Brusel 20. října – Evropský sbor pro ochranu osobních údajů přijal na svém posledním plenárním zasedání dvě stanoviska k návrhům rozhodnutí Evropské komise o prodloužení platnosti rozhodnutí Spojeného království o odpovídající ochraně podle obecného nařízení o ochraně osobních údajů (GDPR) a směrnice o prosazování práva (LED) do prosince 2031*.
Stanoviska EDPB vyžádaná Komisí podle čl. 70 odst. 1 písm. s) obecného nařízení o ochraně osobních údajů a čl. 51 odst. 1 písm. g) směrnice o prosazování práva se zabývají navrhovaným šestiletým prodloužením platnosti dvou rozhodnutí Spojeného království o odpovídající ochraně, jejichž platnost má skončit v prosinci 2025.
Prodloužení platnosti rozhodnutí Spojeného království o odpovídající ochraně umožní organizacím a příslušným orgánům se sídlem v Evropě pokračovat v předávání údajů organizacím a orgánům se sídlem ve Spojeném království bez zavedení dalších záruk.**
„EDPBvítá pokračující sbližování mezi rámcem Spojeného království a Evropy pro ochranu údajů, a to navzdory nedávným změnám právního rámce Spojeného království.
Vyzývám Evropskou komisi, aby se zabývala body, na které výbor upozornil, a aby zajistila účinné monitorování, jakmile budou rozhodnutí přijata. Tím se zvýší spolehlivost přiměřenosti Spojeného království a zajistí větší právní jistota pro organizace a příslušné orgány, které předávají osobní údaje z Evropy do Spojeného království.“
předseda EDPB, Anu Talus
O stanovisku GDPR
Podle sboru je cílem většiny změn zavedených do rámce Spojeného království pro ochranu údajů vyjasnit a usnadnit dodržování právních předpisů.
Některé aspekty návrhu rozhodnutí by mohly být dále vyjasněny.
EDPB vyzývá Evropskou komisi, aby dále analyzovala a sledovala změny zákona o zachovaném právu EU (zrušení a reforma) z roku 2023, známého také jako zákon REUL, zejména odstranění zásady přednosti práva EU a odstranění přímého uplatňování zásad práva EU.
EDPB konstatuje, že ministrovi byly uděleny nové pravomoci provádět změny nového rámce pro ochranu údajů prostřednictvím sekundárních nařízení, která vyžadují méně parlamentní kontroly. Tak je tomu v případě mezinárodního předávání údajů, automatizovaného rozhodování a řízení Úřadu komisaře pro informace (ICO). EDPB vyzývá Komisi, aby řešila možná rizika rozdílů tím, že v konečném rozhodnutí o odpovídající ochraně zdůrazní oblasti, které hodlají pečlivě sledovat.
EDPB rovněž vybízí Komisi, aby dále rozpracovala své posouzení a sledovala pravidla pro předávání ze Spojeného království do třetích zemí. Nový test přiměřenosti zavedený zákonem o datech (využití a přístupu) z roku 2025 vyžaduje, aby úroveň ochrany třetí země nebyla podstatně nižší než úroveň, kterou subjektům údajů poskytuje rámec Spojeného království, ale tento test se nezmiňuje o riziku přístupu vlády, existenci nápravy pro fyzické osoby a potřebě nezávislého dozorového úřadu.
Komise by rovněž měla dále posoudit a sledovat údajné používání oznámení o technické způsobilosti vládou Spojeného království, která vyžadují, aby společnosti obcházely šifrování, neboť by to vytvořilo systémová zranitelná místa a představovalo riziko pro integritu a důvěrnost elektronických komunikací.
V neposlední řadě EDPB vyzývá Komisi, aby dále posuzovala a sledovala změny ve struktuře Úřadu komisaře pro informace a výkon jeho nápravných pravomocí. V této souvislosti EDPB kladně hodnotí politiku transparentnosti úřadu ICO a dostupnost statistických a analytických údajů o jeho činnostech v oblasti prosazování práva.
Nová rozhodnutí o odpovídající ochraně doplní rozhodnutí z roku 2021, která se budou i nadále vztahovat na oblasti, na něž se návrhy rozhodnutí z roku 2025 nevztahují. EDPB vychází ze svých stanovisek z roku 2021 (14/2021 a 15/2021). Zejména úzký soulad mezi rámcem obecného nařízení o ochraně osobních údajů a právním rámcem Spojeného království pro klíčová ustanovení, který byl zdůrazněn v roce 2021, platí i dnes (včetně například transparentnosti, práv subjektů údajů a zvláštních kategorií údajů).
O stanovisku LED
EDPB vítá neustálý soulad mezi rámcem pro ochranu údajů v Evropě a ve Spojeném království a vybízí Komisi, aby doplnila své posouzení aspektů týkajících se výjimek z důvodu národní bezpečnosti. Tyto výjimky mohou donucovacím orgánům upustit od většiny zásad ochrany údajů a některých mezinárodních pravidel pro předávání údajů a rovněž omezit donucovací a inspekční pravomoci úřadu ICO.
EDPB vyzývá Komisi, aby analyzovala pravidla Spojeného království pro předávání osobních údajů do třetích zemí, zejména nový test přiměřenosti, stejným způsobem jako ve stanovisku k nařízení GDPR.
Sbor rovněž zdůrazňuje tolerantnější přístup k automatizovanému rozhodování a nové pravomoci, které jsou v této věci svěřeny ministrovi. Připomíná význam smysluplného lidského přezkumu a naléhavě vyzývá Komisi, aby objasnila a monitorovala možné výjimky z práva jednotlivců na lidský zásah.
V neposlední řadě EDPB uznává, že systém dohledu nad orgány činnými v trestním řízení, jakož i mechanismy nápravy zůstávají z velké části nezměněny, a opakuje, že je třeba, aby Komise pečlivě sledovala uplatňování nápravných pravomocí a opravných prostředků pro fyzické osoby v rámci Spojeného království pro ochranu údajů.
Poznámka pro editory:
* Dne 22. července 2025 vydala Evropská komise dva návrhy pozměňujících prováděcích rozhodnutí o odpovídající ochraně osobních údajů Spojeným královstvím podle čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů a čl. 36 odst. 3 směrnice o prosazování práva. Cílem těchto návrhů rozhodnutí je prodloužit platnost předchozích rozhodnutí o odpovídající ochraně přijatých dne 28. června 2021.
V květnu 2025 přijala Komise rozhodnutí o prodloužení platnosti rozhodnutí Spojeného království o odpovídající ochraně o dalších šest měsíců, tedy od června do prosince 2025. EDPB přijal stanovisko k tomuto prodloužení v květnu 2025.
** Rozhodnutí o odpovídající ochraně je klíčovým mechanismem v právních předpisech EU o ochraně údajů, který Evropské komisi umožňuje určit, zda třetí země nebo mezinárodní organizace nabízí odpovídající úroveň ochrany údajů. Evropská komise má pravomoc určit na základě článku 45 nařízení (EU) 2016/679, zda země mimo EU nabízí odpovídající úroveň ochrany údajů.
Přijetí rozhodnutí o odpovídající ochraně zahrnuje: 1) návrh Evropské komise; 2) stanovisko Evropského sboru pro ochranu osobních údajů; 3) schválení ze strany zástupců zemí EU; 4) přijetí rozhodnutí Evropskou komisí.
Zde zveřejněná tisková zpráva byla automaticky přeložena z angličtiny. EDPB nezaručuje přesnost překladu. Pokud existují nějaké pochybnosti, přečtěte si prosím oficiální text v jeho anglickém znění.