Evropský parlament,

–  s ohledem na článek 8 Listiny základních práv Evropské unie,

–  s ohledem na článek 16 Smlouvy o fungování Evropské unie,

–  s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR)(1),

–  s ohledem na prohlášení Komise ze dne 24. června 2020 o sdělení Komise Evropskému parlamentu a Radě s názvem „Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů“,

–  s ohledem na sdělení Komise Evropskému parlamentu a Radě ze dne 24. června 2020 s názvem „Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů“ (COM(2020)0264),

–  s ohledem na sdělení Komise ze dne 24. července 2019 nazvané „Pravidla pro ochranu údajů zprostředkující důvěru v EU i za jejími hranicemi – vyhodnocení“ (COM(2019)0374),

–  s ohledem na příspěvek Evropského sboru pro ochranu osobních údajů (EDPB) k hodnocení obecného nařízení o ochraně osobních údajů podle článku 97 přijatého dne 18. února 2020(2);

–  s ohledem na První přehled týkající se provádění obecného nařízení o ochraně osobních údajů a úlohy a prostředků vnitrostátních dozorových úřadů vypracovaný Evropským sborem pro ochranu osobních údajů (EDPB) dne 26. února 2019(3),

–  s ohledem na pokyny přijaté EDPB podle čl. 70 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů (GDPR),

–  s ohledem na čl. 132 odst. 2 jednacího řádu,

–  s ohledem na návrh usnesení Výboru pro občanské svobody, spravedlnost a vnitřní věci,

A.  vzhledem k tomu, že obecné nařízení o ochraně osobních údajů (GDPR) platí od 25. května 2018; vzhledem k tomu, že s výjimkou Slovinska všechny členské státy přijaly nové právní předpisy nebo přizpůsobily své vnitrostátní zákony o ochraně osobních údajů;

B.  vzhledem k tomu, že podle průzkumu týkajícího se základních práv, který provedla Agentura pro základní práva jsou jednotlivci o svých právech vyplývajících z nařízení GDPR stále více informováni; vzhledem k tomu, že navzdory skutečnosti, že organizace zavedly opatření k usnadnění výkonu práv subjektu údajů, jednotlivci se i nadále potýkají při uplatňování těchto práv s obtížemi, zejména pokud jde o právo na přístup, přenositelnost a větší transparentnost;

C.  vzhledem k tomu, že od začátku uplatňování nařízení GDPR orgány dohledu zaznamenaly obrovské zvýšení počtu stížností; vzhledem k tomu, že tato skutečnost dokládá, že subjekty údajů si jsou více vědomy svých práv a chtějí své osobní údaje chránit v souladu s nařízením GDPR; vzhledem k tomu, že toto navíc dokládá, že i nadále probíhá velké množství neoprávněných operací zpracování údajů;

D.  vzhledem k tomu, že řada podniků využila přechodné období mezi vstupem nařízení GDPR v platnost a začátkem jeho uplatňování k důkladnému uvedení svých údajů „do pořádku‘ s cílem posoudit, jaké zpracování údajů skutečně probíhá a jaké zpracování údajů už nemusí být potřebné nebo odůvodněné;

E.  vzhledem k tomu, že mnoho úřadů pro ochranu osobních údajů se nedokáže vypořádat s množstvím stížností; vzhledem k tomu, že mnoho úřadů pro ochranu osobních údajů má nedostatek personálu a prostředků a chybí jim dostatečný počet odborníků na informační technologie;

F.  vzhledem k tomu, že nařízení GDPR uznává, že právní předpisy členských států by měly uvést do souladu pravidla upravující svobodu projevu a informací, včetně novinářského, akademického, uměleckého nebo literárního projevu, s právem na ochranu osobních údajů; vzhledem k tomu, že podle článku 85 by právní předpisy členských států měly stanovit výjimky pro zpracování údajů pro novinářské účely nebo pro účely akademického uměleckého či literárního projevu, pokud jsou nezbytné pro sladění práva na ochranu osobních údajů se svobodou projevu a informací;

G.  vzhledem k tomu, že jak zdůrazňuje i EDPB, ochrana novinářských zdrojů je základním kamenem svobody tisku; vzhledem k tomu, že nařízení GDPR by nemělo být zneužíváno proti novinářům a k omezení přístupu k informacím; vzhledem k tomu, vnitrostátní orgány by jej za žádných okolností neměly využívat k omezování svobody sdělovacích prostředků,

Obecné poznámky

1.  vítá skutečnost, že se nařízení GDPR stalo globálním standardem pro ochranu osobních údajů a je činitelem sbližování při vypracovávání norem; vítá skutečnost, že zásluhou nařízení GDPR je EU na špici mezinárodních diskuzí o ochraně osobních údajů a mnoho třetích zemí přizpůsobilo své zákony na ochranu osobních údajů podle nařízení GDPR; poukazuje na to, že úmluva Rady Evropy č. 108 o ochraně osobních údajů byla sladěna s obecným nařízením o ochraně osobních údajů (dále jen „úmluva č. 108+“) a už ji podepsalo 42 zemí; naléhavě vyzývá Komisi a členské státy, aby tuto dynamiku využily k tomu, aby na úrovni OSN, OECD, skupiny G8 či skupiny G20 usilovaly o vytvoření mezinárodních norem, které se budou řídit evropskými hodnotami a zásadami, aniž by oslabovaly nařízení GDPR; zdůrazňuje, že dominantní postavení Evropy v této oblasti by na našem kontinentu pomohlo lépe hájit práva našich občanů, chránit naše hodnoty a zásady, podporovat důvěryhodné digitální inovace a urychlit hospodářský růst tím, že zabrání roztříštěnosti;

2.  domnívá se, že dva roky od nabytí účinnosti je nařízení GDPR velmi úspěšné, a souhlasí s Komisí, že nyní není nutné jej aktualizovat a revidovat;

3.  potvrzuje, že do příštího hodnocení Komise musí středem zájmu zůstat zlepšování provádění a kroky k posílení prosazování nařízení GDPR;

4.  upozorňuje, že je třeba silnějšího a efektivnějšího prosazování nařízení GDPR na velkých digitálních platformách, v integrovaných podnicích a dalších digitálních službách, zejména v oblastech on-line reklamy, mikrocílení, algoritmického profilování, klasifikace, šíření a rozšiřování obsahu;

Právní základ pro zpracování údajů

5.  zdůrazňuje, že všech šest právních základů stanovených v článku 6 nařízení GDPR rovnocenně platí pro zpracování osobních údajů a že na jednu a tutéž činnost zpracování údajů se může vztahovat více než jeden právní základ; naléhavě vyzývá orgány dohledu nad zpracováním údajů, aby upřesnily, že správci údajů musí vycházet pro každý účel činností zpracování pouze z jednoho právního důvodu a musí upřesnit, jak jsou jednotlivé právní důvody při zpracovávání údajů využívány; je znepokojen tím, že správci ve své politice ochrany soukromí často uvádějí všechny právní důvody nařízení GDPR bez bližšího vysvětlení a bez odkazu na konkrétní zpracování; chápe, že tato praxe omezuje schopnost subjektů údajů a orgánů dohledu posoudit, zda jsou tyto právní důvody vhodné; připomíná, že pro zpracování zvláštních kategorií osobních údajů je třeba určit právní důvod podle článku 6 a zvláštní podmínku pro zpracování podle článku 9; připomíná správcům jejich zákonnou povinnost provádět posouzení vlivu na ochranu osobních údajů, když zpracování údajů pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob;

6.  připomíná, že od začátku uplatňování nařízení GDPR pojem „souhlas“ znamená svobodné, konkrétní, informované a jednoznačné svolení subjektu údajů; zdůrazňuje, že toto platí i pro směrnici o soukromí a elektronických komunikacích; upozorňuje, že uplatňování platného souhlasu je i nadále ohrožováno použitím tzv. temných vzorů, všudypřítomného sledování a dalších neetických praktik; je znepokojen skutečností, že jednotlivci se často ocitají pod finančním tlakem na udělení souhlasu výměnou za slevy nebo jiné komerční nabídky, případně jsou nuceni udělit souhlas podmíněním přístupu ke službě prostřednictvím zavazujících ustanovení, což porušuje článek 7 nařízení GDPR; připomíná harmonizovaná pravidla EDPB o tom, co představuje platný souhlas, která nahrazují různé výklady mnoha vnitrostátních úřadů pro ochranu osobních údajů a zabraňují roztříštěnosti v rámci jednotného digitálního trhu; připomíná rovněž pokyny EDPB a Komise, která stanoví, že pro případy, kdy subjekt údajů původně souhlas udělil, ale osobní údaje jsou dále zpracovávány za jiným účelem, než pro jaký byl udělen souhlas subjektem údajů, nemůže původní souhlas legitimizovat další zpracování, neboť souhlas musí být informovaný a konkrétní, aby mohl platit; bere na vědomí nadcházející pokyny EDPB pro zpracování osobních údajů pro vědecký výzkum, které vyjasní význam bodu odůvodnění 50 nařízení GDPR;

7.  je znepokojen tím, že „oprávněný zájem“ je velmi často zneužíván jako právní důvod pro zpracování; poukazuje na to, že správci údajů se i nadále spoléhají na oprávněný zájem, aniž by přihlíželi ke kritériu vyváženosti zájmů, které zahrnuje posouzení základních práv; je obzvláště znepokojen skutečností, že některé členské státy přijímají vnitrostátní právní předpisy ke stanovení podmínek zpracování údajů na základě oprávněného zájmu tím, že stanoví rovnováhu mezi příslušnými zájmy správce a dotčených fyzických osob, zatímco nařízení GDPR ukládá každému správci povinnost stanovit tuto rovnováhu individuálně a použít přitom tento právní důvod; je znepokojen, že některé vnitrostátní výklady oprávněného zájmu nerespektují bod odůvodnění 47 a zpracování na základě oprávněného zájmu fakticky zakazují; vítá skutečnost, že EDPB již začal pracovat na aktualizaci stanoviska pracovní skupiny zřízené podle článku 29 k uplatňování oprávněného zájmu jakožto právního důvodu pro zpracování s cílem řešit problémy, na něž poukázala zpráva Komise;

Práva subjektů údajů

8.  zdůrazňuje, že je zapotřebí podpořit výkon práv stanovených nařízením GDPR, mezi která patří přenositelnost údajů nebo práva v souvislosti s automatickým zpracováním včetně profilování; vítá pokyny EDPB týkající se automatizovaného rozhodování a přenositelnosti údajů; konstatuje, že právo na přenositelnost údajů nebylo v několika odvětvích plně provedeno; vyzývá EDPB, aby poskytl pobídky pro on-line platformy k vytvoření jednotného kontaktního místa pro všechny příslušné digitální platformy, odkud budou moci být žádosti uživatelů předávány správnému příjemci; zdůrazňuje, že v souladu se zásadou minimalizace údajů uplatňování práva na anonymitu účinně brání neoprávněnému zveřejnění, krádeži totožnosti a jiným formám zneužití osobních údajů;

9.  zdůrazňuje, že dodržování práva na informace vyžaduje, aby společnosti poskytovaly informace stručným, transparentním, srozumitelným a snadno přístupným způsobem a aby se při vypracovávání oznámení o osobní ochraně údajů vyhnuly legalistickému přístupu; je znepokojen tím, že některé společnosti nadále porušují své povinnosti podle čl. 12 odst. 1 nařízení GDPR a neposkytují veškeré relevantní informace v souladu s doporučením EDPB, včetně uvedení názvů subjektů, s nimiž údaje sdílejí; připomíná, že povinnost poskytovat informace, které jsou jednoduché a přístupné, musí být zvláště přísně dodržována, jde-li o děti; je znepokojen rozsáhlým nedostatkem řádně fungujících mechanismů přístupu pro subjekty údajů; poukazuje na to, že jednotlivci často nejsou schopni přimět internetové platformy, aby jim odkryly své profily chování; je znepokojen tím, že společnosti příliš často opomíjí skutečnost, že odvozené údaje jsou rovněž osobními údaji, na něž se vztahují všechny záruky stanovené v nařízení GDPR;

Malé podniky a organizace

10.  podotýká, že některé zúčastněné strany udávají, že uplatňování nařízení GDPR je zvláště náročné pro malé a střední podniky, začínající podniky, organizace a sdružení, včetně škol, a kluby či společnosti; konstatuje však, že řada práv a povinností obsažených v nařízení GDPR není nová, ale již byla v platnosti podle směrnice 95/46/ES(4), byla však jen málokdy vymáhána; má za to, že nařízení GDPR a jeho prosazování nesmí vést k nezamýšleným důsledkům dodržování předpisů pro menší společnosti, které by velké společnosti nezažívaly; je přesvědčen, že vnitrostátní orgány by měly poskytovat více podpory, informací a školení a Komise by měla provádět informační kampaně s cílem pomoci zlepšit znalosti, kvalitu provádění a povědomí o požadavcích a účelu nařízení GDPR;

11.  poukazuje na skutečnost, že pro malé a střední podniky, začínající podniky, organizace a sdružení, včetně škol, a kluby či společnosti neexistují žádné výjimky a že podléhají rozsahu působnosti nařízení GDPR; vyzývá proto EDPB, aby poskytoval jasné informace, aby nedocházelo k nejasnostem ohledně výkladu nařízení GDPR, a aby vytvořil praktický nástroj pro podporu provádění nařízení GDPR malými a středními podniky, začínajícími podniky, organizacemi a sdruženími, včetně škol, kluby i společnostmi s nízkorizikovými činnostmi zpracování; vyzývá členské státy, aby poskytly úřadům pro ochranu osobních údajů dostatečné prostředky, které jim umožní šířit povědomí o těchto praktických nástrojích; vybízí EDPB, aby vytvořil šablony politiky ochrany soukromí, které by organizace mohly používat, aby jim pomohly prokázat skutečné dodržování nařízení GDPR v praxi, aniž by se musely spoléhat na drahé služby třetích stran;

Vymáhání

12.  vyjadřuje své znepokojení ohledně nerovnoměrného a často neexistujícího prosazování nařízení GDPR ze strany vnitrostátních úřadů pro ochranu osobních údajů více než dva roky po začátku platnosti tohoto nařízení, a proto lituje, že situace ohledně prosazování se výrazně nezlepšila v porovnání se situací podle směrnice 95/46/ES;

13.  bere na vědomí, že bylo podáno přibližně 275 000 stížností a uděleno 785 správních pokut za různá porušení nařízení GDPR během prvních 18 měsíců jeho platnosti, nicméně poukazuje na to, že řešena byla dosud pouze velmi malá část podaných stížností; je si vědom problémů, které způsobila porušení ochrany osobních údajů a připomíná stávající pokyny EDPB, které vyjasňují mimo jiné harmonogram pro oznamování, komunikaci se subjekty údajů a nápravu; zdůrazňuje, že pro harmonizaci rozdílných vnitrostátních přístupů by mohl být užitečný evropský standardní formulář oznámení o porušení ochrany osobních údajů; vyjadřuje však politování nad tím, že výše pokut se v různých členských státech výrazně liší a že některé pokuty ukládané velkým společnostem jsou příliš nízké na to, aby měly zamýšlený odrazující účinek proti porušování ochrany údajů; vyzývá úřady pro ochranu osobních údajů, aby posílily prosazování, stíhání a trestání v souvislosti s porušením ochrany osobních údajů a aby plně využívaly možností nařízení GDPR k ukládání pokut a aby využívaly i další nápravná opatření; zdůrazňuje, že zákaz zpracování osobních údajů získaných způsobem, který není v souladu s nařízením GDPR, nebo povinnost je vymazat, mohou mít stejný odrazující účinek, jako pokuty, ne-li větší; vyzývá Komisi a EDPB, aby harmonizovaly sankce prostřednictvím pokynů a jasných kritérií, jak to provedla konference německých orgánů dohledu, s cílem zvýšit právní jistotu a zabránit tomu, aby se společnosti usazovaly v místech, kde jsou ukládány nejnižší sankce;

14.  je znepokojen délkou prošetřování případů ze strany některých úřadů pro ochranu osobních údajů a jejími nepříznivými důsledky pro účinné prosazování práva a důvěru občanů; vyzývá úřady pro ochranu osobních údajů, aby zrychlily řešení případů a aby využívaly celou škálu možností v rámci nařízení GDPR, zejména pokud dochází k systematickému a trvalému porušování spojenému mimo jiné se ziskem a s velkým počet dotčených subjektů údajů;

15.  je znepokojen skutečností, že orgány dohledu 21 členských států z 31 států uplatňujících nařízení GDPR, konkrétně všech členských států Evropské unie, Evropského hospodářského prostoru a Spojeného království, otevřeně uvedly, že nemají dostatek lidských, technických a finančních zdrojů, prostor a infrastruktury, aby mohly účinně vykonávat své úkoly a pravomoci; je znepokojen nedostatkem specializovaných odborných pracovníků ve většině orgánů dohledu v celé EU, který ztěžuje vyšetřování a vymáhání; se znepokojením konstatuje, že orgány dohledu jsou vystaveny tlaku vzhledem k rostoucímu napětí mezi jejich povinnostmi chránit osobní údaje a zdroji, jež mají k dispozici pro jejich plnění; konstatuje, že digitální služby budou vzhledem ke zvýšenému využívání inovací, jako je umělá inteligence, stále složitější (tj. zhoršování problému omezené transparentnosti zpracování údajů, zejména pokud jde o algoritmické učení); poukazuje tedy na to, že je důležité, aby orgány dohledu EU a také EDPB měly dostatečné finanční, technické a lidské zdroje, které jim umožní rychle, a přitom důkladně řešit rostoucí počet případů náročných na zdroje a složitých případů a koordinovat a usnadňovat spolupráci mezi vnitrostátními úřady pro ochranu osobních údajů s cílem řádně sledovat uplatňování nařízení GPDR a chránit základní práva a svobody; vyjadřuje své znepokojení nad tím, že nedostatečné zdroje pro úřady pro ochranu osobních údajů, zejména v porovnání s příjmy velkých technologických společností, mohou vést k dohodám o narovnání, neboť by to omezilo náklady na zdlouhavé a zatěžující řízení;

16.  vyzývá Komisi, aby posoudila možnost, že by velké nadnárodní technologické společnosti musely platit za svůj vlastní dohled zavedením digitální daně EU;

17.  se znepokojením konstatuje, že nedostatečné prosazování ze strany úřadů pro ochranu osobních údajů a nečinnost Komise při řešení nedostatku zdrojů úřadů pro ochranu osobních údajů přenáší zátěž související s podáváním žalob na ochranu údajů u soudu na jednotlivé občany; je znepokojen tím, že soudy někdy nařizují odškodnění jednotlivých žalobců, aniž by organizaci nebo společnosti nařídily vyřešit strukturální problémy; domnívá se, že soukromoprávní vymáhání může vést k důležité judikatuře, nepředstavuje však náhradu za vymáhání ze strany úřadů pro ochranu osobních údajů ani za opatření Komise k řešení nedostatku zdrojů; vyjadřuje politování nad tím, že tyto členské státy porušují čl. 52 odst. 4 nařízení GDPR; vyzývá tedy členské státy, aby splnily svou právní povinnost podle čl. 52 odst. 4 tím, že přidělí více finančních prostředků svým úřadům pro ochranu osobních údajů, aby mohly vykonávat svou práci co nejlépe a zajistit rovné podmínky na evropské úrovni při prosazování nařízení GDPR; vyjadřuje politování nad tím, že Komise doposud nezahájila řízení o nesplnění povinností s členskými státy, které neplní své povinnosti v rámci nařízení GDPR, a apeluje na Komisi, aby tak neprodleně učinila; vyzývá Komisi a EDPB, aby v návaznosti na sdělení Komise ze dne 24. června 2020 přijaly opatření a posoudily fungování nařízení GDPR a jeho prosazování;

18.  vyjadřuje politování nad tím, že většina členských států se rozhodla neprovádět čl. 80 odst. 2 nařízení GDPR; vyzývá všechny členské státy, aby čl. 80 odst. 2 použily a uplatňovaly právo podávat stížnost a obrátit se na soud bez pověření subjektu údajů; vyzývá členské státy, aby objasnily postavení stěžovatelů během řízení ve vnitrostátních správních postupech, které se vztahují na orgány dohledu; poukazuje na to, že by mělo být vyjasněno, že úloha stěžovatelů v průběhu řízení není jen pasivní, ale že by měli mít možnost do něj v jednotlivých fázích zasahovat;

Spolupráce a jednotnost

19.  upozorňuje, že nedostatečné prosazování práva je zvláště zřejmé u přeshraničních stížností, a vyjadřuje politování nad tím, že úřady pro ochranu osobních údajů ve 14 členských státech nemají dostatečné zdroje k tomu, aby přispívaly k mechanismům spolupráce a jednotnosti; vyzývá EDPB ke zvýšení úsilí s cílem zajistit správné uplatňování článků 60 a 63 nařízení GDPR a připomíná orgánům dohledu, že mohou ve výjimečných případech využít postupu pro naléhavé případy podle článku 66 nařízení GDPR, zejména předběžných opatření;

20.  poukazuje na význam mechanismu jednotného kontaktního místa pro zajištění právní jistoty a snížení administrativní zátěže pro podniky i občany; vyjadřuje nicméně značné znepokojení nad fungováním tohoto mechanismu, zejména nad úlohou irského a lucemburského úřadu pro ochranu osobních údajů; konstatuje, že tyto úřady pro ochranu osobních údajů jsou odpovědné za řešení velkého počtu případů, protože mnoho technologických společností má své ústředí v EU zaregistrováno v Irsku nebo v Lucembursku; je zvláště znepokojen skutečností, že irský úřad pro ochranu osobních údajů obecně uzavírá většinu případů narovnáním namísto sankcí a že případy předané Irsku v roce 2018 nedosáhly ani fáze návrhu rozhodnutí ve smyslu čl. 60 odst. 3 nařízení o GDPR; vyzývá tyto úřady pro ochranu osobních údajů, aby urychlily probíhající vyšetřování hlavních případů, a ukázaly tak občanům EU, že ochrana údajů je v EU vymahatelným právem; poukazuje na to, že úspěch tohoto mechanismu „jednotného kontaktního místa“ závisí na čase a úsilí, které budou moci úřady pro ochranu osobních údajů věnovat řešení a spolupráci na jednotlivých přeshraničních případech v rámci EDPB, a že nedostatek politické vůle a zdrojů má bezprostřední dopad na to, do jaké míry bude tento mechanismus schopen řádně fungovat;

21.  všímá si rozporů mezi pokyny členských států a pokyny EDPB; poukazuje na to, že vnitrostátní úřady pro ochranu osobních údajů mohou dospět k různým výkladům nařízení GDPR, což má za následek rozdílné uplatňování v jednotlivých členských státech; konstatuje, že tato situace vytváří geografické výhody i nevýhody pro společnosti; apeluje na Komisi, aby posoudila, zda vnitrostátní správní postupy brání plné účinnosti spolupráce ve smyslu článku 60 nařízení GDPR a jeho účinnému provádění; vyzývá úřady pro ochranu osobních údajů, aby usilovaly o soudržný výklad a pokyny vytvořené za pomoci EDPB; vyzývá zejména EDPB, aby vypracoval základní prvky společného správního řízení pro vyřizování stížností v přeshraničních případech v rámci spolupráce podle článku 60; naléhavě vyzývá, aby se tak stalo prostřednictvím dodržování pokynů týkajících se společných lhůt pro provádění šetření a přijímání rozhodnutí; vyzývá EDPB, aby posílil mechanismus jednotnosti a zavedl jeho povinné využití ve všech záležitostech s obecnou působností nebo v každém případě s přeshraničními účinky, aby se zabránilo nejednotným přístupům a rozhodnutím jednotlivých úřadů pro ochranu osobních údajů, neboť by to ohrozilo jednotný výklad a uplatňování nařízení GDPR; má za to, že jednotný výklad, uplatňování a pokyny by přispěly k vytvoření a úspěchu jednotného digitálního trhu;

22.  vyzývá EDPB, aby zveřejňoval program svých zasedání před jejich konáním a aby veřejnosti a Parlamentu poskytl jejich podrobnější shrnutí;

Roztříštěnost provádění nařízení GDPR

23.  vyjadřuje politování nad tím, že členské státy využívají volitelných doložek o specifikacích (např. zpracování ve veřejném zájmu nebo orgány veřejné moci na základě práva členského státu a věk souhlasu dětí), což poškozuje dosažení úplné harmonizace ochrany údajů a odstranění rozdílných tržních podmínek pro společnosti v celé EU, a vyjadřuje obavy, že by se tím mohly zvýšit náklady na dodržování nařízení GDPR; vyzývá EDPB, aby předložil pokyny týkající se postupu v případě odlišného uplatňování volitelných doložek o specifikacích mezi členskými státy; vyzývá Komisi, aby využila svých pravomocí k zásahu v členských státech, v nichž vnitrostátní opatření, činnosti a rozhodnutí narušují smysl, cíl a znění nařízení GDPR, aby zabránila nerovné ochraně občanů a narušení trhu; zdůrazňuje v této souvislosti, že členské státy přijaly pro zásadu souhlasu rodičů různé věkové rozpětí; vyzývá proto Komisi a členské státy, aby posoudily dopad této roztříštěnosti na činnosti dětí a na jejich ochranu na internetu; zdůrazňuje, že v případě kolize norem mezi vnitrostátním právem členského státu a nařízením GDPR by měla převážit ustanovení nařízení GDPR;

24.  vyjadřuje silné znepokojení ze zneužívání nařízení GDPR orgány veřejné moci některých členských států k omezování novinářů a nevládních organizací; rozhodně souhlasí s Komisí, že pravidla ochrany údajů by neměla ovlivnit výkon svobody projevu a informací, zejména tím, že budou vytvářet odrazující účinek nebo budou vykládána jako způsob, jak vyvíjet tlak na novináře, aby zveřejnili své zdroje; vyjadřuje však zklamání nad tím, že Komise dosud nedokončila své posouzení rovnováhy mezi právem na ochranu osobních údajů a svobodou projevu a informací, jak stanoví článek 85 nařízení GDPR; vyzývá Komisi, aby v tomto ohledu bez zbytečného odkladu dokončila posouzení vnitrostátních právních předpisů a využila veškeré dostupné nástroje, včetně řízení o nesplnění povinnosti, s cílem zajistit, aby členské státy nařízení GDPR dodržovaly, a aby omezila veškerou roztříštěnost rámce ochrany osobních údajů;

Cílená ochrana údajů

25.  vyzývá orgány dohledu, aby posoudily provádění článku 25 o záměrné a standardní ochraně údajů, zejména s ohledem na zajištění technických a provozních opatření potřebných pro provádění zásad minimalizace údajů a účelového omezení a určení účinku, který toto ustanovení mělo na výrobce zpracovatelských technologií; vítá skutečnost, že EDPB v říjnu 2020 přijal pokyny č. 04/2019 ohledně článku 25 o záměrné a standardní ochraně osobních údajů s cílem přispět k právní srozumitelnosti těchto konceptů; vyzývá orgány dohledu, aby rovněž posoudily řádné používání standardních nastavení, jak je stanoveno v čl. 25 odst. 2, a to i ze strany velkých poskytovatelů on-line služeb; doporučuje, aby EDPB přijal pokyny, které stanoví, za jakých konkrétních podmínek a v jakých případech (kategoriích případů) mají být výrobci IKT považováni za „správce“ ve smyslu čl. 4 odst. 7, v tom smyslu, že určují prostředky zpracování; poukazuje na to, že postupy v oblasti ochrany údajů stále do značné míry závisejí na ručně prováděných úkolech a nahodilých formátech a zahrnují množství neslučitelných systémů; vyzývá EDPB, aby vytvořil pokyny, které by pomohly zavádět požadavky na ochranu údajů do praxe, včetně pokynů pro posouzení vlivu na ochranu osobních údajů (článek 35), záměrnou a standardní ochranu osobních údajů (článek 25), informace zaměřené na subjekty údajů (články 12–14), výkon práv subjektů údajů (články 15–18, 20–21) a pro záznamy o činnostech zpracování (články 30); vyzývá EDPB, aby zajistil, že tyto pokyny budou snadno použitelné a rovněž umožní komunikaci typu „machine-to-machine“ mezi subjekty údajů, správci a úřady pro ochranu osobních údajů (automatizace ochrany osobních údajů); vyzývá Komisi, aby vytvořila strojově čitelné ikony podle čl. 12 odst. 8 pro informování subjektů údajů, a to v úzké spolupráci s EDPB; vybízí EDPB a orgány dohledu, aby plně využívaly potenciál čl. 21 odst. 5 týkající se automatizovaných způsobů, jak vznést námitku proti zpracování osobních údajů;

Obecné pokyny

26.  vyzývá EDPB k harmonizaci provádění požadavků na ochranu údajů do praxe vypracováním pokynů, mimo jiné v souvislosti s potřebou posuzovat rizika spojená s informacemi o zpracování údajů pro subjekty údajů (články 12–14), uplatňováním práv subjektů údajů (články 15–18, 20–21) a uplatňováním zásady povinnosti odpovídat se; vyzývá EDPB, aby vydal pokyny, které budou klasifikovat jednotlivé případy oprávněného používání profilování podle rizik pro práva a svobody subjektů údajů, spolu s doporučeními pro vhodná technická a organizační opatření a jasně vymezí případy protiprávního použití; vyzývá EDPB, aby přezkoumal stanovisko pracovní skupiny zřízené podle článku 29 č. 05/2014 ze dne 10. dubna 2014 k technikám anonymizace a aby vytvořil seznam jednoznačných kritérií k dosažení anonymizace; vybízí EDPB, aby vyjasnil zpracování údajů pro účely lidských zdrojů; bere na vědomí závěr EDPB, že by měla být zachována potřeba posuzovat rizika spojená se zpracováním údajů, jak je stanoveno v nařízení GDPR, neboť rizika pro subjekty údajů nesouvisí s velikostí správců údajů; vyzývá k lepšímu využívání mechanismu, podle nějž si Komise může vyžádat radu EDPB v záležitostech, na něž se vztahuje nařízení GDPR;

27.  konstatuje, že pandemie COVID-19 upozornila na to, že je třeba, aby úřady pro ochranu osobních údajů a EDPB poskytly jednoznačné pokyny ohledně náležitého provádění nařízení GDPR v rámci politik veřejného zdraví; připomíná v této souvislosti pokyny č. 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění COVID-19 a pokynů č. 04/2020 k používání lokalizačních údajů a nástrojů k trasování kontaktů v souvislosti s propuknutím onemocnění COVID-19; vyzývá Komisi, aby zajistila plný soulad s nařízením GDPR při vytváření společného evropského prostoru pro data z oblasti veřejného zdraví;

Mezinárodní tok osobních údajů a spolupráce

28.  zdůrazňuje význam umožnění volného toku osobních údajů na mezinárodní úrovni bez snížení úrovně ochrany zaručované na základě GDPR; podporuje praxi Komise, pokud jde o řešení ochrany údajů a toků osobních údajů odděleně od obchodních dohod; je přesvědčen, že mezinárodní spolupráce v oblasti ochrany údajů a sbližování příslušných pravidel s nařízením GDPR zlepší vzájemnou důvěru, podpoří porozumění technologickým a právním výzvám a v konečném důsledku usnadní přeshraniční toky údajů, které mají zásadní význam pro mezinárodní obchod; uznává realitu kolizních právních požadavků na společnosti, které provádějí zpracování údajů v EU, jakož i v jurisdikcích třetích zemí, zejména v USA;

29.  zdůrazňuje, že rozhodnutí o odpovídající ochraně by neměla být politickými, ale právními rozhodnutími; podporuje pokračující úsilí o prosazování celosvětových právních rámců s cílem umožnit přenosy údajů na základě nařízení GDPR a úmluvy č. 108+ Rady Evropy; bere dále na vědomí, že zúčastněné strany považují rozhodnutí o odpovídající ochraně za jeden ze zásadních nástrojů umožňujících tyto toky údajů, neboť je nepovažují za dodatečné podmínky nebo povolení; zdůrazňuje však, že rozhodnutí o přiměřenosti byla dosud přijata pouze pro devět zemí, i když mnoho dalších třetích zemí nedávno přijalo nové právní předpisy v oblasti ochrany osobních údajů s podobnými pravidly a zásadami jako nařízení GDPR; konstatuje, že se doposud žádný jednotný mechanismus zaručující legální předávání komerčních osobních údajů mezi EU a USA nestal předmětem právního napadení u Soudního dvora Evropské unie;

30.  vítá přijetí prvního rozhodnutí o odpovídající vzájemné ochraně mezi EU a Japonskem, které vytvořilo největší prostor volného a bezpečného toku údajů na světě; vyzývá však Komisi, aby při prvním přezkumu tohoto nástroje vzala v úvahu všechny otázky vznesené Parlamentem a aby výsledky co nejdříve zveřejnila, protože přezkum měl být přijat do ledna 2021;

31.  vyzývá Komisi, aby zveřejnila sadu kritérií používanou ke stanovení toho, zda je třetí země považována za poskytující „v zásadě rovnocennou‘ úroveň ochrany v porovnání s úrovní ochrany zajištěnou v Unii, zejména pokud jde o přístup k právní ochraně a přístup vlád k údajům; trvá na tom, že je třeba zajistit účinné uplatňování a dodržování ustanovení článku 48 nařízení GDPR týkající se předání či zveřejnění údajů nepovolená právem Unie, zejména pokud jde o žádost orgánů třetích zemí o přístup k osobním údajům v Unii, a vyzývá EDPB a úřady pro ochranu osobních údajů, aby k těmto ustanovením vypracovaly pokyny a prosazovaly je, mimo jiné i při hodnocení a vývoji mechanismů předávání osobních údajů;

32.  vyzývá Komisi, aby přijala akty v přenesené pravomoci za účelem upřesnění požadavků, které je třeba zohlednit u mechanismu vydávání osvědčení v souvislosti s ochranou údajů podle čl. 42 odst. 1, s cílem posílit jeho používání společně se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi k uplatnění vhodných záruk, včetně práv subjektů údajů, jako prostředku pro mezinárodní předávání, jak stanoví čl. 46 odst. 2 písm. f);

33.  opakuje, že programy hromadného sledování, které zahrnují hromadné shromažďování údajů, brání zjištěním týkajícím se odpovídající úrovně ochrany osobních údajů; naléhavě vyzývá Komisi, aby uplatňovala závěry Soudního dvora Evropské unie ve věcech Schrems I(5), II(6) a Privacy International et al. (2020)(7) na všechny přezkumy rozhodnutí o odpovídající ochraně, jakož i na probíhající i budoucí jednání; připomíná, že převody založení na výjimkách pro specifické situace podle článku 49 nařízení GDPR musí zůstat výjimečné; vítá pokyny EDPB a úřadů pro ochranu osobních údajů v této souvislosti a vyzývá je, aby zajistily jednotný výklad uplatňování a kontrol takových výjimek v souladu s pokyny EDPB č. 02/2018;

34.  vyzývá úřady pro ochranu osobních údajů a Komisi, aby systematicky posuzovaly, zda jsou pravidla pro ochranu osobních údajů uplatňovaná ve třetích zemích v souladu judikaturou Evropského soudního dvora;

35.  naléhavě vybízí Komisi, aby bez zbytečného odkladu zveřejnila své posouzení rozhodnutí o odpovídající ochraně přijatých podle směrnice z roku 1995; zdůrazňuje, že vzhledem k tomu, že nebylo přijato rozhodnutí o odpovídající ochraně, jsou nejrozsáhlejším nástrojem mezinárodního předávání údajů standardní smluvní doložky; podotýká, že Soudní dvůr Evropské unie potvrdil platnost rozhodnutí 2010/87/EU o standardní smluvní doložce(8) a požadoval posouzení úrovně ochrany poskytované údajům předávaným do třetí země a příslušných aspektů právního systému této třetí země, pokud jde o přístup orgánů veřejné moci k předávaným osobním údajům; naléhavě vyzývá Komisi, aby urychlila práci na modernizovaných standardních smluvních doložkách pro mezinárodní předávání údajů s cílem zajistit rovné podmínky pro malé a střední podniky na mezinárodní úrovni; vítá, že Komise zveřejnila návrh standardních smluvních doložek, a cíl učinit standardní smluvní doložky uživatelsky přívětivější a zabývat se zjištěnými nedostatky stávajících standardů;

36.  připomíná pokyny EDPB č. 1/2019 týkající se kodexů chování a subjektů pro monitorování podle nařízení (EU) 2016/679; uznává, že tento nástroj je v současné době nedostatečně využíván, přestože při používání společně se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi k uplatnění vhodných záruk zajišťuje dodržování nařízení GDPR; zdůrazňuje potenciál tohoto nástroje pro lepší podporu malých a středních podniků a poskytnutí větší právní jistoty v souvislosti s mezinárodním předáváním údajů v různých odvětvích;

Budoucí právní předpisy Unie

37.  je toho názoru, že nařízení GDPR poskytuje pevný regulační rámec pro vznikající technologie tím, že je technologicky neutrální; domnívá se nicméně, že je třeba dalšího úsilí k řešení širších otázek digitalizace, jako jsou monopoly a nerovnováha sil prostřednictvím zvláštní regulace, a pečlivého zvážení souvislosti nařízení GDPR s každou novou legislativní iniciativou, aby byla zajištěna jednotnost a odstraněny právní mezery; připomíná Komisi její povinnost zajišťovat, že legislativní návrhy týkající se například správy údajů, zákonů o údajích, zákonů o digitálních službách nebo o umělé inteligenci musí být vždy plně v souladu s nařízením GDPR a se směrnicí o prosazování práva(9); má za to, že konečná znění textů přijatých spolunormotvůrci prostřednictvím interinstitucionálních jednání musí plně respektovat acquis v oblasti ochrany údajů; vyjadřuje však politování nad tím, že sama Komise ne vždy zaujímá soudržný přístup k ochraně údajů ve svých legislativních návrzích; zdůrazňuje, že odkaz na uplatňování nařízení GDPR nebo formulace „aniž je dotčeno nařízení GDPR“ automaticky nezakládá soulad návrhu s nařízením GDPR; vyzývá Komisi, aby konzultovala evropského inspektora ochrany údajů a EDPB v případě dopadu na ochranu práv a svobod jednotlivců v souvislosti se zpracováním osobních údajů po přijetí návrhů legislativních aktů; dále vyzývá Komisi, aby při přípravě návrhů nebo doporučení usilovala o konzultaci s evropským inspektorem ochrany údajů s cílem zajistit jednotnost pravidel pro ochranu údajů v celé Unii a aby vždy provedla posouzení dopadů;

38.  konstatuje, že profilování, přestože je článkem 22 nařízení GDPR povoleno pouze za přísných a úzce vymezených podmínek, se stále více používá, protože on-line činnosti jednotlivců umožňují hluboký vhled do jejich psychologie a soukromého života; konstatuje, že vzhledem k tomu, že profilování umožňuje manipulaci s chováním uživatelů, mělo by se shromažďování a zpracovávání osobních údajů týkajících se využívání digitálních služeb omezovat na rozsah nezbytně nutný pro poskytování služby a fakturaci uživatelům; vyzývá Komisi, aby navrhla přísné odvětvové právní předpisy v oblasti ochrany údajů pro citlivé kategorie osobních údajů tam, kde tak dosud neučinila; požaduje přísné prosazování nařízení GDPR v oblasti zpracování osobních údajů;

39.  vyzývá k posílení postavení spotřebitelů tak, aby mohli činit informovaná rozhodnutí o dopadech využívání nových technologií na soukromí, a k zajištění spravedlivého a transparentního zpracování poskytnutím snadno použitelných možností udělení a odebrání souhlasu se zpracováním jejich osobních údajů, jak stanoví nařízení o GDPR;

Směrnice o prosazování práva

40.  je znepokojen tím, že pravidla pro ochranu osobních údajů používaná pro účely prosazování práva jsou velmi nedostatečná a nedokážou udržet krok s nově získávanými kompetencemi v rámci prosazování práva; vyzývá proto Komisi, aby provedla hodnocení směrnice o prosazování práva dříve, než ve lhůtě stanovené směrnicí, a aby tento přezkum zveřejnila;

Nařízení o soukromí a elektronických komunikacích

41.  vyjadřuje hluboké znepokojení nad nedostatečným prováděním směrnice o soukromí a elektronických komunikacích(10) členskými státy s ohledem na změny zavedené nařízením GDPR; vyzývá Komisi, aby uspíšila své posouzení a zahájila řízení o nesplnění povinností s členskými státy, které směrnici o soukromí a elektronických komunikacích náležitě neprovedly; je velmi znepokojen tím, že několik let opožděná reforma předpisů týkajících se soukromí a elektronických komunikací vede k fragmentaci právního prostředí v EU, což by mohlo poškodit podniky i občany; připomíná, že nařízení o soukromí a elektronických komunikacích(11) bylo navrženo s cílem doplnit a konkretizovat nařízení GDPR a mělo začít platit souběžně se vstupem nařízení GDPR v platnost; zdůrazňuje, že reforma pravidel pro soukromí a elektronické komunikace nesmí způsobit pokles stávající úrovně ochrany zajištěné nařízením GDPR a směrnicí o soukromí a elektronických komunikacích; vyjadřuje politování nad tím, že Radě trvalo čtyři roky, než konečně přijala svůj vyjednávací postoj ohledně návrhu nařízení o soukromí a elektronických komunikacích, zatímco Parlament svůj vyjednávací postoj přijal v říjnu 2017; připomíná, že je třeba zmodernizovat předpisy týkající se soukromí a elektronických komunikací z let 2002 a 2009 s cílem zlepšit ochranu základních práv občanů a právní jistotu pro společnosti, které budou doplněny nařízením GDPR;

o
o   o

42.  pověřuje svého předsedu, aby předal toto usnesení Komisi, Evropské radě, vládám a vnitrostátním parlamentům členských států, Evropskému sboru pro ochranu osobních údajů a evropskému inspektorovi ochrany údajů.

(1) Úř. věst. L 119, 4.5.2016, s. 1. (2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf (3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf (4) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31). (5) Rozsudek Soudního dvora ze dne 6. října 2015 ve věci Maximillian Schrems v Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (6) Rozsudek Soudního dvora ze dne 16. července 2020 ve věci Data Protection Commissioner v Facebook Ireland Limited a Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (7) Rozsudky ve věcech C-623/17, Privacy International, a ve spojených věcech C-511/18, La Quadrature du Net a další, C-512/18, French Data Network a další a C-520/18, Ordre des barreaux francophones et germanophone a další. (8) Rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016 (Úř. věst. L 39, 12.2.2010, s. 5). (9) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89). (10) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Úř. věst. L 201, 31.7.2002, s. 37). (11) Návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (COM(2017)0010).