28. prosince 2018 6:30 Lidovky.cz > Byznys > Právo a justice

KOMENTÁŘ: Pátá svoboda EU? Přichází volný pohyb neosobních údajů

Evropská unie (Ilustrační foto) | na serveru Lidovky.cz | aktuální zprávy Evropská unie (Ilustrační foto) | foto: Shutterstock

PRAHA Vnitřní trh Evropské Unie tvoří území všech jejích členských států (a do jisté míry Evropského hospodářského prostoru). V tomto prostoru platí tzv. čtyři základní svobody: volný pohyb zboží, služeb, osob a kapitálu. Vedou se sice polemiky o tom, do jaké míry tyto svobody fungují, ale je jasné, že v posledních několika desetiletích k uvolnění obchodu a značné unifikaci vnitřního trhu EU došlo.

Co?

A k 18.12.2018 (s použitelností k 18.6.2019) nám přibyla svoboda pátá. Je jí volný pohyb (neosobních) údajů. Svoboda volného pohybu údajů osobních byla v rámci EU zavedena již před téměř 30 lety směrnicí 95/46/ES. Ta byla do českého právního řádu implementována v roce 2001 známým zákonem č. 101. A v letošním roce byla směrnice a roztříštěné národní úpravy v celé EU nahrazeny slovutným nařízením GDPR. Cílem GDPR je mimo jiné zajištění neomezeného pohybu osobních dat v rámci Evropy (EU). Evropské státy tak nesmějí zavádět omezení týkající se umístění osobních údajů, ať již z důvodu jejich ochrany či důvodů jiných. Jinými slovy, osobní údaje mohou nyní po Evropě cestovat bez ohledu na státní hranice.

A nyní se Evropská unie zaměřila i na údaje neosobní. Stává se tak na základě nového nařízení o volném pohybu neosobních dat ((EU) 2018/1807). Neosobní údaje jsou vymezeny negativně vůči údajům osobním. Jsou jimi tak všechny údaje, které nelze považovat dle GDPR za údaje osobní. Zda je takové vymezené šťastné, ukáže až aplikační praxe. Nové nařízení členským státům EU ukládá, aby do roku 2021 zrušily všechny existující zákonné (či správní) požadavky na lokalizaci údajů s výjimkou těch, které jsou důležité pro národní bezpečnost.

Proč?

A proč vlastně dle Evropské komise, která byla loni předkladatelem návrhu této nové regulace, potřebujeme volný pohyb neosobních údajů? Protože některé členské státy jejich volnému pohybu brání a chtějí si často udržet na daty kontrolu. Činí tak mimo jiné tím, že je „nepustí“ ze svého území. Státy tak své podniky vnitrostátní legislativou mnohdy „nutí“, aby neosobní údaje uchovávaly či zpracovávaly na jejich území. Týká se to například některých dat zdravotních (anonymizované výsledky klinických hodnocení) nebo dat finančních (účetnictví a daňová evidence). Takové omezení však představuje často pro podniky administrativní zátěž. Nadnárodní společnosti musí například mít umístěny své (nebo cloudové) servery v několika zemích a na nich uloženy identické údaje v mnoha kopiích. Současná právní úprava v některých zemích jim tak zbytečně zvyšuje náklady. Evropské podniky také nemohou podle svého uvážení využívat cloudových služeb, volit si pro své IT nákladově nejefektivnější řešení (umístění) či zcela volně měnit poskytovatele IT služeb.

Jak?

Evropská komise věří, že díky volnému pohybu neosobních údajů, budou evropské podniky sebejistěji vstupovat na nové trhy a snadněji rozšiřovat své aktivity. Nové nařízení by ale na druhé straně mělo zajistit dostupnost údajů pro účinnou správní kontrolu. Orgány veřejné správy by tak měly mít přístup k datům umístěných v jiných zemích pro účely kontroly a dohledu (pod hrozbou sankcí těm subjektům, které takovou kontrolu neumožní).

Nařízení také předpokládá, podobně jako GDPR, vytváření oborových kodexů ze strany poskytovatelů služeb. Kodexy by měly uživatelům umožnit snadněji měnit poskytovatele cloudových služeb či stahovat data od těchto poskytovatelů do svých systémů.

Jak již bylo zmíněno, nové nařízení se nevztahuje na údaje osobní. Nemělo by tak mít žádný vliv na soukromí fyzických osob. V případě, že osobní a neosobní údaje budou zpracovány společně, použije se GDPR na část dat, která jsou daty osobními, a zásada volného pohybu neosobních dat se bude vztahovat na část dat neosobních. Obě nařízení by se proto neměla překrývat, ale naopak navzájem doplňovat. Umíme si však představit, že právě toto bude v praxi působit mnoho aplikačních problémů, neboť již nyní je často problematické stanovit, zda se v některých hraničních případech jedná o údaje osobní či nikoliv.

Jaroslav Tajbr, advokát v Advokátní kanceláři Squire Patton Boggs

Najdete na Lidovky.cz