nařízení (do 29.5.2020) mají být kodexy již účinné, a do 29. listopadu 2022 má Komise přezkoumat jejich účinné provádění.

Kodexy mají zejména upravovat klíčové aspekty, které jsou důležité v rámci procesu přenosu údajů, jako jsou postupy zálohování a místa uložení záloh, dostupné formáty a nosiče údajů, požadované IT konfigurace a minimální přenosové rychlosti sítě, doba potřebná k zahájení procesu přenosu a doba, po kterou údaje zůstanou k dispozici pro přenos, jakož i záruky, pokud jde o přístup k údajům v případě úpadku poskytovatele služeb. Je však nutno zdůraznit, že Nařízení vendor lock-in praktiky v žádném případě nezakazuje – vytvořením standardů v podobě kodexů se spíše snaží vytvořit na poskytovatele služeb tlak, aby od těchto praktik upouštěli kvůli konkurenci jiných dodavatelů, kteří se ke kodexům připojili.

Závěr

Lze očekávat, že konkrétní dopady Nařízení na poskytování elektronických služeb spočívajících ve zpracování ne-osobních údajů budou především dva. V čistě soukromoprávní rovině budou poskytovatelé elektronických služeb patrně v rámci konkurenčního boje čelit požadavku klientů na respektování kodexů chování usnadňujících přenos údajů. V rovině veřejnoprávní budou členské státy muset zřídit jednotné kontaktní místo pro účely komunikace s oprávněnými orgány, požadujícími přístup ke zpracovávaným údajům. Mimoto bude stát nucen vyhodnocovat soulad každého nového předpisu s požadavky Nařízení, aby mohl případně Komisi notifikovat předpis, který by obsahoval požadavek na lokalizaci údajů.

Především však bude nutné, aby poskytovatelé služeb provedli analýzu zpracovávaných dat za účelem zjištění, zda se jedná o údaje ne-osobní, nebo zda obsahují i údaje osobní ve smyslu GDPR a zda jsou tyto údaje oddělitelné. Pokud osobní údaje oddělitelné nejsou, je totiž nutno vedle Nařízení použít primárně GDPR, a nalézt způsob, jakým ve vztahu k týmž datům splnit požadavky obou Nařízení – to může být ve svém důsledku tím nejtěžším úkolem.

Mgr. et Mgr. Petr Mališ, advokát
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1