V návaznosti na požadavek irského dozorového orgánu vydal Evropský sbor pro ochranu osobních údajů (EDPB) závěrem loňského roku Stanovisko 28/2024 k některým aspektům ochrany údajů v souvislosti se zpracováním osobních údajů v kontextu modelů umělé inteligence (UI)[1]. Toto stanovisko ukazuje kontinuální snahu EDPB[2] zaobírat se otázkami souvisejícími s UI a ochranou osobních údajů, jelikož tyto oblasti od sebe nelze de facto ani de iure oddělit. Hlavními tématy EDPB jsou tentokrát anonymita UI modelů, legitimní zájem jakožto právní základ během vývoje a nasazení modelů a důsledky nezákonného zpracování osobních údajů během vývoje UI modelů na následné zpracování nebo provoz modelů. Stanovisko se vztahuje pouze na podmnožinu modelů UI, které jsou výsledkem tréninku[3]

Začátkem října 2024 publikoval Evropský sbor pro ochranu osobních údajů (EDPB) další ze svých stanovisek, která jsou důležitou interpretační a implementační pomůckou pro konzistentní harmonizaci i řádnou aplikaci nařízení o ochraně osobních údajů (GDPR). Konkrétně se jednalo o Stanovisko k některým povinnostem vyplývajícím ze spoléhání se na zpracovatele a dílčí zpracovatele[1] a taktéž Pokyny k oprávněnému zájmu, u nichž probíhala do 20. listopadu veřejná konzultace. Kromě toho bylo publikováno i Prohlášení o stanovení dalších procesních pravidel pro prosazování GDPR, a to v návaznosti na pozměňovací návrhy Evropského parlamentu a Rady a taktéž Pracovní program EDPB na období 2024–2025[2]. Podnět k vydání stanoviska dalo Dánsko Je vcelku zajímavé, že podnětem k vydání Stanoviska k některým povinnostem vyplývajícím ze spoléh . . .

V loňském listopadovém čísle časopisu DPO PRO jsem představila ambiciózní záměry a iniciativy Evropské komise týkající se sdílení dat a naznačila jsem přínosy, které by připravovaný legislativní rámec mohl přinést ekonomice i obyvatelům EU. Tentokrát se již zaměříme na obsah prvního z návrhů, konkrétně na návrh nařízení o evropském prostoru pro zdravotní data (European Health Data Space, EHDS)[1]. Jedná se o součást aktivit zaměřených na zlepšení využívání zdravotních dat v EU a na podporu spolupráce mezi členskými státy v oblasti zdravotní péče a výzkumu. Úvod do EHDS Návrh byl představen v červenci 2020 Evropskou komisí jako součást strategie „Zdraví pro všechny“ (Health for All)[2] a Evropské strategie pro data[3]. Má několik hlavních záměrů: Lepší a . . .

Koncept sdílení dat Evropské komise, resp. evropských datových prostorů, jsem na stránkách DPO PRO představila už více než před rokem. Obsáhlé legislativní návrhy od té doby nabyly konkrétnějších podob. Především došlo k vývoji u obecného horizontálního nařízení o sdílení dat (Data Act, dále jen „DA“), které má být odrazovým můstkem pro sektorově specifické legislativní úpravy. I u těch však došlo k posunům. Následující řádky představí novinky v oblasti sdílení dat a očekávaný následující vývoj s ohledem na volby do Evropského parlamentu, které nás čekají již příští rok. Evropské datové prostory jsou klíčovou součástí Evropské strategie pro data[1], jejímž cílem je vytvořit jednotný evropský trh s daty, který umožní jejich volný tok napříč zeměmi a sektory a zároveň zajistí vysokou úroveň ochrany osobních údajů (v souladu s obecným nařízením o ochran . . .

GDPR a DORA Požadavky evropského nařízení o digitální provozní odolnosti finančního sektoru (DORA), které nově upravuje oblast kybernetické bezpečnosti tohoto sektoru, přiblížil v minulém čísle časopisu DPO PRO článek s názvem „Je nové evropské nařízení DORA spíše Pandorou? A co přináší?“. Jelikož finanční instituce disponují velkým množstvím osobních údajů, častokrát i citlivého charakteru, jsou přirozeným cílem kybernetických útoků. Nová úprava zohledňující specifika finančního sektoru je také reakcí na kontinuální modernizaci. Finanční sektor nejenže se digitalizoval jako celek, ale v důsledku digitalizace se rovněž prohloubila jeho vzájemná propojení a závislosti a také propojení a závislosti mezi ním a poskytovateli infrastruktury a služeb z řad třetích stran. Nové kyberbezpečnostní požadavky je tedy potřeba reflektovat nikoli izolovaně, ale v souvislostech s již existujícím nebo připravovaným legislativním rámcem. Právě proto je jedním z klíčových . . .

Vzpomínáte? Už v minulém roce se časopis DPO věnoval v té době vyjednávanému evropského legislativnímu návrhu nařízení o digitální provozní odolnosti finančního sektoru (DORA) a jeho očekávaným přesahům do další evropské legislativy, GDPR nevyjímajíc. Pojďme si představit nyní již známé požadavky finálního znění nařízení DORA[1] jako takového a stručně nastínit i kontext celkového legislativního rámce, na který tento významný předpis navazuje. Proč se problematika posílení kybernetické bezpečnosti (nejenom) finančních institucí obecně dostává do centra zájmu? Důležitost odolných informačních a komunikačních technologií (ICT) se výrazně projevila v souvislosti s pandemií covidu-19, která vedla k bezprecedentnímu nárůstu kybernetické aktivity, což s sebou přináší výzvy, příležitosti, avšak rozhodně i možnosti zneužití. Silnou politickou motivaci Evropské komise k přijet . . .

Dynamický technologický vývoj s sebou v posledních dekádách přináší i množství legislativních výzev. Vzniká potřeba právního vymezení fakticky existujících institutů, jakými jsou třeba blockchain, kryptoměna nebo umělá inteligence (UI). Zákonodárci na národní, ale i evropské úrovni tak stojí před nelehkým úkolem, jímž je vytvoření proporcionální právní úpravy, která stanoví meze pro aplikaci nových technologií de facto a taktéž de iure, neboť je třeba zajistit kompatibilitu s již existujícím legislativním rámcem. V neposlední řadě například i s GDPR. Potenciál do budoucna je enormní Tato role je nelehká také proto, že nová úprava by neměla být limitující, což by mohlo vést k nežádoucímu zpomalení výzkumu, vývoje a taktéž oslabení konkurenceschopnosti v dotčených jurisdikcích – a tedy celé EU. Dnes je totiž již znatelná transformační kapacita UI, popř. strojového učení. Mezi nejběžněj . . .

Současná Evropská komise již na začátku svého mandátu zdůrazňovala, že je nutné se zaměřit na rozvoj digitalizace jakožto nástroje pro zjednodušení života obyvatel, jenž přispěje rovněž k posílení konkurenceschopnosti EU v různých oblastech, včetně např. cloud či edge computingu. K těmto snahám o rozvoj digitalizace patří obsáhlá legislativní iniciativa v oblasti sdílení dat, jelikož růstový potenciál ekonomiky založené na datech, jež jsou generována v mnohem větším množství, je enormní. Evropská komise to deklarovala v Evropské strategii pro data,[1] kde vymezila potřebu mezisektorového sdílení dat napříč EU s ohledem na evropské zásady a minimální standardy (včetně obecného nařízením o ochraně osobních údajů, GDPR), dostupnost vysoce kvalitních data setů, praktická, spravedlivá a jasná pravidla pro přístup a použití dat u aplikace transparentních mechanismů správy dat. Hlavní myšlenkou je posílit dostupnost, informovanost a kontrolu obyvatel i podniků nad jejich daty a zároveň zajistit efektivní sekundárn . . .