Nařízení, jež je součástí strategie pro jednotný digitální trh, tvoří společně s GDPR komplexní právní rámec pro společný evropský datový prostor a volný pohyb všech údajů v rámci Evropské unie.

Nařízení zabraňuje členským zemím Evropské Unie, aby zaváděly právní předpisy neodůvodněně požadující, aby se údaje uchovávaly výhradně na území daného státu nebo zabraňující společnostem v ukládání údajů v jiné zemi Evropské unie (výjimku tvoří veřejná bezpečnost státu[2]).  Cílem Nařízení je odstranit hlavní překážky bránící účinnému a efektivnímu fungování zpracování údajů a podpořit datovou ekonomiku usnadněním přeshraniční výměny údajů tak, že umožní společnostem ukládat neosobní údaje kdekoli v Evropské unii. Nařízení má napomoci zajistit rozvoj umělé inteligence, cloud computingu a analýzy údajů velkého objemu.

Je nutné zmínit, že Nařízení zavádí princip přístupnosti dat, který zaručuje, že příslušné autority členských států mají nadále nárok na přístup k údajům z důvodu správy a dohledu, a to i pokud jsou údaje uloženy v jiném členském státě.

V návaznosti na Nařízení Evropská komise vydala pokyny k Nařízení[3]  týkající se vzájemného vztahu mezi volným tokem neosobních údajů a GDPR, a to především v případech smíšených souborů údajů, tj. souborů skládajících se jak z osobních, tak i neosobních údajů.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Neosobní údaje, zpracování smíšených souborů údajů

Z pohledu Nařízení jsou neosobními údaji jiné údaje než osobní údaje ve smyslu GDPR. Za neosobní údaje jsou považovány údaje, (i) které nelze vysledovat zpět k identifikované nebo identifikovatelné fyzické osobě nebo (ii) které byly osobními údaji ve smyslu GDPR, ale jako takové byly anonymizovány. Mezi konkrétní příklady neosobních údajů uváděné v Nařízení patří souhrnné a anonymizované soubory údajů používané pro analýzu údajů velkého objemu, údaje o postupech přesného zemědělství, které mohou přispět k monitorování a optimalizaci používání pesticidů a vody, nebo údaje o potřebě údržby průmyslových strojů.

Za smíšené soubory údajů se považují takové soubory, které obsahují údaje osobní i neosobní. V případě souboru dat složeného z osobních i neosobních údajů se Nařízení vztahuje pouze na tu část souboru údajů, která není osobním údajem. Tam, kde jsou osobní a neosobní údaje v datové sadě neoddělitelně propojeny, bude mít GDPR přednost a bude muset být aplikováno na celý datový soubor, a to bez ohledu na skutečnost, jak velkou nebo jak malou část takového souboru osobní údaje tvoří. To musí mít podnik zpracovávající takový smíšený datový soubor vždy na paměti.

Zpracování smíšených datových souborů není nijak omezeno, když ani GDPR ani Nařízeni neukládají podnikům povinnost, aby od sebe oddělovaly zpracovávané soubory údajů. Ve vztahu ke smíšenému souborů údajů však bude muset podnik dodržovat veškeré povinnost, které pro něj jako pro správce nebo zpracovatele z GDPR vyplývají, a to včetně respektování všech práv přiznaných subjektům údajů dotčených daným zpracováním. 

Zákaz požadavků na lokalizaci údajů

Jedním z hlavních problémů, které Nařízení řeší, jsou „požadavky na lokalizaci údajů“, tj. povinnost hostovat datová centra na vnitrostátním území členského státu ukládaná společnostem takovým členským státem nebo povinnost zpracovávat údaje na domácím trhu takového členského státu EU.  

Tyto požadavky na lokalizaci údajů brzdí rozvoj jednotného digitálního trhu EU a Nařízení proto členským státům EU zakazuje ukládat jakékoli požadavky na lokalizaci nebo domácí zpracování údajů. Tím umožňuje vznik účinnějších a centralizovaných systémů ukládání dat (např. cloudové služby, které poskytují centralizovaný úložný prostor pro velké datové sady).

Proprietární uzamčení (uzamčení zákazníka)

Druhým problémem, kterým se Nařízení zabývá, je proprietárních uzamčení (tzv. vendor lock-in). Proprietární uzamčení je situace, kdy poskytovatelé služeb ztěžují uživatelům přechod k jiným poskytovatelům služeb, což vede k nedostatečné hospodářské soutěži mezi poskytovateli cloudových služeb v Evropské unii a k nedostatečné datové mobilitě.

Nařízení usnadňuje a vybízí společnosti z Evropské unie k vypracování samoregulačních kodexů chování s cílem vylepšit konkurenceschopnou ekonomiku dat. Nařízení jde spíše cestou samoregulace, když samo o sobě neukládá další regulační povinnost.  Nicméně společnosti, které poskytují služby v oblasti zpracování dat (například poskytovatelé cloudových úložišť), by si měly být vědomy toho, že bude zřejmě nutné zavést některé samoregulační kodexy chování, aby bylo zajištěno poskytování jasných a transparentních informací a zabránilo se proprietárnímu uzamčení.

Doporučení

S ohledem na výše uvedené je zřejmé, že společnosti, které využívají analýzu dat by měly věnovat dostatečnou pozornost průběžné analýze svých datových toků stejně jako otázce vymezení zpracovávaných osobních a neosobních údajů.