Pracovní skupina k ochraně osobních údajů diskutovala předávání osobních údajů za hranice EU, IP adresy a cookies

Ve čtvrtek 23. února 2017 proběhlo na Úřadu vlády šesté jednání pracovní skupiny k legislativě v oblasti ochrany osobních údajů, která se zabývá připraveností českého byznysu na právní reformu ochrany osobních údajů a byla zřízena vládním koordinátorem digitální agendy Tomášem Prouzou. Mezi zástupci ministerstev, Úřadu pro ochranu osobních údajů a byznysu byli setkání přítomni tentokrát i zástupci Evropské komise. Diskuze se zaměřila na implementaci nařízení o ochraně osobních údajů, předávání osobních údajů do třetích zemí a síťové identifikátory jako IP adresy a cookies, a to i ve vazbě na nový návrh nařízení ePrivacy.

Zástupci Evropské komise přiblížili členům pracovní skupiny možnosti, jak se do procesu implementace evropského nařízení k ochraně osobního údajů GDPR, jež bude účinné od května příštího roku zapojit. Nejasnosti ohledně nových povinností pro firmy i veřejnou správu, které z přijatého nařízení vyplývají, chce Evropská komise se členskými státy i byznysem řešit. Komise proto na jednání vyzývala zástupce soukromého sektoru, aby sporné oblasti nařízení otevírali při setkáních s Evropskou komisí. Členské státy mají možnost ptát se na tyto věci v rámci jednání expertní skupiny na evropské úrovni, kterou pořádá právě Komise. Pro svazy a asociace bude organizovat speciální workshop skupina podle článku 29, kterou tvoří národní dozorové úřady (v ČR Úřad pro ochranu osobních údajů). Tyto workshopy nazvané Fablab budou zaměřené na jednotlivé oblasti nařízení a příští workshop se má věnovat tématu profilování. Dozorové úřady totiž v současnosti připravují výkladová stanoviska k jednotlivým oblastem nařízení. Evropská komise bude dále organizovat dvakrát ročně kulaté stoly s podnikatelským sektorem, jejichž účelem bude zejména vyjasnit oblasti, ve  kterých bude hrát aktivní úlohu Komise, např. oblast certifikace. Členové pracovní skupiny využili přítomnosti zástupců Evropské komise a adresovali jim praktické dotazy k implementaci – například ohledně personálního zajištění ke splnění povinností vyplývajících z nařízení, konkrétně při vzniku funkce pověřence osobních údajů.

Cílem reformy právního rámce ochrany osobních údajů v EU je mimo jiné zajistit vysokou úroveň ochrany osobních údajů Evropanů při předávání takových údajů za hranice EU. Hlavním nástrojem , který umožňuje přenos dat z EU do třetí země je tzv. „rozhodnutí o odpovídající ochraně“ (adequacy decision). V něm je stanoveno, že třetí země zajišťuje úroveň ochrany údajů, která je v zásadě rovnocenná vysoké úrovni ochrany v EU.
V rámci diskuze byly zodpovězeny dotazy týkající se přenosů dat do třetích zemí a povinnosti jmenovat pověřence pro ochranu osobních údajů nebo předpokládané podoby vnitropodnikových pravidel a standardních smluvních doložek. Podle nařízení zůstanou stávající sjednané smluvní doložky i nadále v platnosti.

Druhé významným tématem diskuze byly síťové identifikátory, typicky IP adresy a cookies. Odkazem na tyto identifikátory je možné určit totožnost fyzických osob, a tak podle GDPR úzce souvisí s problematikou osobních údajů a jejich ochranou. Tato problematika je také součástí návrhu ePrivacy nařízení a byla nosným tématem i několika rozsudků Soudního dvora EU. V rámci diskuze padly otázky ohledně povahy cookies jako osobního údaje, jejich vztahu k anonymním údajům a nutnost rozlišení účelů zpracování údajů.

Další jednání pracovní skupiny se uskuteční 20. března.