Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Nová pravidla pro ochranu osobních údajů ve Velké Británii

Nová pravidla pro ochranu osobních údajů ve Velké Británii

  • Datum: 30.12.2024
  • Autor: Andrej Lobotka

Britská vláda chystá reformu pravidel pro ochranu osobních údajů. Chce snížit administrativní zátěž, usnadnit automatické zpracování dat a využití AI.

Vláda Spojeného království zveřejnila návrh zákona, který změní pravidla pro zpracování a ochranu osobních údajů a ochranu soukromí v odvětví elektronických komunikací. Návrh zákona označovaného jako Data (Use and Access) Bill rovněž upřesní pravidla týkající se digitální identity a zreformuje dozorový úřad Information Commissioner's Office.

Data (Use and Access) Bill nepřináší tak rozsáhlé a radikální změny, jaké navrhovala předchozí vláda v předchozím návrhu zákona – Data Protection and Digital Information Bill. Přestože předchozí návrh zákona prošel Dolní sněmovnou (House of Commons) a postoupil do Sněmovny lordů (House of Lords), nepodařilo se jej přijmout před parlamentními volbami v roce 2024.

Současná novelizace naproti tomu nenavrhuje zrušení funkce pověřence pro ochranu osobních údajů. Zachovává i další instituty, které známe z GDPR, jako jsou DPIA či záznamy o činnostech zpracování.

Oprávněný zájem

Data (Use and Access) Bill však přináší několik změn, které budou znamenat poměrně výrazné odchýlení se od současných pravidel, která stále vycházejí z GDPR. Data (Use and Access) Bill např. pracuje s tzv. uznanými oprávněnými zájmy (recognised legitimate interests). Jde o seznam určitých činností, které jsou obecně považovány za oprávněné zájmy. Hlavní výhodou uznaných oprávněných zájmů je, že pokud správce může poukázat na jeden z těchto uznaných oprávněných zájmů pro zpracování osobních údajů, nebude muset provádět vlastní posouzení oprávněného zájmu. 

Mezi tyto specificky uznané oprávněné zájmy podle návrhu zákona patří:

  • poskytnutí údajů správci, který je potřebuje zpracovat pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, pokud si správce tyto údaje vyžádal,

  • zajištění národní bezpečnosti nebo ochrany veřejné bezpečnosti,

  • reakce na mimořádné události,

  • odhalování, vyšetřování nebo předcházení trestné činnosti nebo zadržení či stíhání pachatelů trestných činů, nebo

  • ochrana zranitelných osob.

Návrh zákona obsahuje také seznam příkladů zpracování osobních údajů, které lze považovat za zpracování nezbytné pro účely oprávněného zájmu. V těchto případech se však nejedná o uznané oprávněné zájmy. Provedení posouzení oprávněného zájmu je tak u nich, na rozdíl od uznaných oprávněných zájmů, nutné. 

Jsou jimi:

  • přímý marketing,

  • sdílení údajů v rámci skupiny pro interní administrativní účely, nebo

  • zpracování za účelem zajištění bezpečnosti sítí a informací.

Zvláštní kategorie osobních údajů

Výčet zvláštních kategorií osobních údajů zůstává návrhem nového zákona nedotčen. Změnou ovšem je, že někteří úředníci by měl mít pravomoc doplnit seznam zvláštních kategorií osobních údajů.

Státními tajemníky, kteří mají určité pravomoci ve vztahu k Data Protection Act 2018, někdy nazývaného i UK GDPR, a ve vztahu k Data (Use and Access) Bill, jsou ve většině případů státní tajemník pro  podnikání a obchod (Secretary of State for Business and Trade) a ministr vnitra (Secretary of State for the Home Department). Nově doplněné kategorie může státní tajemník následně také sám zase ze seznamu odstranit. 

Cílem je umožnit rychle reagovat na budoucí technologický a společenský vývoj. Nemělo by však dojít ke snížení úrovně ochrany citlivých osobních údajů, jelikož pravomoc státního tajemníka ve vztahu k rušení kategorií osobních údajů ze seznamu zvláštních kategorií osobních údajů je omezena jen na nově přidané kategorie nad rámec těch, které jsou uvedeny v evropské regulaci, GDPR. 

Vyřizování žádostí subjektů údajů

Nový návrh, Data (Use and Access) Bill, obsahuje podrobnější pravidla pro počítání lhůty pro vyřízení žádostí subjektů údajů v závislosti na tom, zda správce požaduje od žadatele další informace. Návrh zákona výslovně uvádí, že pokud správce důvodně požaduje další informace po subjektu údajů, doba, než subjekt údajů žádost doplní, se do lhůty pro vyřízení žádosti nezapočítá.

Zákon dále např. uvádí, že příkladem, kdy správce může požadovat další informace od žadatele, je situace, kdy o něm správce zpracovává velké množství informací.

Předávání osobních údajů do třetích zemí

Data (Use and Access) Bill reviduje současná pravidla předávání osobních údajů do třetích zemí. Zatímco některé navrhované změny pouze přizpůsobují jazyk právnímu řádu Spojeného království (např. mluví o „adequacy regulations" a nikoliv o „adequacy decisions"), jiné zavádějí podstatnější rozdíly oproti předchozí právní úpravě.

Klíčovou změnou je tzv. test ochrany údajů (data protection test), který bude určený státní tajemník provádět k posouzení přiměřenosti úrovně ochrany osobních údajů ve třetích zemích. Narozdíl od GDPR se tento test zaměřuje na posouzení, zda je či není ochrana osobních údajů ve třetí zemi podstatně nižší než ve Spojeném království, přičemž zohledňuje i faktory jako je kultura a tradice daného státu. Státní tajemník bude rovněž posuzovat přístup orgánů veřejné moci k osobním údajům pro účely národní bezpečnosti a vymáhání práva. 

Nová právní úprava tak umožní vydávat rozhodnutí o přiměřenosti úrovně ochrany osobních údajů ve třetích zemích na základě širších hledisek (včetně politických a ekonomických). Dále mu umožní specifikovat standardní smluvní doložky a omezovat předávání osobních údajů z důvodů veřejného zájmu.

Automatizované individuální rozhodování

Návrh nového zákona výrazně mění pravidla týkající se automatizovaného individuálního rozhodování. Ta jsou v unijním právu upravená v čl. 22 GDPR. Návrh zákona usiluje o větší flexibilitu, zejména pokud jde o údaje, které nespadají do zvláštních kategorií osobních údajů.

Návrh zákona zavádí pojmy „významné rozhodnutí“ (significant decision) a „smysluplné lidské zapojení“ (meaningful human involvement). Přítomnost smysluplného lidského zapojení v celém procesu určuje, zda je rozhodnutí považováno za výhradně automatizované. Při zvažování, zda při přijímání rozhodnutí dochází k smysluplnému lidskému zapojení, je nutné mimo jiné zvážit, do jaké míry je rozhodnutí přijímáno pomocí profilování.

Výhradně automatizovaná významná rozhodnutí zahrnující zvláštní kategorie osobních údajů budou možná jen s výslovným souhlasem dotčené osoby, nezbytností tohoto zpracování pro uzavření či plnění smlouvy nebo podstatným veřejným zájmem nebo zákonným požadavkem/povolením. Pozoruhodné je, že tato omezení se nevztahují na „běžné“ kategorie osobních údajů. Jejich automatizované zpracování tak bude mít jednodušší režim, než jaký upravuje GDPR.

U všech výhradně automatizovaných významných rozhodnutí budou správci povinni poskytnout dotčeným osobám dodatečné záruky na ochranu jejich práv. Tyto záruky mohou mít podobu:

  • poskytnutí detailních informací o automatizovaném rozhodování,

  • umožnění subjektu údajů vyjádřit se k rozhodnutí,

  • zajištění práva na lidský zásah, nebo

  • umožnění subjektu údajů napadnout/rozporovat rozhodnutí.

Státní tajemník pak dále získá pravomoc definovat „smysluplné lidské zapojení“ a „významná rozhodnutí“ a specifikovat požadované záruky. 

Zkomplikuje nová regulace spolupráci s britskými firmami?  Pokračování článku naleznete na doméně GDPR.cz.


Štítky
GDPRComplianceManagementOsobní údaje

Nejčtenější články

Štítky
Simulation (1)AI Act (13)Management (49)Data (21)BPMN (1)Program Manager (4)Compliance (72)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (23)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (33)Axelos (6)AI (19)ISO (15)IT Security (5)Marketing (11)ESG (5)Identifikace (1)Lean (3)MoP (7)CMS (1)GDPR (116)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (7)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (12)Whistleblowing Officer (9)DORA (12)AI (1)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (19)Tisková zpráva (3)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (1)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (27)NIS2 (17)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (5)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (35)Pokuta (14)Hospodářská soutěž (1)eGovernment (1)Regulace (24)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play