Brusel 9. října – Evropský sbor pro ochranu osobních údajů (EDPB) přijal na svém posledním plenárním zasedání stanovisko k některým povinnostem vyplývajícím ze spoléhání se na zpracovatele a dílčího zpracovatele, pokynů k oprávněnému zájmu, prohlášení o stanovení dalších procesních pravidel pro prosazování obecného nařízení o ochraně osobních údajů a pracovního programu EDPB na období 2024–2025.
Zaprvé, EDPB přijal stanovisko k některým povinnostem vyplývajícím ze spoléhání se na zpracovatele a dílčího zpracovatele v návaznosti na žádost dánského úřadu pro ochranu osobních údajů předloženou sboru podle čl. 64 odst. 2 obecného nařízení o ochraně osobních údajů. Ustanovení čl. 64 odst. 2 obecného nařízení o ochraně osobních údajů stanoví, že každý úřad pro ochranu osobních údajů může sbor požádat o vydání stanoviska k záležitostem s obecnou působností nebo s účinky ve více než jednom členském státě.
Stanovisko se týká situací, kdy se správci spoléhají na jednoho nebo více zpracovatelů a dílčích zpracovatelů. Konkrétně se zabývá osmi otázkami týkajícími se výkladu některých povinností správců, kteří se spoléhají na zpracovatele a dílčí zpracovatele, jakož i zněním smluv mezi správcem a zpracovatelem, které vyplývají zejména z článku 28 obecného nařízení o ochraně osobních údajů.
Stanovisko vysvětluje, že správci by měli mít vždy snadno dostupné informace o totožnosti (tj. jméno, adresu, kontaktní osobu) všech zpracovatelů, dílčích zpracovatelů atd., aby mohli co nejlépe plnit své povinnosti podle článku 28 obecného nařízení o ochraně osobních údajů. Kromě toho by se povinnost správce ověřit, zda (dílčí) zpracovatelé představují „dostatečné záruky“, měla uplatňovat bez ohledu na riziko pro práva a svobody subjektů údajů, ačkoli rozsah tohoto ověření se může lišit, zejména v závislosti na rizicích spojených se zpracováním.
Ve stanovisku se rovněž uvádí, že zatímco původní zpracovatel by měl zajistit, aby navrhl dílčí zpracovatele s dostatečnými zárukami, konečné rozhodnutí a odpovědnost za zapojení konkrétního dílčího zpracovatele zůstává na správci.
EDPB se domnívá, že podle obecného nařízení o ochraně osobních údajů nemá správce povinnost systematicky žádat o smlouvy o dílčím zpracování, aby ověřil, zda byly povinnosti v oblasti ochrany údajů přeneseny ve zpracovatelském řetězci. Správce by měl posoudit, zda je žádost o kopii těchto smluv nebo jejich přezkum nezbytný k tomu, aby mohl prokázat soulad s obecným nařízením o ochraně osobních údajů.
Kromě toho, pokud k předávání osobních údajů mimo Evropský hospodářský prostor dochází mezi dvěma (dílčími) zpracovateli, měl by zpracovatel jako vývozce údajů připravit příslušnou dokumentaci týkající se například použitého důvodu předání, posouzení dopadů předání a možných doplňujících opatření. Jelikož se však na správce stále vztahují povinnosti vyplývající z čl. 28 odst. 1 obecného nařízení o ochraně osobních údajů týkající se „dostatečných záruk“, kromě povinností podle článku 44, aby se zajistilo, že úroveň ochrany nebude narušena předáváním osobních údajů, měl by tuto dokumentaci posoudit a být schopen ji předložit příslušnému orgánu pro ochranu údajů.
Sbor dále přijal pokyny ke zpracování osobních údajů na základě oprávněného zájmu.
Správci údajů potřebují právní základ pro zákonné zpracování osobních údajů. Oprávněný zájem je jedním ze šesti možných právních základů.
Tyto pokyny analyzují kritéria stanovená v čl. 6 odst. 1 písm. f) nařízení GDPR, která musí správci splnit, aby mohli legálně zpracovávat osobní údaje na základě oprávněného zájmu. Zohledňuje rovněž nedávné rozhodnutí Evropského soudního dvora v této věci (C-621/22, 4. října 2024).
Aby se správce mohl spolehnout na oprávněný zájem, musí splnit tři kumulativní podmínky:
-
sledování oprávněného zájmu správce nebo třetí strany;
-
nutnost zpracovávat osobní údaje pro účely sledování oprávněného zájmu;
-
Zájmy nebo základní svobody a práva fyzických osob nemají přednost před oprávněným zájmem (oprávněnými zájmy) správce nebo třetí strany (vyvažování).
Za legitimní mohou být považovány především pouze oprávněné, jasně a přesně formulované, skutečné a přítomné zájmy. Takové oprávněné zájmy by například mohly existovat v situaci, kdy je fyzická osoba klientem nebo ve službách správce.
Zadruhé, existují-li přiměřené, stejně účinné, ale méně rušivé alternativy k dosažení sledovaných zájmů, nelze zpracování považovat za nezbytné. Nezbytnost zpracování by měla být rovněž přezkoumána v souladu se zásadou minimalizace údajů.
Zatřetí musí správce zajistit, aby jeho oprávněný zájem nepřevážil nad zájmy jednotlivce, tedy základními právy svobod. Při tomto vyvažování musí správce zohlednit zájmy fyzických osob, dopad zpracování a jejich přiměřená očekávání, jakož i existenci dalších záruk, které by mohly dopad na fyzickou osobu omezit.
Kromě toho tyto pokyny vysvětlují, jak by mělo být toto posouzení prováděno v praxi, a to i v řadě konkrétních kontextů, jako je předcházení podvodům, přímý marketing a bezpečnost informací. Dokument rovněž vysvětluje vztah mezi tímto právním základem a řadou práv subjektů údajů podle obecného nařízení o ochraně osobních údajů.
Pokyny budou předmětem veřejné konzultace do 20. listopadu 2024.
Sbor dále přijal prohlášení v návaznosti na změny provedené Evropským parlamentem a Radou k návrhu nařízení Evropské komise, kterým se stanoví další procesní pravidla týkající se prosazování obecného nařízení o ochraně osobních údajů.
Prohlášení obecně vítá změny provedené Evropským parlamentem a Radou a doporučuje dále se zabývat konkrétními prvky, aby nové nařízení dosáhlo cílů zefektivnění spolupráce mezi orgány a zlepšení prosazování obecného nařízení o ochraně osobních údajů.
Prohlášení obsahuje praktická doporučení, která lze použít v souvislosti s nadcházejícími trialogy. EDPB zejména opakuje, že je zapotřebí právního základu a harmonizovaného postupu pro smírné urovnání, a vydává doporučení s cílem zajistit, aby bylo co nejúčinněji dosaženo konsensu o shrnutí klíčových otázek. Sbor rovněž vítá zařazení dodatečných lhůt, přičemž připomíná, že musí být realistické, a naléhavě vyzývá spolunormotvůrce, aby v postupu řešení sporů odstranili ustanovení týkající se relevantních a odůvodněných námitek a „odůvodnění“.
Prohlášení vítá cíl dosáhnout větší transparentnosti, avšak zavedení společného spisu, jak navrhuje Evropský parlament, by vyžadovalo složité změny systémů správy dokumentů a komunikace používaných na evropské a vnitrostátní úrovni. Měla by být pečlivě posouzena technická řešení pro jeho provádění a měly by být dále vyjasněny způsoby udělování přístupu k němu.
EDPB vítá změnu Rady, která hlavnímu úřadu pro ochranu osobních údajů umožňuje neúčastnit se tzv. posílené spolupráce v jednoduchých a přímočarých případech, zdůrazňuje však, že je třeba dále vyjasnit rozsah této neúčasti.
Předseda EDPB Anu Talus uvedl: „Návrh nařízení má potenciál výrazně zefektivnit prosazování obecného nařízení o ochraně osobních údajů tím, že zvýší účinnost vyřizování případů. Je zapotřebí větší harmonizace na úrovni EU, aby se maximalizovala plná účinnost mechanismů spolupráce a jednotnosti obecného nařízení o ochraně osobních údajů.“
Na svém posledním plenárním zasedání přijala rada svůj pracovní program na období 2024–2025. Jedná se o první ze dvou pracovních programů, které budou provádět strategii EDPB na období 2024–2027 přijatou v dubnu 2024. Vychází z priorit stanovených ve strategii EDPB a rovněž zohledňuje potřeby, které byly označeny za nejdůležitější pro zúčastněné strany.
V neposlední řadě členové EDPB souhlasili s tím, že v souladu s článkem 8 jednacího řádu EDPB udělí status pozorovatele činnostem EDPB Kosovské agentuře pro informace a ochranu soukromí (Kosovan DPA).
Zde zveřejněná tisková zpráva byla automaticky přeložena z angličtiny. EDPB nezaručuje přesnost překladu. Pokud existují nějaké pochybnosti, přečtěte si prosím oficiální text v jeho anglickém znění.