Reformu ochrany osobních dat čeká v EU ještě řada diskuzí

zdroj: FreeDigitalPhotos.net; autor: Stuart Miles

Evropská unie se chystá na významné změny v pravidlech pro ochranu osobních údajů. Námitky k návrhu Komise se ozývají z různých stran, s debatami se dá počítat také po zveřejnění zprávy parlamentního zpravodaje. Jedním z nejdiskutovanějších bodů je „právo být zapomenut“.

Podobu nové evropské legislativy k ochraně osobních údajů bude nyní ovlivňovat zejména dění v Evropském parlamentu, domnívají se právní experti. Minulý týden představil svou zprávu ke stěžejnímu nařízení reformy zpravodaj Výboru pro občanské svobody, spravedlnost a vnitřní věci Jan Philipp Albrecht (Greens/EFA, EurActiv 9.1.2013).

Nyní mají zákonodárci do konce února čas na zpracování dodatků, v dubnu pak bude výbor o svém postoji k reformě hlasovat.

Návrh reformy představila v lednu minulého roku Evropská komise, jejímž cílem je sjednotit právní předpisy pro ochranu osobních údajů ve všech členských zemích EU (EurActiv 18.10.2012).

Kromě přijetí vlastního stanoviska bude muset Parlament také vyjednat konečnou podobu reformy se členskými státy. Bude přitom pravděpodobně usilovat o to, aby Komise získala v novém legislativním rámci pro ochranu dat menší pravomoci, než jaké sama plánuje. Dodatečná nařízení, která hlavní dokument doplní, by totiž měla připravovat v úzké spolupráci s Parlamentem a Radou EU.  

Být zapomenut

V následujících týdnech a měsících může Albrecht očekávat silnou kritiku a řadu připomínek, které budou na adresu jeho návrhu přicházet. Legislativa totiž vzbuzuje v řadě členských států negativní reakce (EurActiv 8.11.2012). „Ti, kdo očekávali smířlivou poslaneckou zprávu, která by usilovala o kompromis a praktická řešení, budou zklamáni,“ napsali ve svém blogu experti bruselské pobočky právnické firmy Covington & Burling LLP.   

Kontroverze se týkají především hodně diskutovaného „práva být zapomenut“, které někteří odborníci označují za „vlajkovou loď“ celé reformy. Na jeho základě může uživatel požadovat po určité společnosti smazání veškerých svých osobních údajů, které jí dal k dispozici.

Podle Albrechta by společnosti, které nelegálně předají údaje někomu dalšímu, musely dohlédnout na to, aby data vymazala i třetí strana. Namísto „práva být zapomenut“ by mělo být v legislativě zaneseno „právo na vymazání a právo být zapomenut“.

Na druhé straně by se mělo toto právo vztahovat pouze na případy, kdy byla osobní data poskytnuta bez výslovného souhlasu. „Pokud někdo již jednou souhlasil se zveřejněním svým dat, právo být zapomenut je nejen nelegitimní, ale také nerealistické,“ domnívá se europoslanec.

Inspektoři ochrany osobních údajů 

Podle návrhu Komise by měly mít všechny společnosti také povinnost oznámit do 24 hodin všechny případy porušení ochrany osobních dat. Albrecht ve své zprávě navrhuje, aby byla tato doba prodloužena na 72 hodin. „Vzhledem k tomu, že není vždy reálné podat oznámení do 24 hodin, navrhuje zpravodaj prodloužit tuto lhůtu,“ píše se ve zprávě.  

Aby se navíc předcházelo zahlcení, mělo by být narušení oznamováno pouze v případech, kdy je pravděpodobné, že bude škodlivé pro ochranu osobních údajů nebo soukromí například v případě krádeže nebo zneužití identity, fyzické újmy, významného ponížení nebo poškození pověsti, dodává zpráva.

Další diskutovaný bod se týká povinnosti větších podniků (s více než 250 zaměstnanci) ustanovit svého inspektora ochrany osobních údajů, který se bude profesně věnovat především hlídání interních procesů a zabezpečení ochrany osobních údajů ve firmách. Kritici takového návrhu tvrdí, že pravidlo je nesmyslné, protože existují společnosti, které mají méně než 250 zaměstnanců, ale pracují s enormním množstvím osobních údajů (EurActiv 21.12.2012).

Albrechtův návrh takové pravidlo nahrazuje právě návrhem, aby „bezpečnostní zmocněnce ochrany osobních dat“ musely zaměstnávat nebo si smluvně najímat  firmy, které každý rok zpracovávají osobní data více než 500 osob – bez ohledu na počet zaměstnanců.

Europoslanec Albrecht návrh Komise v některých ohledech „vylepšil“, domnívá se organizace European Digital Rights (EDRi), která zaštiťuje řadu evropských skupin zaměřujících se na téma ochrany dat. Některé body jeho zprávy však kritizovala.

Zachoval totiž v návrhu například pravidlo, podle kterého mohou být osobní data zpracována i bez výslovného souhlasu dané osoby, pokud k tomu existují naléhavé důvody a pokud je o tom tento člověk informován. Podle EDRi hrozí, že v dalších vyjednáváních v rámci legislativního procesu by mohla být ochrana dat v tomto bodě ještě oslabena.