EDPB zveřejňuje Pokyny k předávání údajů orgánům třetích zemí a školicí materiály SPE o umělé inteligenci (AI) a ochraně údajů

Evropský sbor pro ochranu osobních údajů (EDPB) na svém posledním plenárním zasedání přijal po veřejné konzultaci konečné znění svých Pokynů k článku 48 GDPR (obecného nařízení o ochraně osobních údajů) týkající se předávání údajů orgánům třetích zemí. Kromě toho rada představila dva nové projekty Podpůrné skupiny odborníků (SPE), které poskytují školicí materiály o umělé inteligenci a ochraně údajů. Sbor rovněž projednal žádost Evropské komise o společné stanovisko Evropského sboru pro ochranu osobních údajů (EDPB) a Evropského inspektora ochrany údajů (EDPS) k návrhu na zjednodušení povinnosti vést záznamy podle GDPR.

Předávání údajů orgánům třetích zemí

Po veřejné konzultaci přijal EDPB konečnou verzi Pokynů pro předávání údajů orgánům třetích zemí. EDPB se ve svých pokynech zaměřuje na článek 48 GDPR a objasňuje, jak mohou organizace nejlépe posoudit, za jakých podmínek mohou zákonně reagovat na žádosti o předání osobních údajů od orgánů třetích zemí (tj. orgánů z mimoevropských zemí).

EDPB vysvětluje, že rozsudky nebo rozhodnutí orgánů třetích zemí nemohou být v Evropě automaticky uznány nebo vykonány. Obecně platí, že mezinárodní smlouvy mohou stanovit jak právní základ, tak důvod pro předání. Neexistuje-li mezinárodní smlouva nebo nestanoví-li smlouva vhodný právní základ nebo záruky, lze zvážit jiný právní základ nebo jiné důvody pro předání za výjimečných okolností a na základě posouzení případ od případu.

Změny zavedené v aktualizovaných Pokynech nemění jejich směřování, ale jejich cílem je poskytnout další objasnění různých aspektů, které byly v rámci konzultace zmíněny. Aktualizované pokyny se například zabývají situací, kdy je příjemcem žádosti zpracovatel. Kromě toho poskytují další podrobnosti týkající se situace, kdy mateřská společnost ve třetí zemi obdrží žádost od tohoto orgánu třetí země a poté požádá o osobní údaje svou dceřinou společnost v Evropě.

Prohlubování dovedností (upskilling) a rekvalifikace v oblasti AI a ochrany údajů

Na červnovém plenárním zasedání EDPB rovněž představil dva nové projekty Podpůrné skupiny odborníků: Právo a dodržování předpisů v oblasti bezpečnosti a ochrany údajů v oblasti umělé inteligence a Základy bezpečných systémů umělé inteligence s osobními údaji. Oba projekty, které byly zahájeny na žádost řeckého úřadu pro ochranu údajů (HDPA), poskytují školicí materiály o umělé inteligenci a ochraně údajů.

Zpráva „Law & Compliance in AI Security & Data Protection“ (Právo a dodržování předpisů v oblasti bezpečnosti AI a ochrany údajů) je určena odborníkům s právním zaměřením, jako jsou pověřenci pro ochranu osobních údajů nebo odborníci na ochranu dat.

Druhá zpráva s názvem „Fundamentals of Secure AI Systems with Personal Data“ (Základy bezpečných systémů AI s osobními údaji) je zaměřena na odborníky s technickým zaměřením, jako jsou odborníci v oblasti kybernetické bezpečnosti, vývojáři nebo provozovatelé vysoce rizikových systémů umělé inteligence (AI).

Hlavním cílem těchto projektů je řešit kritický nedostatek znalostí v oblasti AI a ochrany údajů, který je považován za klíčovou překážku využívání umělé inteligence šetrné k soukromí. Školicí materiály pomohou vybavit odborníky základními kompetencemi v oblasti AI a ochrany údajů s cílem vytvořit příznivější prostředí pro prosazování právních předpisů v oblasti ochrany údajů.

Sbor rozhodl o zveřejnění obou dokumentů ve formátu PDF. S ohledem na velmi rychlý vývoj AI se EDPB rovněž rozhodl zahájit novou inovativní iniciativu jako jednoletý pilotní projekt sestávající z modifikovatelné komunitní verze těchto zpráv. EDPB začne spolupracovat s autory obou zpráv na jejich importu do svého úložiště Git, aby v blízké budoucnosti umožnil jakémukoli externímu přispěvateli s účtem na této platformě a pod podmínkou licence Creative Commons Attribution-ShareAlike navrhnout změny nebo přidat připomínky k dokumentům.

Zjednodušení povinnosti vést záznamy GDPR

Sbor rovněž projednal žádost Evropské komise o společné stanovisko Evropského sboru pro ochranu osobních údajů a Evropského inspektora ochrany údajů (EDPS) k jejímu návrhu na zjednodušení evidenčních povinností malých a středních podniků (SME), malých společností se střední tržní kapitalizací (SMC) a organizací s méně než 750 zaměstnanci, což představuje cílenou změnu čl. 30 odst. 5 GDPR. EDPB a EDPS vydají společné stanovisko k této záležitosti do osmi týdnů.

Dne 8. května 2025 přijali EDPB a EDPS dopis adresovaný Evropské komisi, v němž sdělili předběžné názory k návrhu Komise týkající se zjednodušení povinnosti vést záznamy podle GDPR.

Originální znění tiskové zprávy EDPB naleznete zde.