Akt o správě dat (DGA) – Nařízení EU o správě dat
Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat), angl. Data Governance Act, DGA, které bylo publikováno v Úředním věstníku EU 3. června 2022, nabyde účinnosti 24. září 2023. Toto nařízení má usnadnit sdílení osobních i neosobních dat v rámci zemí EU, kde budou pro tento účel vytvořeny zprostředkovatelské struktury. Doplňkem DGA bude akt o datech (angl. Data Act, DA), který mimo jiné zavede povinné sdílení dat.
Data jsou v článku 2 bodu 1 DGA definována jako „veškeré digitální záznamy jednání, skutečností nebo informací a všechny soubory takových jednání, skutečností nebo informací, včetně záznamů v podobě zvukové, vizuální nebo audiovizuální nahrávky“. Jedná se o širokou definici, která zahrnuje také osobní údaje. Neosobní údaje jsou pak podle článku 2 bodu 4 DGA definovány jako „údaje jiné než osobní údaje“.
DGA stanoví pravidla pro:
- usnadnění opětovného použití údajů veřejného sektoru, na které se vztahuje stávající ochrana (obchodní tajemství, duševní vlastnictví nebo ochrana údajů),
- rámec pro zprostředkovatele dat (povinná certifikace),
- datový altruismus (článek 2 bod 16 a články 16–25 DGA) a organizace pro datový altruismus podle článku 17 DGA,
- Evropský sbor pro datové inovace (EDIB) podle článku 29 DGA, novou formální skupinu odborníků, které předsedá Evropská komise.
Adaptace DGA na český právní řád
Gestorem DGA je Ministerstvo průmyslu a obchodu, s výjimkou článků 3–9 DGA, jejichž gestorem je Ministerstvo vnitra, které připravilo věcný záměr zákona o správě dat veřejného sektoru. Tento záměr má regulovat následující dvě oblasti:
- efektivní správu dat prostřednictvím lepší evidence informačních systémů veřejné správy – pravidla katalogizace dat včetně datového přezkumu / inventarizace dat,
- řízený přístup k datům – hromadné využití dat veřejnými úřady a soukromoprávními subjekty i k jiným účelům, než za jakými byly vytvořeny či shromážděny.
Podle části 5.4 návrhu věcného záměru by měl ÚOOÚ udělovat sankce za porušení podmínek užití dat poskytnutých řízeným přístupem. Dále by pak měl působit jako odvolací instance pro přezkum rozhodnutí o neumožnění řízeného přístupu vydaných jednotným informačním místem.
Obecný dopad na ochranu osobních údajů
Vztah GDPR a DGA je definován v článku 1 odst. 3 a v bodu 4 odůvodnění DGA jako vztah subsidiarity obecného nařízení o ochraně osobních údajů, přičemž podle standardní formulace není GDPR prostřednictvím DGA dotčeno.
DGA má velký dopad na postavení úřadů pro ochranu osobních údajů (angl. Data Protection Authorities, DPA). Nařízením jsou jim ukládány nové povinnosti, a proto je třeba adekvátně nastavit kapacity k jejich naplnění. Úřad pro ochranu osobních údajů na tuto skutečnost upozorňoval již při vyjednávání DGA.
Zpracovávání osobních údajů by mělo být založeno na právním základu pro zpracování osobních údajů podle článků 6 a 9 GDPR. Definice osobních údajů, souhlasu a subjektu údajů jsou převzaty z obecného nařízení o ochraně osobních údajů, DGA je však doplňuje o nové:
a) držitel dat je podle článku 2 bodu 8 DGA: „právnická osoba, včetně subjektů veřejného sektoru a mezinárodních organizací, nebo fyzická osoba, která není subjektem údajů ve vztahu k daným konkrétním údajům a která má v souladu s příslušnými unijními nebo vnitrostátními právními předpisy právo umožnit přístup k určitým osobním údajům nebo neosobním údajům nebo je sdílet“ – je zjevné, že se nejedná o držitele podle občanského práva, ale o majitele (detentora),
b) uživatel dat je podle článku 2 bodu 9 DGA: „fyzická nebo právnická osoba, která má oprávněný přístup k určitým osobním nebo neosobním údajům a je oprávněna, v případě osobních údajů na základě nařízení (EU) 2016/679, použít tyto údaje pro komerční či nekomerční účely“, tedy v zásadě příjemce dat,
c) sdílení dat je podle článku 2 bodu 10 DGA: „poskytování dat uživateli dat subjektem údajů nebo držitelem dat za účelem společného či individuálního použití takovýchto dat na základě dobrovolných dohod nebo unijních či vnitrostátních právních předpisů, a to buď přímo, nebo prostřednictvím zprostředkovatele, například na základě otevřených nebo komerčních licencí bezplatně nebo za úplatu“,
d) přístupem je podle článku 2 bodu 13 DGA: „užívání dat v souladu se zvláštními technickými, právními nebo organizačními požadavky, aniž by to nutně znamenalo předání nebo stažení dat“, tedy taková operace zpracování dat, která se děje na zařízení subjektu údajů.
V bodu 7 odůvodnění DGA jsou popsány techniky přátelské k ochraně osobních údajů, a to syntetická data či diferenciální soukromí. Tyto techniky by měly být využity veřejným sektorem a umožnit tak větší sdílení dat.
Vzhledem k technologickým možnostem dneška je problematická otázka, zda veškeré neosobní údaje jsou skutečně neosobní, protože deanonymizace je na postupu. Záruky proti tomu stanoví článek 5 odst. 5 a bod 8 odůvodnění DGA, podle nichž by měla být podpořena anonymizace a „opětovná identifikace subjektů údajů z anonymizovaných souborů údajů by měla být zakázána“.
V článku 25 odst. 1 a 3 DGA se zavádí evropský formulář souhlasu s datovým altruismem, který bude vytvořen ve spolupráci s EDPB. Podle odst. 3 lze souhlas odvolat: „Jsou-li poskytovány osobní údaje, evropský formulář souhlasu s datovým altruismem zajišťuje, že subjekty údajů mohou udělit a odvolat souhlas s určitou operací zpracování údajů v souladu s požadavky stanovenými v nařízení (EU) 2016/679.“
Působnost správních úřadů
Každý členský stát musí vymezit národní správní úřady podle DGA, přičemž unijní správní úřady zřizuje DGA přímo. Jedná se o následující úřady.
a) Příslušné orgány podle článku 7 odst. 1 DGA a článku 26. V jejich působnosti bude povolovat nebo zamítat přístup za účelem opakovaného použití dat. Může jich být více, každý pro konkrétní odvětví. Cílem je podpora subjektů veřejného sektoru. Podle článku 27 odst. 1 DGA vyřizují stížnosti.
b) Orgán pro služby zprostředkování dat podle článku 13 odst. 1 DGA.
c) Orgán pro registraci organizací pro datový altruismus podle článku 17 odst. 1 a článku 23 odst. 3 DGA: „Příslušný orgán pro registraci organizací pro datový altruismus v členském státě plní své úkoly ve spolupráci s příslušným orgánem pro ochranu údajů, pokud tyto úkoly souvisejí se zpracováváním osobních údajů, a s příslušnými odvětvovými orgány v uvedeném členském státě.“
d) EDIB (Evropský sbor pro datové inovace) podle článku 29 DGA. Složení zástupců:
- národní orgány pro služby zprostředkování dat,
- národní orgány pro registraci organizací pro datový altruismus,
- Evropský sbor pro ochranu osobních údajů (EDPB),
- Evropský inspektor ochrany údajů (EDPS),
- ENISA (Evropská agentura pro bezpečnost sítí a informací),
- Evropská komise,
- zmocněnec EU pro malé a střední podniky nebo zástupce jmenovaný sítí zmocněnců pro malé a střední podniky,
- orgány v konkrétních odvětvích,
- orgány se zvláštním odborným zaměřením.
EDIB budu mít povinně tři podskupiny: věcnou (orgány pro služby zprostředkování dat a orgány pro registraci organizací pro datový altruismus), technickou pro diskuze o normalizaci, přenositelnosti a interoperabilitě a poradenskou pro zapojení průmyslu, výzkumu, akademie, občanské společnosti, normalizace a evropských datových prostorů (EDS).