Nové pokyny pro volný pohyb neosobních údajů

Nové nařízení (EU) 2018/1807 o rámci pro volný tok neosobních údajů v EU, které je součástí strategie pro jednotný digitální trh, a které je ode dne 28. května použitelné v členských státech EU, umožňuje uchovávání a zpracovávání údajů v celé EU bez neodůvodněných omezení. Zásada volného pohybu osobních údajů je už od 25. května 2018 stanovena v nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR).
Obě nařízení společně stanoví komplexní rámec pro společný evropský datový prostor a volný pohyb všech údajů v rámci EU. Cílem vydaných pokynů je pomoci uživatelům – zejména malým a středním podnikům – porozumět vzájemnému vztahu mezi tímto novým předpisem o volném toku neosobních údajů a obecným nařízením o ochraně údajů (GDPR), zejména v případech, kdy se soubory údajů skládají jak z osobních, tak i z neosobních údajů.

Účel úpravy toku neosobních údajů
Nařízení (EU) 2018/1807 o volném toku neosobních údajů vytváří právní jistotu pro podniky, které tak mohou zpracovávat své údaje kdekoli v EU, zvyšuje důvěru ve služby zpracování údajů a potírá praxi obchodních proprietárních uzamčení (tzv. vendor lock-in). Tímto způsobem se pro zákazníky rozšíří možnost volby a zlepší účinnost a podpoří zavádění cloudových technologií.

Nařízení o volném toku neosobních údajů zahrnuje tři prvky:     

– V zásadě zakazuje členským státům ukládat požadavky týkající se lokalizace údajů. Výjimky z tohoto pravidla představují pouze případy, kdy je to odůvodněno veřejnou bezpečností v souladu se zásadou proporcionality.
     – Zavádí mechanismus spolupráce, který má zajistit, aby příslušné orgány mohly i nadále vykonávat veškerá práva, která mají v oblasti přístupu k údajům zpracovávaným v jiném členském státě.
     – Motivuje odvětví, aby vypracovalo samoregulační kodexy chování týkající se změny poskytovatele služeb a přenosu údajů.  

Nařízení současně brání zemím EU zavádět právní předpisy, které by neodůvodněně vyžadovaly, aby se údaje uchovávaly výhradně na území daného státu. Jedná se o první takový právní předpis na světě. Nová pravidla tak zvyšují právní jistotu pro podniky.
Nově vydané pokyny obsahují praktické příklady, jak by se měla pravidla uplatňovat v případě, že podniky zpracovávají soubory obsahující zároveň osobní i neosobní údaje. Vysvětluje rovněž pojmy osobní a neosobní údaje, včetně smíšených souborů údajů, uvádí zásady volného pohybu údajů a odstranění požadavků na lokalizaci jak v obecném nařízení o ochraně osobních údajů, tak i v nařízení o volném toku neosobních údajů a zabývá se koncepcí přenositelnosti údajů podle nařízení o volném toku neosobních údajů. Pokyny zahrnují rovněž požadavky v oblasti samoregulace stanovené v obou nařízeních.

Vzájemné působení mezi nařízeními – smíšené soubory údajů
Záměrem nařízení o volném toku neosobních údajů je zajistit volný tok jiných než osobních údajů. Pojmu „údaje“ je třeba rozumět tak, že jde o údaje jiné než osobní údaje ve smyslu čl. 4 bodu 1 obecného nařízení o ochraně osobních údajů.

Osobní údaje: Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Neosobní údaje: Jsou údaje, které nelze podřadit pod definici osobních údajů. Mohou být zařazeny do kategorií podle původu: i) údaje, které se ani původně netýkaly identifikované nebo identifikovatelné fyzické osoby, jako jsou údaje o povětrnostních podmínkách vytvářené čidly instalovanými na větrných elektrárnách nebo údaje o potřebě údržby průmyslových strojů, ii) údaje, které původně byly osobními údaji, ale později byly anonymizovány.

Příklady neosobních údajů:
  – Údaje agregované do té míry, že už nelze identifikovat jednotlivé události (např. jednotlivé cesty do zahraničí nebo vzorce cestování, které by mohly představovat osobní údaje), lze považovat za anonymní údaje. Anonymní údaje se používají např. pro účely statistik nebo v hlášeních o odbytu (např. pro hodnocení oblíbenosti určitého výrobku a jeho vlastností).
  – Údaje o vysokofrekvenčním obchodování ve finančním sektoru nebo údaje o přesném zemědělství, které pomáhají monitorovat a optimalizovat používání pesticidů, živin a vody.

Pokud však mohou být neosobní údaje jakýmkoli způsobem vztahovány k určitému jednotlivci, v důsledku čehož jej lze přímo či nepřímo identifikovat, musí být údaje považovány za osobní údaje.  
Pokud např. zpráva o kontrole kvality na výrobní lince umožňuje vztahovat údaje ke konkrétním pracovníkům ve výrobě (např. k těm, kteří nastavují výrobní parametry), pak jsou údaje považovány za osobní údaje a vztahuje se na ně obecné nařízení o ochraně osobních údajů. Stejná pravidla platí i v případě, že technologický vývoj a analýza údajů umožňuje konvertovat anonymizované údaje na osobní údaje.  
Smíšené soubory údajů: Jsou tvořeny údaji osobními i neosobními. Smíšené soubory údajů představují v rámci ekonomiky založené na datech většinu souborů údajů a díky technologickému vývoji, jako je internet věcí (tj. digitální propojení objektů), umělá inteligence či technologie umožňující analýzu dat velkého objemu, jsou její běžnou součástí.

Příklady smíšených souborů údajů:
– daňové záznamy společnosti s uvedením jména a telefonního čísla výkonného ředitele společnosti,
– soubory údajů v bance, zejména soubory obsahující informace o klientech a podrobné údaje o transakcích, jako jsou platební služby (kreditní a debetní karty), aplikace pro řízení vztahů s partnery a úvěrové smlouvy, dokumenty obsahující směs údajů o fyzických i právnických osobách,
– anonymizované statistické údaje výzkumných institucí a shromážděné nezpracované údaje v původní podobě, jako např. odpovědi jednotlivých dotázaných na otázky v rámci statistického zjišťování,
– podniková znalostní databáze problémů v oblasti IT a jejich řešení tvořená jednotlivými hlášeními o mimořádných událostech v oblasti IT,
– údaje týkající se internetu věcí, pokud některé z nich umožňují dovozovat předpoklady o identifikovatelných osobách (např. o přítomnosti na určité adrese a uživatelských návycích), a
– analýza souboru operačních logovacích údajů výrobního zařízení ve výrobním průmyslu.
 
V souvislosti se smíšenými soubory údajů nařízení o volném toku neosobních údajů stanoví, že v případě souborů údajů obsahujících jak osobní, tak neosobní údaje se nařízení vztahuje na část souboru údajů s neosobními údaji. Tzn., že v případě souboru údajů obsahujících jak osobní, tak neosobní údaje:
– na část souboru údajů s neosobními údaji se vztahuje nařízení o volném toku neosobních údajů,
– na část souboru údajů s osobními údaji se vztahují ustanovení obecného nařízení o ochraně osobních údajů,
– pokud jsou osobní a neosobní údaje v souboru údajů „neoddělitelně propojeny“, na celý smíšený soubor údajů se v plném rozsahu vztahují práva a povinnosti týkající se ochrany údajů vyplývající z obecného nařízení o ochraně osobních údajů, a to i v případě, že osobní údaje tvoří jen malou část souboru údajů.
Důležité je, že ani jedno z obou nařízení neukládá podnikům povinnost oddělovat soubory údajů, které spravují nebo zpracovávají. Na smíšený soubor údajů se proto budou obecně vztahovat povinnosti správců a zpracovatelů údajů a musí respektovat práva subjektů údajů stanovená v obecném nařízení o ochraně osobních údajů.

Zpracování údajů o zdravotním stavu
Údaje o zdravotním stavu mohou tvořit součást smíšeného souboru údajů. Příklady zahrnují elektronické zdravotní záznamy, klinická hodnocení nebo soubory údajů shromážděných různými mobilními aplikacemi na podporu tělesné a duševní pohody (např. aplikacemi pro sledování hodnot týkajících se našeho zdravotního stavu, aplikacemi, které nám připomínají, kdy máme užívat léky, nebo aplikacemi pro sledování pokroku při zlepšování fyzické kondice). Přesné rozlišení mezi osobními a neosobními údaji v těchto souborech údajů se s ohledem na technologický vývoj stále více stírá. Zpracování těchto údajů proto musí být v souladu s obecným nařízením o ochraně osobních údajů, zejména (vzhledem k tomu, že údaje o zdravotním stavu tvoří podle nařízení zvláštní kategorii údajů) s článkem 9, který stanoví obecný zákaz zpracování zvláštních kategorií osobních údajů a výjimky z tohoto zákazu.

Závěr
Rámec pro volný tok neosobních údajů představila Komise v září 2017 jako součást projevu předsedy Evropské komise Jeana-Clauda Junckera o stavu Unie, a to s cílem plně využít potenciál evropské ekonomiky založené na datech a strategie pro jednotný digitální trh. V rámci nových pravidel měla Komise zveřejnit pokyny týkající se vztahů mezi tímto nařízením a obecným nařízením o ochraně osobních údajů (GDPR), zejména pokud jde o soubory údajů obsahující jak osobní, tak neosobní údaje. Pravidla pro volný tok neosobních údajů jsou v souladu s již existujícími pravidly pro volný pohyb a přenositelnost osobních údajů v EU.

Petr Mišúr

Publikováno: 26. 8. 2019 | Počet zobrazení: 1288 290