V září 2025 publikoval Evropský sbor pro ochranu osobních údajů (EDPB) nové Pokyny 3/2025, které se zaměřují na souhru Aktu o digitálních službách (DSA) a GDPR[1]. Dokument přináší vysvětlení, jak mají poskytovatelé zprostředkovatelských služeb zpracovávat osobní údaje v souladu s oběma předpisy. Harmonizace pravidel a cíle DSA Úprava DSA plně harmonizuje pravidla platná pro poskytovatele zprostředkovatelských služeb s cílem zajistit bezpečné, předvídatelné a důvěryhodné online prostředí, řešit šíření nelegálního obsahu a společenská rizika spojená s dezinformacemi či jiným obsahem a zároveň účinně chránit základní práva zakotvená v Listině základních práv Evropské unie. DSA podléhá výkladu Evropské rady pro digitální služby (EBDS), které předsedá Evropská komise a složena z národních koordinátorů digitálních služeb. Souhra DSA a GDPR I když DSA . . .

Irský dohledový orgán se několik let zabýval případem používání technologie pro porovnávání obličejů v souvislosti s kartou veřejných služeb z Ministerstva sociální ochrany. V rámci registračního procesu pro tuto kartu zpracovávalo ministerstvo jakožto správce osobních údajů biometrické šablony obličejů a používalo k tomu i související technologie pro jejich porovnávání. Proces byl znám pod pojmem registrace SAFE 2. Případ navazoval na dřívější obecnější šetření irského dohledového orgánu, které se týkalo určitých aspektů zpracování osobních údajů ze strany ministerstva v souvislosti s vydáváním karet veřejných služeb. Šetření nepřineslo konkrétní výsledky, jelikož ministerstvo se u soudu vůči rozhodnutí dohledového orgánu odvolalo. Odvolání bylo staženo a obě strany se dohodly na sepsání závěrečné zprávy z šetření, která uvádí, že zpracování osobních údajů, včetně biometrických údajů v souvislosti s registrac . . .

V návaznosti na požadavek irského dozorového orgánu vydal Evropský sbor pro ochranu osobních údajů (EDPB) závěrem loňského roku Stanovisko 28/2024 k některým aspektům ochrany údajů v souvislosti se zpracováním osobních údajů v kontextu modelů umělé inteligence (UI)[1]. Toto stanovisko ukazuje kontinuální snahu EDPB[2] zaobírat se otázkami souvisejícími s UI a ochranou osobních údajů, jelikož tyto oblasti od sebe nelze de facto ani de iure oddělit. Hlavními tématy EDPB jsou tentokrát anonymita UI modelů, legitimní zájem jakožto právní základ během vývoje a nasazení modelů a důsledky nezákonného zpracování osobních údajů během vývoje UI modelů na následné zpracování nebo provoz modelů. Stanovisko se vztahuje pouze na podmnožinu modelů UI, které jsou výsledkem tréninku[3]

Začátkem října 2024 publikoval Evropský sbor pro ochranu osobních údajů (EDPB) další ze svých stanovisek, která jsou důležitou interpretační a implementační pomůckou pro konzistentní harmonizaci i řádnou aplikaci nařízení o ochraně osobních údajů (GDPR). Konkrétně se jednalo o Stanovisko k některým povinnostem vyplývajícím ze spoléhání se na zpracovatele a dílčí zpracovatele[1] a taktéž Pokyny k oprávněnému zájmu, u nichž probíhala do 20. listopadu veřejná konzultace. Kromě toho bylo publikováno i Prohlášení o stanovení dalších procesních pravidel pro prosazování GDPR, a to v návaznosti na pozměňovací návrhy Evropského parlamentu a Rady a taktéž Pracovní program EDPB na období 2024–2025[2]. Podnět k vydání stanoviska dalo Dánsko Je vcelku zajímavé, že podnětem k vydání Stanoviska k některým povinnostem vyplývajícím ze spoléh . . .

V loňském listopadovém čísle časopisu DPO PRO jsem představila ambiciózní záměry a iniciativy Evropské komise týkající se sdílení dat a naznačila jsem přínosy, které by připravovaný legislativní rámec mohl přinést ekonomice i obyvatelům EU. Tentokrát se již zaměříme na obsah prvního z návrhů, konkrétně na návrh nařízení o evropském prostoru pro zdravotní data (European Health Data Space, EHDS)[1]. Jedná se o součást aktivit zaměřených na zlepšení využívání zdravotních dat v EU a na podporu spolupráce mezi členskými státy v oblasti zdravotní péče a výzkumu. Úvod do EHDS Návrh byl představen v červenci 2020 Evropskou komisí jako součást strategie „Zdraví pro všechny“ (Health for All)[2] a Evropské strategie pro data[3]. Má několik hlavních záměrů: Lepší a . . .

Koncept sdílení dat Evropské komise, resp. evropských datových prostorů, jsem na stránkách DPO PRO představila už více než před rokem. Obsáhlé legislativní návrhy od té doby nabyly konkrétnějších podob. Především došlo k vývoji u obecného horizontálního nařízení o sdílení dat (Data Act, dále jen „DA“), které má být odrazovým můstkem pro sektorově specifické legislativní úpravy. I u těch však došlo k posunům. Následující řádky představí novinky v oblasti sdílení dat a očekávaný následující vývoj s ohledem na volby do Evropského parlamentu, které nás čekají již příští rok. Evropské datové prostory jsou klíčovou součástí Evropské strategie pro data[1], jejímž cílem je vytvořit jednotný evropský trh s daty, který umožní jejich volný tok napříč zeměmi a sektory a zároveň zajistí vysokou úroveň ochrany osobních údajů (v souladu s obecným nařízením o ochran . . .

GDPR a DORA Požadavky evropského nařízení o digitální provozní odolnosti finančního sektoru (DORA), které nově upravuje oblast kybernetické bezpečnosti tohoto sektoru, přiblížil v minulém čísle časopisu DPO PRO článek s názvem „Je nové evropské nařízení DORA spíše Pandorou? A co přináší?“. Jelikož finanční instituce disponují velkým množstvím osobních údajů, častokrát i citlivého charakteru, jsou přirozeným cílem kybernetických útoků. Nová úprava zohledňující specifika finančního sektoru je také reakcí na kontinuální modernizaci. Finanční sektor nejenže se digitalizoval jako celek, ale v důsledku digitalizace se rovněž prohloubila jeho vzájemná propojení a závislosti a také propojení a závislosti mezi ním a poskytovateli infrastruktury a služeb z řad třetích stran. Nové kyberbezpečnostní požadavky je tedy potřeba reflektovat nikoli izolovaně, ale v souvislostech s již existujícím nebo připravovaným legislativním rámcem. Právě proto je jedním z klíčových . . .

Vzpomínáte? Už v minulém roce se časopis DPO věnoval v té době vyjednávanému evropského legislativnímu návrhu nařízení o digitální provozní odolnosti finančního sektoru (DORA) a jeho očekávaným přesahům do další evropské legislativy, GDPR nevyjímajíc. Pojďme si představit nyní již známé požadavky finálního znění nařízení DORA[1] jako takového a stručně nastínit i kontext celkového legislativního rámce, na který tento významný předpis navazuje. Proč se problematika posílení kybernetické bezpečnosti (nejenom) finančních institucí obecně dostává do centra zájmu? Důležitost odolných informačních a komunikačních technologií (ICT) se výrazně projevila v souvislosti s pandemií covidu-19, která vedla k bezprecedentnímu nárůstu kybernetické aktivity, což s sebou přináší výzvy, příležitosti, avšak rozhodně i možnosti zneužití. Silnou politickou motivaci Evropské komise k přijet . . .