V září 2024 publikovaná Draghiho zpráva o konkurenceschopnosti Evropy identifikovala jako jednu z příčin zaostávajícího hospodářského růstu, resp. inovativnosti v EU, přeregulovanost zdejšího podnikatelského prostředí. Samozřejmě, že v tomto kontextu bylo analyzováno i GDPR, kde vyšly najevo jako hlavní identifikované problémy nejednotnost vnitrostátních dohledových orgánů pro ochranu osobních údajů ve vymáhání GDPR a nejednotnost pravidel v jednotlivých členských státech – ať už jako následek gold-platingu, nebo skutečnosti, že GDPR svěřuje členským státům EU možnost si pravidla ochrany osobních údajů přizpůsobit v 15 různých oblastech.
Po nástupu Donalda Trumpa do funkce prezidenta USA, který z deregulace udělal jeden z hlavních slibů svého druhého funkčního období, přičemž tento slib velmi dobře funguje v rámci politického marketingu, se na této vlně začala vozit i řada unijních a předních národních politiků z EU. Jednou z oblastí, na kterou se měly deregulační snahy upřít, pak přirozeně měla být i oblast ochrany osobních údajů, a to zejména v kontextu s v podstatě paralelně probíhajícím boomem umělé inteligence, ve které si EU nechce nechat ujet vlak.
Po měsících spekulací koncem května Evropská komise v rámci balíčku Omnibus IV představila konkrétní podobu návrhu na aktualizaci GDPR. Na první pohled je pro praxi nejzajímavějším bodem tohoto návrhu zmírnění povinnosti vést záznamy o zpracování osobních údajů podle čl. 30 GDPR. Nově by se výjimka z této povinnosti dle odst. 5 tohoto článku aplikovala na organizace nebo podniky zaměstnávající méně než 750 osob (nově zaváděná kategorie malých středních podniků, tzv. small mid-cap enterprises (SMC) s méně než 750 zaměstnanci a jejichž roční obrat nepřesahuje 150 milionů EUR nebo 129 milionů EUR v celkových aktivech), přičemž další kritérium v této výjimce, a sice rizikovost zpracování, má být modifikováno tak, že činnosti zpracování osobních údajů pravděpodobně nebudou představovat „vysoké riziko“ pro práva a svobody subjektů údajů (dosud bylo kritériem pouze „riziko“). Podle Evropské komise je takových podniků v EU 38 000 a pro ně by tedy dle názoru Evropské komise mělo jít o snížení administrativní zátěže.
Je tomu však skutečně tak? Pokud se podíváme na interpretaci výjimky dle čl. 30 odst. 5 GDPR, kterou zastává Evropský sbor pro ochranu osobních údajů, mělo by nyní platit, že „Obecně řečeno by si každá organizace měla vést záznamy o svých činnostech zpracování osobních údajů. (…) Není požadováno, aby organizace s méně než 250 zaměstnanci uváděly ve svých záznamech čistě příležitostné činnosti (například zpracování údajů pro jednorázové akce, jako je otevření obchodu).“[1] Naproti tomu ÚOOÚ dochází k závěru, že záznamy o zpracování nemusí vést drobný živnostník (např. kadeřnice mající seznam klientů apod.)[2]. To je sice názor, který odpovídá zdravému rozumu, nicméně dle mého názoru nemá ve znění čl. 30 odst. 5 GDPR oporu, neboť vedení seznamu klientů není příležitostným zpracováním. Pro to, aby se výjimka dle čl. 30 odst. 5 GDPR neuplatnila, však stačí splnění kteréhokoli z tam uvedených kritérií s tím, že povinnost vést záznam o zpracování se pak vztahuje pouze na ten konkrétní typ zpracování, který nespadá do oblasti působnosti této výjimky. Větší dopad než zavedení kategorie SMC do této výjimky by pak tedy v praxi mohlo mít spíše zvýšení kritéria rizikovosti. A konečně, jakkoli můžeme být rádi, že ÚOOÚ přistupuje k věci rozumně, není právě taková ničím nepodložená interpretace GDPR, která se liší od interpretace v jiných členských státech EU, jedním z důvodů, proč je GDPR tak často předmětem kritiky?
Další dva body návrhu jsou pak jemně řečeno zcela formální – jedná se o rozšíření povinnosti členských států a příslušných orgánů zohlednit potřeby mikro, malých a středních podniků v čl. 40 GDPR (kodexy chování) a čl. 42 GDPR (vydávání osvědčení) o kategorii SMC podniků. Navrhovaná úprava tedy nikterak neřeší problémy identifikované v Draghiho zprávě.
A není to málo, Antone Pavloviči? Domnívám se, že je to opravdu drobný krok, který bohužel neřeší celou řadu reálných bolístek GDPR, jež činí problémy v praxi (např. nejasnosti okolo povinnosti hlásit porušení zabezpečení osobních údajů [dle srovnávací studie DLA Piper bylo např. v Německu během jednoho roku hlášeno 27 829 incidentů, kdežto ve Francii 4 377 incidentů, přičemž jen těžko lze tento diametrální rozdíl připisovat horším standardům nakládání s osobními údaji v Německu oproti Francii, absolutními vítězi jsou pak Nizozemsko, kde bylo hlášeno 33 471 incidentů a na druhé straně Bulharsko s 38 incidenty][3], složitá pravidla pro předávání osobních údajů do zahraničí, složitá pravidla pro řetězení zpracovatelů atd.). Zaznívají však i silné hlasy, které jsou přesvědčeny o pravém opaku – více než 100 subjektů zaslalo Evropské komisi otevřený dopis[4], ve kterém důrazně varují před navrhovaným zásahem do GDPR, jenž vnímají jako snižující standardy odpovědnosti správců osobních údajů s poukázáním na to, že práva subjektů osobních údajů nejsou méně důležitá v případě, že správce osobních údajů je menším podnikem.
Podle zákulisních informací však toto není poslední zásah do GDPR a do konce tohoto roku, případně v příštím roce, by měly přijít další návrhy aktualizace tohoto nařízení klíčového pro nakládání s osobními údaji a přeneseně pro digitální ekonomiku EU.
Sylvie Milerová
Autorka je samostatnou advokátkou v Praze, zaměřuje se na problematiku finanční regulace a regulace zpracování osobních údajů.
[1] Viz FAQ dostupné zde: https://www.edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions/answer/do-i-need-record-processing_en
[2] Viz zde: https://uoou.gov.cz/verejnost/zakladni-prirucka-k-ochrane-udaju.
[3] Data za období od 28. 1. 2024 do 27. 1. 2025, zdroj: DLA Piper GDPR fines and data breach survey: January 2025, dostupná z: https://www.dlapiper.com/en/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025.
[4] Dostupný z: https://edri.org/our-work/open-letter-reopening-the-gdpr-is-a-threat-to-rights-accountability-and-the-future-of-eu-digital-policy/.