Letos v květnu tomu bylo právě šest let od nabytí účinnosti Obecného nařízení o ochraně osobních údajů, označovaného jako GDPR. Pro Evropskou komisi z toho dle článku 97 vyplynula povinnost provést v textu pravidelnou revizi, po níž může rozhodnout, zda nařízení zreviduje, nebo dokonce změní. Finální verzi zprávy vydala komise v červenci. Vyhovuje text GDPR plnění svého účelu? A je tentokrát Evropská komise konkrétnější než před čtyřmi lety?
Během prvního hodnocení se chodilo spíš kolem horké koše
Pravidelná revize má navazovat na první revizi, která se s mírným zpožděním realizovala v roce 2020. Evropská komise v ní tehdy dospěla k ne příliš překvapivým zjištěním. Prvním z nich byla přetrvávající roztříštěnost implementace GDPR mezi členskými státy, což ztěžuje přeshraniční business a inovace. Ke zlepšení této situace bylo členským státům mj. doporučováno alokovat dostatečné zdroje pro dozorové úřady. Dále se Evropská komise vágně věnovala především nedostatkům v mezinárodním předávaní osobních údajů. Dalo by se říct, že spíš chodila kolem horké kaše. A poněvadž výsledkem naštěstí nebylo znovuotevření neboli revize nařízení, což by bylo vzhledem ke krátké době účinnosti kontraproduktivní, nedočkala se velkého mediálního zájmu.
Dopad a přínos GDPR je evidentní v každém sektoru
Význam dat neustále stoupá, a tím pádem i potřeba jejich ochrany z hlediska individuálních práv subjektů osobních údajů a taktéž z hlediska rozvoje digitální ekonomiky. Důvodem pro přezkum a dle výsledku případnou revizi GDPR, ideálně v souvislostech s pokyny Evropského sboru pro ochranu osobních údajů (EDPB), je několik faktorů.
Významný je zejména technologický progres. Aktuálně je vhodné posoudit optikou GDPR stále více běžné využívaní nových technologií (např. umělá inteligence (UI), IoT, blockchain, big data) a zajistit, aby ochrana v právním rámci zůstala proporcionální, relevantní a účinná. Odrazem technologického progresu je přirozeně i právní vývoj. Od doby nabytí účinnosti GDPR máme mnohem širší a komplexnější legislativu – ať už se jedná o nařízení o umělé inteligenci, kyberbezpečnostní předpisy (např. DORA nebo NIS2), nebo předpisy upravující data. Tyto přepisy jsou s GDPR spojenými nádobami a zřejmě až revize v roce 2028 ukáže, zda se povedlo zajistit jejich praktickou kompatibilitu s GDPR.
Za poslední léta také víme, že navzdory právní formě GDPR, jakožto unifikujícího nařízení, není implementace a výklad v jednotlivých členských státech EU naprosto jednotná. Cílem by tak měla být i hlubší harmonizace.
Z globálního pohledu je potřeba zohlednit mezinárodní aspekty, například přenosy údajů do třetích zemí.
Celkově je cílem přezkumu zajistit, aby GDPR zůstalo efektivním nástrojem pro ochranu osobních údajů v dynamickém a rychle se měnícím prostředí.
Je v této fázi tedy potřebná revize, nebo bude výsledkem zadání Evropské komise hodnotící zpráva opět bez otevíraní textu GDPR?
Okruhy, na které je vhodné se podívat zblízka, se za poslední čtyři roky až tak nezměnily a jednoznačné odpovědi k dispozici nemáme. Častým příkladem ilustrujícím tento stav je nezamýšlený dopad GDPR na inovace. Nově vznikající technologie mohou být na jedné straně ohroženy nedostatkem pokynů a na straně druhé příliš striktním výkladem, který poskytují stávající pokyny předložené EDPB. Například u blockchainu je jeho potenciál pro zvýšení efektivity, důvěryhodnosti a transparentnosti dobře znám, stále však není jasné, jak lze jeho používání sladit s právem na výmaz a právem na opravu podle GDPR.
Relevantním příkladem je taktéž kritizovaný příliš úzký výklad „nezbytnosti“ provádění výhradně automatizovaných procesů (článek 22 odst. 1 GDPR) dle pokynů EDPB, což má za následek odrazování od zavádění inovativních produktů, např. poskytování služby v reálném čase, kdy obvykle není možné prokázat tuto „nezbytnost“ zpracování pro uzavření smlouvy. Tímto oslím můstkem se lze dostat k pokynům EDPB obecně.
Jedná se nepochybně o užitečný nástroj EDPB pro provádění a dodržování GDPR. Avšak ne vždy už došlo k plnému zohlednění praktické realizace nároků pokynů. Například z Pokynů k právu na přístup EDPB vyplývá, že na základě výslovné žádosti subjektu osobních údajů o přístup by společnost měla vyhledat údaje této fyzické osoby ve všech svých IT systémech, včetně záložních systémů. Požadavek, aby správce prohledával záložní systémy, které nemusí být snadno nebo jednoduše přístupné, představuje, dle mého, nepřiměřené úsilí. Záložní údaje jsou osobní údaje uložené výhradně za účelem obnovení údajů v případě ztráty údajů, a proto by neměly být zahrnuty do rozsahu práva na přístup.
Když jdou některé požadavky EDPB nad rámec regulace
Oblíbeným příkladem, kdy jdou některé požadavky EDPB nad rámec regulace, je výklad souhlasu dle článku 22 odst. 2 písm. c) GDPR. V pokynech EDPB k souhlasu se zpracováním osobních údajů se uvádí, že správci opírající se o souhlas, jakožto právní základ profilování, mají prokázat, že subjekt osobních údajů přesně porozumí obsahu tohoto souhlasu. Požadavek na přesné porozumění obsahu souhlasu v této věci je však disproporční a prakticky nerealizovatelný, a to i v kontextu podmínek informovanosti subjektu údajů dle článků 13 až 15 GDPR. Tatáž debata probíhá i u tématu UI.
Do třetice uvádím rozpor mezi požadavky obsaženými v Pokynech pro posouzení vlivu na ochranu údajů (DPIA) a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“, a GDPR. Pokyny rozšiřují povinné provedení DPIA i na situace, kdy není jednoznačné, že je DPIA vyžadována (str. 8), což způsobuje právní nejistotu a zvyšuje náklady. Tyto pokyny také uvádějí lokalizační a finanční údaje jako citlivé údaje nebo údaje vysoce osobní povahy (str. 9–10), což ale není v souladu s výčtem v článcích 9 a 10 GDPR.
Nesoulad pokynů EDPB a GDPR by neměl být dále ignorován
Seznam příkladů inkonzistence nebo překračování limitů přímo zakotvených v GDPR tím ani zdaleka nekončí, avšak podle mého názoru vytváří představu o interpretačních detailech, které mohou přinášet praktické aplikační potíže, zvyšovat náklady a vést k nežádoucímu stavu právní nejistoty, jemuž je nutno předcházet. Nesoulad pokynů EDPB a GDPR by neměl být dále ignorován.
Mechanismus GDPR pro mezinárodní předávání údajů
Další kritickou oblastí pro hodnocení by měl být mechanismus GDPR pro mezinárodní předávání údajů. Zajištění bezproblémového toku dat mezi členskými státy EU a třetími zeměmi je pro evropské podniky esenciální. Proto by (nová) Evropská komise měla přijmout opatření, která zajistí, aby společnosti mohly plně využívat všechny nástroje pro mezinárodní předávání stanovené v GDPR. V této fázi je využívání stávajících nástrojů, jako jsou kodexy chování a závazná podniková pravidla, omezené kvůli vysokým požadavkům kladeným EDPB a dlouhým a složitým schvalovacím procesům.
Zakotvení rozhodnutí o přiměřenosti
Role Evropské komise je klíčová také u zakotvení rozhodnutí o přiměřenosti. Tento mechanismus více méně stagnuje, a to navzdory tomu, že by se mohlo jednat o nejvhodnější nástroj pro mezinárodní předávání údajů, jež poskytuje záruky pro společnosti i spotřebitele. Současný seznam zemí, na něž se vztahuje rozhodnutí o odpovídající ochraně, je však stále poměrně omezený a nepokrývá předávání údajů v prostředí, v němž globální výměna údajů roste.
Věnovala se Evropská komise těmto okruhům?
Hodnocení probíhalo v několika krocích. Začalo veřejnou konzultací, do níž bylo možné zasílat podněty do letošního února. Květnový termín vydání hodnotící zprávy z pera Evropské komise se pak o něco posunul, nejspíš i kvůli vytížení evropských orgánů v důsledku voleb do Evropského parlamentu a konstituce nové Evropské komise. Druhá zpráva o uplatňování obecného nařízení o ochraně̌ osobních údajů̊[1] se dočkala svého finálního vydání v červenci. Evropská komise vycházela z vlastních zjištění, zpětné vazby poskytnuté zúčastněnými stranami, dohledovými orgány, EDPB, Agenturou pro základní práva, postoje Rady[2].
Rada komplexní revizi GDPR nepožaduje
Rada svou pozici k evaluaci GDPR vypracovala již koncem minulého roku. Za oblasti vyžadující pozornost dle očekávání vymezila zefektivnění mezinárodního předávání osobních údajů, nutnost konzistence nové legislativy s GDPR i Pokyny EDPB a jejich případnou aktualizaci. Suma sumárum však nepožaduje komplexní revizi GDPR.
Evropský parlament přijal stanovisko k revizi v dubnu
Evropský parlament přijal své stanovisko k revizi GDPR letos v dubnu. V něm akcentoval posílení vymáhání GDPR, zejména pokud jde o přeshraniční případy, zlepšení spolupráce mezi národními dozorovými orgány a harmonizaci procesních pravidel napříč členskými státy, zjednodušení požadavků pro SMEs a řešení úpravy věku souhlasu nezletilých.
Evropská komise se zaměřila na méně kontroverzní otázky
Není překvapením, že se Evropská komise zaměřila na méně kontroverzní otázky než na ty, které zmiňuji výše. Obecně konstatovala přínos GDPR pro globální rozvoj ochrany soukromí, ve kterém je potřeba nadále pokračovat. Zdůraznila význam unifikace. Akcentovala význam technologicky neutrálního přístupu.
Ve vztahu k národním dohledovým orgánům a EDPB byla mírná. Kvitovala prohlubující se spolupráci mezi národními dohledovými orgány a případy schopnosti nekompromisního přístupu v oblasti prosazování, včetně ukládání značných pokut v přelomových řízeních proti technologickým nadnárodním společnostem, např. ve věcech porušení zákonnosti a bezpečnosti zpracování či porušení zpracování zvláštních kategorií osobních údajů.
Nejméně nápravných opatření bylo uloženo v Lichtenštejnsku a Česku
Kromě pokut patřily obecně k nejčastěji používaným nápravným opatřením upozornění, napomenutí a příkazy. Nejméně nápravných opatření bylo uloženo v Lichtenštejnsku a Česku. Dohledové orgány údajů zahájily více než 20 000 šetření z vlastního podnětu a dostávají více než 100 000 stížností ročně.
Ačkoli většina dohledových orgánů považuje vyšetřovací nástroje za dostatečné, některé z nich požadují další nástroje na vnitrostátní úrovni, např. sankce v případě, že správci nespolupracují nebo neposkytují nezbytné informace. Za hlavní faktor ovlivňující jejich schopnost prosazovat právo považují nedostatečné zdroje a nedostatky v technických a právních znalostech. Obdobně tomu tak bylo i roce 2020.
V oblasti omezenosti lidských, technických a finančních zdrojů dohledových orgánů došlo dle zjištění Evropské komise od roku 2020 ke zlepšení. Druhou stranou mince je, že ačkoli statistiky vykazují vzestupný trend, samotné úřady se domnívají, že stále chybí moderní vybavení a dostatečné a odborné lidské zdroje. Ve zkratce, nemají potenciálním zaměstnancům co nabídnout.
Další zmíněnou rovinou bylo spotřebovávání zdrojů na vyřizování stížností, z nichž většinu považují za banální a neopodstatněné. Tyto zdroje by se daly použít i na jiné činnosti, jako jsou šetření z vlastního podnětu, osvětové kampaně a spolupráce se správci.
Výše znázorněné potenciální překračování pravomocí EDPB Evropská komise opět neřešila. Pouze konstatovala, že i když zúčastněné strany včetně národních dohledových orgánů považují pokyny EDPB za užitečné, měly by být poskytovány rychleji a měla by se zlepšit jejich kvalita. Byla jim vyčítaná příliš teoretická povaha, zdlouhavost a to, že neodráží přistup GDPR založený na posouzení rizik. Dále by pokyny měly být srozumitelné i osobám bez právního vzdělání, např. v malých a středních podnicích (SMEs) a dobrovolnických organizacích. Vyšší míru praktičnosti pokynů EDPB již vymezil ve své Strategii na období 2024–2027[3]. Uvidíme, zda tento cíl naplní.
Kromě toho by EDPB měl přijmout další pokyny – k anonymizaci a pseudonymizaci, oprávněnému zájmu a vědeckému výzkumu.
Co vyplynulo ze zpětné vazby?
Ze zpětné vazby vyplynula i obecná nespokojenost s roztříštěností interpretace GDPR, což lze vnímat jako primární překážku důsledného uplatňování, právní jistoty a hospodárného přístupu (např. vyžadováním různé dokumentace pro několik členských států), přeshraničního obchodu a inovací. Nejednotnost výkladu je vnímána např. u právních základů, souhlasu nezletilého, zpracování genetických údajů, biometrických údajů, údajů o zdravotním stavu a údajů týkajících se odsouzení v trestních věcech a trestných činů.
Pozitivně však byl hodnocen význam judikatury Soudního dvora pro sjednocení výkladů (v posledních letech přibližně 30 rozhodnutí o předběžné otázce ročně), např. u samotné definice osobních údajů, jejich kategorizace, správce, právních základů, práv, automatizovaného individuálního rozhodování, DPO apod.
Co na to jednotlivci, podniky či organizace občanské společnosti?
Podle zprávy jsou jednotlivci více obeznámeni se svými právy a aktivně je uplatňují, i když i v této oblasti panují rozdíly mezi členskými státy.
Podniky konstatují, že stále častěji jsou využívána práva na přístup a na výmaz, naopak zřídka se využívá práva na opravu a práva vznést námitku. Nejvíce je aplikováno právo na přístup. EDPB přijal v roce 2022 pokyny k tomuto právu, správci však nadále hlásí problémy, například při výkladu pojmu „nedůvodné nebo nepřiměřené žádosti“, reakci na vysoký počet žádostí a vyřizování žádostí, které jsou podávány za účelem nesouvisejícím s ochranou údajů, např. shromažďování důkazů pro soudní řízení.
Organizace občanské společnosti zase kritizují, že odpovědi na žádosti o přístup jsou často opožděné nebo neúplné a údaje nejsou vždy v čitelném formátu. Pomoci by mohlo, že EDPB již zahájil společnou akci koordinovaného rámce pro prosazování týkajícího se práva na přístup[4].
Právo na přenositelnost
Co se týká práva na přenositelnost, Evropská komise se již v roce 2020 zavázala k usnadnění jeho realizace. Jedná se např. o usnadnění změny poskytovatele služeb nebo připravované inciativy u rámce pro přístup k finančním údajům (FIDA) nebo evropského prostoru pro zdravotní data (EHDS). Kromě toho, nařízení o datech poskytuje uživatelům chytrých zařízení posílené právo na přenositelnost údajů vytvářených prostřednictvím těchto zařízení a ukládá, aby konstrukce výrobku nebo backendového serveru výrobce nebo držitele dat tuto přenositelnost technicky umožnovala. Nařízení o digitálních trzích zase vyžaduje, aby „gatekeepers“ zajistili účinnou přenositelnost, včetně přístupu v reálném čase.
Dle zadání podle článku 97 GDPR přezkoumala Evropská komise zejména uplatňování a fungování mezinárodního předávání osobních údajů do třetích zemí a mechanismy spolupráce a jednotnosti. Od vydání zprávy z roku 2020 byly požadavky na předávání údajů dále upřesněny a soubor nástrojů se dále vyvíjel. Ze strany EDPB byla doplněna definice[5], Soudní dvůr upřesnil dostatečnou míru ochrany nástrojů rovnocennou s ochranou v EU ve věci Schrems II[6], což EDPB reflektoval v pokynech jakožto „referenční rámec pro odpovídající ochranu“ a pokyny celkově doplnil.
V oblasti rozhodnutí o odpovídající ochraně hodnotí Evropská komise svou činnost jako aktivní.
Zpětná vazba by se dala označit jako smíšená
Zpětná vazba, kterou Evropská komise obdržela, by se dala označit jako smíšená. Používání standardních smluvních doložek (SCCs) se liší. Zatímco zejména SMEs je používají v celém rozsahu nebo částečně, především vetší společnosti dávají přednost vlastním. Obecně jejich modernizace a Q&As rozhodně nebyly na škodu. SCCs jsou zdaleka nejpoužívanějším nástrojem. Avšak z důvodu přetrvávající nejistoty u posouzení dopadů předávání údajů dle Schrems II, jeho složitost, náklady a čas, jsou požadovány další pokyny (např. ohledně odpovědnosti zúčastněných stran a úrovně podrobností požadované při posouzení dopadů předávání údajů) a pomocné nástroje (např. šablony, obecná hodnocení zemí, katalogy rizik). Hypotetický zájem o kodexy chování neklesá. Prakticky však přetrvávají ty samé překážky jako před několika lety, což je znát i z jejich nadále kriticky nízkého počtu[7]. Mezi hlavní blokátory jejich formulace a implementace patří zatěžující požadavky (včetně nutnosti zřídit akreditovaný subjekt pro sledování), nedostatečné zapojení národních dohledových orgánů a zdlouhavý schvalovací proces. Evropská komise však tuto problematiku nijak zvlášť nereflektovala.
Mezi budoucí výzvy se řadí především další prohloubení mezinárodní spolupráce.
Několik problémů u DPO
U DPO Evropská komise analyzovala několik hlavních problémů, mezi než řadí odbornost; chybějící celounijní normy pro vzdělávání; nedostatečné začlenění DPO do organizačních procesů; zdroje; dodatečné úkoly mimo oblast ochrany údajů a nedostatečná seniorita.
Problematika práv dětí online a offline
Evropská komise se ve zprávě nevyhnula ani problematice práv dětí online a offline. Dříve avizované otevření debaty k sjednocení věku nezletilého pro udělení souhlasu však nezmiňuje. Místo toho spíš Evropská komise akcentovala zvýšenou zranitelnost a ovlivnitelnost nezletilých a jejich přirozeně nižší schopnost porozumění. Počátkem roku 2024 i proto zřídila pracovní skupinu pro ověřování věku, jejímž cílem je projednat rozvoj celounijního přístupu k ověřování věku nejenom v kontextu GDPR. Dále můžeme očekávat pokyny z pera EDPB k této oblasti. Jejich příprava by měla být v procesu.
GDPR posílilo postavení lidí, neboť jim umožnilo mít kontrolu nad svými údaji
Závěrem Evropská komise uvádí, že za šest let svého uplatňování posílilo GDPR postavení lidí tím, že jim umožnilo mít kontrolu nad svými údaji. Pomohlo také vytvořit rovné podmínky pro podniky a posloužilo jako základní kámen pro celou řadu iniciativ, jež jsou hnací silou digitální transformace v EU.
Na co je třeba se zaměřit?
Aby bylo možné v plném rozsahu dosáhnout souběžných cílů GDPR, totiž silné ochrany jednotlivců a zároveň zjištění volného pohybu osobních údajů v rámci EU a bezpečného pohybu údajů mimo EU, je třeba se zaměřit na:
- důsledné prosazování a vymáhání GDPR, počínaje rychlým přijetím návrhu Komise o procesních pravidlech ze strany Evropského parlamentu a Rady s cílem zajistit rychlou nápravu a právní jistotu a také hlubší spolupráci EDPB a národních dohledových orgánů,
- proaktivní podporu poskytovanou dohledovými orgány, zejména SMEs a malým hospodářským subjektům, pro které by bylo vhodné zjednodušit některé povinnosti,
- jednotný výklad a uplatňovaní GDPR v celé EU u souhlasu, a to i u věkové hranice nezletilých,
- kompatibilitu s novými technologiemi a jejich legislativní úpravou,
- účinnou spolupráci mezi regulačními organy na vnitrostátní úrovni i na úrovni EU,
- další pokrok v mezinárodní strategii v oblasti ochrany údajů.
EDPB by tím pádem měl:
- navázat pravidelnou spolupráci s ostatními odvětvovými regulačními orgány v otázkách, které mají dopad na ochranu údajů, zejména v digitální oblasti,
- více využívat nástroje pro spolupráci, aby se řešení sporů používalo méně,
- zavést účinnější a cílenější pracovní postupy pro pokyny, stanoviska a rozhodnutí a stanovit priority pro klíčové otázky s cílem snížit zátěž národních dohledových orgánů a rychleji reagovat na vývoj na trhu,
- zaměřit se na SMEs,
- posunout reálný význam kodexů chování,
- sjednotit odlišné národní výklady,
- poskytovat pokyny, které jsou stručné, praktické a přístupné,
- zajistit včasnější a smysluplnější konzultace o pokynech a stanoviscích s cílem lépe porozumět dynamice trhu a obchodním postupům, náležitě zohlednit získanou zpětnou vazbu,
- přednostně dokončit probíhající práci na pokynech týkajících se údajů o dětech, vědeckého výzkumu, anonymizace, pseudonymizace a oprávněného zájmu,
- zefektivnění a zkrácení procesu schvalování závazných podnikových pravidel a aktualizace pokynů,
- prozkoumat nástroje nápomocné k dodržování kritérií Schrems II,
- zintenzivnit činnost za účelem zvyšování informovanosti.
Hodnotící zprávu nyní čeká analýza Evropského parlamentu a Rady
Členské státy jsou opět úkolované, aby vytvořily vhodné podmínky pro fungování a rozvoj národních dohledových orgánů, a to hlavně z perspektivy zdrojů k zajištění jejich nezávislosti a spolupráce s dalšími orgány. Dále Evropská komise prioritizuje přijetí Úmluvy Rady Evropy 108[8], což se týká i České republiky.
Evropská komise bude nadále pokračovat ve své monitorovací činnosti. Kromě toho se zavázala k dosažení progresu v probíhajících jednáních o odpovídající ochraně, dokončení prací na dalších SCCs, podpoře třetích zemí v implementaci legislativy dle vzoru GDPR, mezinárodní spolupráci.
Hodnotící zprávu má nyní na stole Evropský parlament a Rada a budou ji analyzovat. Výsledkem mohou být doporučení nebo návrhy na konkrétní legislativní změny, což by bylo počátkem standardního legislativního procesu.
Tak či onak, další pravidelné hodnocení GDPR rámce bude Evropská komise realizovat v roce 2028, kdy bude možné lépe posoudit dopad nedávno přijatých právních předpisů v oblasti datové strategie a provést komplexnější hodnocení souboru digitálních pravidel EU. Obstojí GDPR jakožto future proof legislativní kus posilující rozvoj ekonomiky i důvěry spotřebitelů i za pár let?
Jana Lix Andraščiková
Autorka je právnička se specializací na evropskou legislativu
[1] Druhá zpráva o uplatňování obecného nařízení o ochraně̌ osobních údajů k dispozici zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52024DC0357
[2] Postoj a zjištění Rady ohledně uplatňování obecného nařízení o ochraně̌ osobních údajů k dispozici zde: https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/cs/pdf
[3] Strategie EDPB na období 2024–2027 k dispozici zde: https://www.edpb.europa.eu/news/news/2024/edpb-sets-out-priorities-2024-2027-and-clarifies-implementation-dpf-redress_cs
[4] Víc informací zde: https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_cs
[5] Mezinárodní předávání údajů že zahrnuje jakékoli zpřístupnění osobních údajů správcem nebo zpracovatelem, na jehož̌ zpracování se vztahuje GDPR, jinému správci nebo zpracovateli ve třetí́ zemi, bez ohledu na to, zda zpracování tímto jiným správcem nebo zpracovatelem GDPR podléhá́, či nikoli.
[6] Judikát Soudního dvora Evropské unie ve věci Schrems II dostupný zde: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf. V tomto očekávaném rozsudku ze dne 16. 7. 2020 došlo k zneplatnění prováděcího rozhodnutí Evropské komise 2016/1250, tzv. EU-US Privacy Shield z důvodu nedostatečné míry ochrany osobních údajů v USA.
[7] Dle zprávy byly schváleny pouze dva kodexy pro celou EU, zatímco na vnitrostátní́ úrovni bylo schváleno šest kodexů.
[8] Úmluva Rady Evropy 108 k dispozici zde: https://uoou.gov.cz/cs/zaklad-evropske-ochrany-osobnich-udaju-umluva-c-108