Vláda Spojeného království zveřejnila návrh zákona, který změní pravidla pro zpracování a ochranu osobních údajů a ochranu soukromí v odvětví elektronických komunikací. Návrh zákona označovaného jako Data (Use and Access) Bill rovněž upřesní pravidla týkající se digitální identity a zreformuje dozorový úřad Information Commissioner's Office.
Data (Use and Access) Bill nepřináší tak rozsáhlé a radikální změny, jaké navrhovala předchozí vláda v předchozím návrhu zákona – Data Protection and Digital Information Bill. Přestože předchozí návrh zákona prošel Dolní sněmovnou (House of Commons) a postoupil do Sněmovny lordů (House of Lords), nepodařilo se jej přijmout před parlamentními volbami v roce 2024.
Současná novelizace naproti tomu nenavrhuje zrušení funkce pověřence pro ochranu osobních údajů. Zachovává i další instituty, které známe z GDPR, jako jsou DPIA či záznamy o činnostech zpracování.
Oprávněný zájem
Data (Use and Access) Bill však přináší několik změn, které budou znamenat poměrně výrazné odchýlení se od současných pravidel, která stále vycházejí z GDPR. Data (Use and Access) Bill např. pracuje s tzv. uznanými oprávněnými zájmy (recognised legitimate interests). Jde o seznam určitých činností, které jsou obecně považovány za oprávněné zájmy. Hlavní výhodou uznaných oprávněných zájmů je, že pokud správce může poukázat na jeden z těchto uznaných oprávněných zájmů pro zpracování osobních údajů, nebude muset provádět vlastní posouzení oprávněného zájmu.
Mezi tyto specificky uznané oprávněné zájmy podle návrhu zákona patří:
poskytnutí údajů správci, který je potřebuje zpracovat pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, pokud si správce tyto údaje vyžádal,
zajištění národní bezpečnosti nebo ochrany veřejné bezpečnosti,
reakce na mimořádné události,
odhalování, vyšetřování nebo předcházení trestné činnosti nebo zadržení či stíhání pachatelů trestných činů, nebo
ochrana zranitelných osob.
Návrh zákona obsahuje také seznam příkladů zpracování osobních údajů, které lze považovat za zpracování nezbytné pro účely oprávněného zájmu. V těchto případech se však nejedná o uznané oprávněné zájmy. Provedení posouzení oprávněného zájmu je tak u nich, na rozdíl od uznaných oprávněných zájmů, nutné.
Jsou jimi:
přímý marketing,
sdílení údajů v rámci skupiny pro interní administrativní účely, nebo
zpracování za účelem zajištění bezpečnosti sítí a informací.
Zvláštní kategorie osobních údajů
Výčet zvláštních kategorií osobních údajů zůstává návrhem nového zákona nedotčen. Změnou ovšem je, že někteří úředníci by měl mít pravomoc doplnit seznam zvláštních kategorií osobních údajů.
Státními tajemníky, kteří mají určité pravomoci ve vztahu k Data Protection Act 2018, někdy nazývaného i UK GDPR, a ve vztahu k Data (Use and Access) Bill, jsou ve většině případů státní tajemník pro podnikání a obchod (Secretary of State for Business and Trade) a ministr vnitra (Secretary of State for the Home Department). Nově doplněné kategorie může státní tajemník následně také sám zase ze seznamu odstranit.
Cílem je umožnit rychle reagovat na budoucí technologický a společenský vývoj. Nemělo by však dojít ke snížení úrovně ochrany citlivých osobních údajů, jelikož pravomoc státního tajemníka ve vztahu k rušení kategorií osobních údajů ze seznamu zvláštních kategorií osobních údajů je omezena jen na nově přidané kategorie nad rámec těch, které jsou uvedeny v evropské regulaci, GDPR.
Vyřizování žádostí subjektů údajů
Nový návrh, Data (Use and Access) Bill, obsahuje podrobnější pravidla pro počítání lhůty pro vyřízení žádostí subjektů údajů v závislosti na tom, zda správce požaduje od žadatele další informace. Návrh zákona výslovně uvádí, že pokud správce důvodně požaduje další informace po subjektu údajů, doba, než subjekt údajů žádost doplní, se do lhůty pro vyřízení žádosti nezapočítá.
Zákon dále např. uvádí, že příkladem, kdy správce může požadovat další informace od žadatele, je situace, kdy o něm správce zpracovává velké množství informací.
Předávání osobních údajů do třetích zemí
Data (Use and Access) Bill reviduje současná pravidla předávání osobních údajů do třetích zemí. Zatímco některé navrhované změny pouze přizpůsobují jazyk právnímu řádu Spojeného království (např. mluví o „adequacy regulations" a nikoliv o „adequacy decisions"), jiné zavádějí podstatnější rozdíly oproti předchozí právní úpravě.
Klíčovou změnou je tzv. test ochrany údajů (data protection test), který bude určený státní tajemník provádět k posouzení přiměřenosti úrovně ochrany osobních údajů ve třetích zemích. Narozdíl od GDPR se tento test zaměřuje na posouzení, zda je či není ochrana osobních údajů ve třetí zemi podstatně nižší než ve Spojeném království, přičemž zohledňuje i faktory jako je kultura a tradice daného státu. Státní tajemník bude rovněž posuzovat přístup orgánů veřejné moci k osobním údajům pro účely národní bezpečnosti a vymáhání práva.
Nová právní úprava tak umožní vydávat rozhodnutí o přiměřenosti úrovně ochrany osobních údajů ve třetích zemích na základě širších hledisek (včetně politických a ekonomických). Dále mu umožní specifikovat standardní smluvní doložky a omezovat předávání osobních údajů z důvodů veřejného zájmu.
Automatizované individuální rozhodování
Návrh nového zákona výrazně mění pravidla týkající se automatizovaného individuálního rozhodování. Ta jsou v unijním právu upravená v čl. 22 GDPR. Návrh zákona usiluje o větší flexibilitu, zejména pokud jde o údaje, které nespadají do zvláštních kategorií osobních údajů.
Návrh zákona zavádí pojmy „významné rozhodnutí“ (significant decision) a „smysluplné lidské zapojení“ (meaningful human involvement). Přítomnost smysluplného lidského zapojení v celém procesu určuje, zda je rozhodnutí považováno za výhradně automatizované. Při zvažování, zda při přijímání rozhodnutí dochází k smysluplnému lidskému zapojení, je nutné mimo jiné zvážit, do jaké míry je rozhodnutí přijímáno pomocí profilování.
Výhradně automatizovaná významná rozhodnutí zahrnující zvláštní kategorie osobních údajů budou možná jen s výslovným souhlasem dotčené osoby, nezbytností tohoto zpracování pro uzavření či plnění smlouvy nebo podstatným veřejným zájmem nebo zákonným požadavkem/povolením. Pozoruhodné je, že tato omezení se nevztahují na „běžné“ kategorie osobních údajů. Jejich automatizované zpracování tak bude mít jednodušší režim, než jaký upravuje GDPR.
U všech výhradně automatizovaných významných rozhodnutí budou správci povinni poskytnout dotčeným osobám dodatečné záruky na ochranu jejich práv. Tyto záruky mohou mít podobu:
poskytnutí detailních informací o automatizovaném rozhodování,
umožnění subjektu údajů vyjádřit se k rozhodnutí,
zajištění práva na lidský zásah, nebo
umožnění subjektu údajů napadnout/rozporovat rozhodnutí.
Státní tajemník pak dále získá pravomoc definovat „smysluplné lidské zapojení“ a „významná rozhodnutí“ a specifikovat požadované záruky.
Zkomplikuje nová regulace spolupráci s britskými firmami?
Při pohledu na výše popsané změny je zřejmé, že nejpodstatnější rozdíl se dotýká pravidel upravujících automatizované individuální rozhodování. Cílem této úpravy je snížit administrativní zátěž pro moderní systémy využívání a zpracování dat, včetně zapojení umělé inteligence.
Otázkou je, zda bude podle Evropské komise po novelizaci pořád zaručena odpovídající úroveň ochrany osobních údajů ve Spojeném království. Navržené úpravy sice na první pohled představují jen relativně menší odchylky od GDPR, ale zejména s ohledem na rozmach umělém inteligence a její novou regulaci v EU (AI Act) může tento rozdíl přinést dalekosáhlé důsledky pro subjekty údajů. Dle názoru autora by však nová pravidla týkající se automatizovaného individuálního rozhodování neměla vést k závěru, že odpovídající úroveň ochrany osobních údajů ve Spojeném království není zaručena. Důležité ovšem bude, jak je vyhodnotí Evropská komise při revizi rozhodnutí o odpovídající úrovni ochrany osobních údajů, která se bude konat zřejmě v roce 2025.
Pokud by Evropská komise při tomto přezkumu dospěla k závěru, že ve Spojeném království není zaručena odpovídající úroveň ochrany osobních údajů, bude Spojené království považováno z pohledu předávání osobních údajů za třetí zemi s nedostatečnou úrovní ochrany osobních údajů. Správci, případně zpracovatelé osobních údajů, kteří by pak chtěli předávat osobní údaje do Spojeného království, by museli využít některý z dalších nástrojů pro předávání dat do třetích zemí, které nejsou považovány za bezpečné - tedy např. závazná vnitropodniková pravidla (Binding Corporate Rules), standardní smluvní doložky (Standard Contractual Clauses) nebo schválený kodex chování podle čl. 40 GDPR.
Pro organizace se sídlem v Evropské unii, včetně České republiky, by to znamenalo např. upravit nebo výrazně rozšířit současné smlouvy, zavést dodatečná opatření nebo zásadně upravit datové toky. Takovéto rozhodnutí Evropské komise by jednoznačně přineslo zvýšení administrativní zátěže pro všechny správce a zpracovatele se sídlem v EU.
