Přichází pátá základní svoboda EU
Volný pohyb neosobních dat začíná platit od zítřka. Pomoci má velkým podnikům při vstupu na nové trhy.
Vnitřní trh Evropské unie (EU) tvoří území všech jejích členských států. V tomto prostoru platí takzvané čtyři základní svobody: volný pohyb zboží, služeb, osob a kapitálu. Vedou se sice polemiky o tom, do jaké míry tyto svobody fungují, ale je zřejmé, že v posledních několika desetiletích k uvolnění obchodu a značné unifikaci vnitřního trhu EU došlo.
K zítřejšímu dni, avšak s použitelností k 18. červnu příštího roku, nám přibude svoboda pátá – volný pohyb (neosobních) údajů. Svoboda volného pohybu údajů osobních byla v rámci EU zavedena směrnicí již před téměř 30 lety. Směrnice byla pak do českého právního řádu implementována v roce 2001.
Letos byla směrnice a roztříštěné národní úpravy v celé EU nahrazeny slovutným nařízením GDPR (General data protection regulation), jehož cílem je mimo jiné zajištění neomezeného pohybu osobních dat v rámci Evropské unie. Evropské státy tak nesmějí zavádět omezení týkající se umístění osobních údajů, ať již z důvodu jejich ochrany či důvodů jiných. Jinými slovy – osobní údaje mohou nyní po Evropě cestovat bez ohledu na státní hranice.
Nucené udržování dat
Nyní se EU zaměřila i na údaje neosobní. Stává se tak na základě nového nařízení o volném pohybu neosobních dat. Ta jsou vymezena negativně vůči údajům osobním. Jsou jimi tak všechny údaje, které nelze považovat dle GDPR za údaje osobní. Zda je takové vymezení šťastné, ukáže až aplikační praxe. Nové nařízení členským státům EU ukládá, aby do roku 2021 zrušily všechny existující zákonné či správní požadavky na lokalizaci údajů s výjimkou těch, které jsou důležité pro národní bezpečnost.
A proč vlastně dle Evropské komise, která byla loni předkladatelem návrhu této nové regulace, potřebujeme volný pohyb neosobních údajů? Protože některé členské státy jejich volnému pohybu brání a chtějí si často udržet nad daty kontrolu. Činí tak mimo jiné tím, že je „nepustí“ze svého území.
Státy podniky vnitrostátní legislativou často nutí, aby neosobní údaje uchovávaly či zpracovávaly na jejich území. Jde třeba o některá data zdravotní (anonymizované výsledky klinických hodnocení) nebo finanční (účetnictví a daňová evidence). Takové omezení však představuje často pro podniky administrativní zátěž.
Nadnárodní společnosti musí mít například umístěny své (nebo cloudové) servery v několika zemích a na nich uloženy identické údaje v mnoha kopiích. Současná právní úprava v některých zemích jim tak zbytečně zvyšuje náklady. Evropské podniky také nemohou podle svého uvážení využívat cloudových služeb, volit si pro své IT nákladově nejefektivnější řešení či zcela volně měnit poskytovatele IT služeb.
Řešení pro podniky
Evropská komise věří, že díky volnému pohybu neosobních údajů budou evropské podniky sebejistěji vstupovat na nové trhy a snadněji rozšiřovat své aktivity. Nové nařízení by ale na druhé straně mělo zajistit dostupnost údajů pro účinnou správní kontrolu. Orgány veřejné správy by tak měly mít přístup k datům umístěným v jiných zemích pro účely kontroly a dohledu. A to pod hrozbou sankcí těm subjektům, které takovou kontrolu neumožní.
Nařízení také předpokládá, podobně jako GDPR, vytváření oborových kodexů ze strany poskytovatelů služeb. Kodexy by měly uživatelům umožnit snadněji měnit poskytovatele cloudových služeb či stahovat data od těchto poskytovatelů do svých systémů.
Jak bylo zmíněno, nové nařízení se nevztahuje na údaje osobní. Nemělo by tak mít žádný vliv na soukromí fyzických osob. Pokud budou osobní a neosobní údaje zpracovány společně, použije se GDPR na část dat, která jsou daty osobními, a zásada volného pohybu neosobních dat se bude vztahovat na část dat neosobních.
Obě nařízení by se proto neměla překrývat, naopak navzájem doplňovat. Je však možné, že právě to bude v praxi působit mnoho aplikačních problémů, neboť již nyní je často problematické stanovit, zda se v některých hraničních případech jedná o údaje osobní či nikoliv.
Autor působí v advokátní kanceláři Squire Patton Boggs