Po srpnových bruselských prázdninách, kdy úředníci z institucí čerpají dovolenou, se pomalu roztáčí kola unijních aktivit, které se dotýkají digitálního prostředí. I když všichni netrpělivě očekávají, až Evropská komise zveřejní opožděnou analýzu dopadu připravovaných nových pravidel upravujících regulaci telekomunikací v EU (Digital Network Act), neznamená to, že by se v Bruselu nic nedělo.
Geopolitika na prvním místě. Dne 9. září zveřejnila Evropská komise svou zprávu o strategickém výhledu (2025). Ve své zprávě komise poukazuje na rostoucí geopolitické napětí, v jehož důsledku musí EU začlenit bezpečnost a strategickou autonomii do svých hospodářských politik. Nadměrná závislost na klíčových digitálních službách poskytovaných subjekty mimo EU „vystavuje EU rizikům, včetně zranitelnosti v oblasti bezpečnosti dat, narušení služeb, špionáže a ekonomického nátlaku“, uvádí Komise. Regulační pravidla EU sice brání nekontrolovanému přístupu k osobním údajům Evropanů, současně však tento regulační model může potenciálně bránit inovacím a vstupu na trh.
Klíčovou výzvou pro globálně konkurenceschopné inovace EU je podle zprávy komise „fragmentace správy technologií EU a souvisejících politik mezi EU a jejími členskými státy“. Zpráva rovněž poukazuje na „dopady nové globální oligarchie, v níž několik technologických miliardářů má stále větší vliv na politiku“. Zpráva výslovně uvádí, že zvláštní pozornost by měla být věnována mimo jiné „rozvoji a zavádění strategických nástrojů pocházejících z EU, jako jsou bezpečné digitální infrastruktury“. EU také musí „řešit fragmentaci politik v oblasti správy technologií“.
Celý evropský regulační model a geopolitické postavení v digitálním světě bude ještě doplněn výsledky rozhodnutí Evropského soudního dvora, protože jen Akt o digitálních trzích (DMA) je pod palbou odvolání technologických gigantů proti rozhodnutím Komise, ať už se to týká Applu a podmínek App Storu, nebo Mety a pravidel „Souhlas nebo zaplať“ („Consent or Pay“).
Dne 16. září Evropská komise zveřejnila výzvu k předložení důkazů týkající se „Digitálního omnibusu – digitálního balíčku pro zjednodušení“. Tato výzva doplňuje probíhající přezkumy strategie pro datovou unii, zákona o kybernetické bezpečnosti a připravované strategie pro uplatňování umělé inteligence. Výzva k předložení důkazů se mimo jiné zaměřuje na zjednodušení pravidel pro ukládání souborů cookie a dalších sledovacích technologií podle směrnice o soukromí a elektronických komunikacích (stařičká směrnice 58 z roku 2002). V souvislosti s kybernetickou bezpečností uznává (konečně) Digital Omnibus zátěž vyplývající z povinností hlášení incidentů vyplývajících z různých právních předpisů EU. Evropská komise by proto měla zjednodušit procesy hlášení. Pokud jde o evropský rámec pro digitální identitu (EUDI), měl by Digital Omnibus vést ke snížení nákladů na dodržování předpisů a zvýšit právní jasnost pro spoléhající se strany a kvalifikované poskytovatele důvěryhodných služeb. V souvislosti s Aktem o umělé inteligenci by Komise měla zajistit předvídatelné a účinné uplatňování se zaměřením na potřeby malých a středních podniků. Evropská komise chce navíc prostřednictvím připravované kontroly digitální způsobilosti pokračovat v hodnocení „kumulativního účinku, soudržnosti a příležitostí“ digitálních pravidel EU na jednotném trhu EU. Bohužel stále je potřeba mít na paměti, že tzv. zjednodušení regulačních pravidel neznamená automaticky méně regulace. Je ale dobře, že v rámci této výzvy různé hospodářské asociace v rámci EU (tedy i z Česka) zasílají Komisi návrhy na redukci regulace. Z dosavadních příspěvků nejvíce trápí české občany cookies a AI akt. Možnost poslat své názory trvá do 14. října 2025.
Dne 10. září přijal Evropský parlament na plenárním zasedání usnesení o správě internetu – obnovení mandátu Fóra pro správu internetu (tzv. IGF). Poslanci Evropského parlamentu vyzvali Valné shromáždění OSN (které má mandát IGF na starosti), aby internet zůstal „otevřený, svobodný, globální, interoperabilní, spolehlivý, bezpečný a spravovaný všemi pro všechny“, a aby „trvale obnovilo mandát IGF a posílilo jeho zdroje a model správy internetu založený na zapojení více zúčastněných stran“ (multistakeholder model). Poslanci Evropského parlamentu se rovněž domnívají, že i přesto, že IGF nepřijalo žádné formální závěry, „je povinností EU tento proces podporovat“. Evropští poslanci zdůrazňují význam zachování otevřeného a interoperabilního internetu „jako globálního veřejného zdroje“ a odsuzují „jakékoli snahy o fragmentaci internetu nebo nahrazení správy zahrnující více zúčastněných stran mezivládní kontrolou“ (a že ty snahy stále existují).
Pro doplnění, proces nového mandátu IGF je v kruzích věnujících se správě internetu velké téma. Jedna z koalic, která se tomu věnuje a prosazuje zachování multistakeholder modelu, je i TCCM (A Technical Community Coalition for Multistakeholderism). Členem této skupiny je i CZ.NIC, který dlouhodobě multistakeholder model při správě internetu prosazuje. V tomto směru byly formulovány i připomínky návrhu přezkumu WSIS+20, kde TCCM zdůraznilo, že pro budoucí správu internetu je nutné zapojení všech zájmových skupin včetně mezinárodních organizací, akademické obce a technické komunity.
Dne 11. září Evropská komise zveřejnila nezávazné pokyny a vzor pro podávání zpráv za účelem podpory dodržování směrnice o odolnosti kritických subjektů (směrnice CER). Konkrétně pokyny provádějí čl. 5 odst. 5 týkající se vzoru pro poskytování určitých informací Komisi a čl. 6 odst. 6 týkající se doporučení a pokynů na podporu členských států při identifikaci kritických subjektů. Podle pokynů mohou být subjekty, které poskytují základní služby, zároveň jsou umístěny na území členského státu (infrastruktura je fyzicky umístěna) a jejichž incidenty mohou mít významný rušivý vliv na poskytování základních služeb, považovány za kritické subjekty podle směrnice CER. Podle pokynů by při identifikaci kritických subjektů měla být věnována zvláštní pozornost rizikům, která mají mezioborový nebo přeshraniční charakter. Komisí se také doporučuje úzká spolupráce s dozorovými orgány podle směrnice NIS 2 a zohlednění příslušných evropských a mezinárodních norem v oblasti kybernetické bezpečnosti. Nezbývá si než povzdechnout, kde je ten bruselský zjednodušující omnibus, když ho člověk potřebuje…
Dne 9. září zveřejnil evropský inspektor ochrany údajů stanovisko k dvěma návrhům rozhodnutí Rady o podpisu a uzavření Úmluvy Organizace spojených národů proti kyberkriminalitě. Úmluva zavádí vzájemnou právní pomoc při získávání elektronických důkazů o závažných trestných činech, za které lze podle vnitrostátních právních předpisů uložit trest odnětí svobody v délce nejméně čtyř let. Elektronické důkazy, na které se úmluva vztahuje, zahrnují elektronická data, informace o předplatitelích, údaje o provozu a obsahu zpracovávané nebo shromažďované poskytovateli služeb.
Evropský inspektor ochrany údajů ve svém stanovisku vítá ustanovení, která od smluvních stran nevyžadují předávání osobních údajů, pokud je nelze poskytnout žádající straně v souladu s právními předpisy o ochraně údajů. Evropský inspektor ochrany údajů navrhuje, aby členské státy EU nejprve posoudily, zda jsou splněny podmínky směrnice EU o vymáhání práva, která stanoví podmínky pro předávání osobních údajů do třetích zemí. Členské státy EU by měly odmítnout spolupráci v případech, kdy jsou údaje požadovány v rámci vyšetřování trestného činu, který v jejich právním systému neexistuje, nebo pokud by příslušné orgány členských států nebyly oprávněny provést takové opatření ve své vlastní jurisdikci. Dalším krokem v procesu ratifikace je přijetí smlouvy Radou EU a následné vyjádření souhlasu Evropským parlamentem. Poté mohou jednotlivé členské státy EU zahájit proces podpisu a ratifikace smlouvy.
Dne 11. září zveřejnil Evropský sbor pro ochranu údajů (EDPB) pokyny týkající se vzájemného působení Aktu o digitálních službách (DSA) a obecného nařízení o ochraně osobních údajů (GDPR). Pokyny se konkrétně zaměřují na ustanovení Aktu DSA, která mají dopad na zpracování osobních údajů zprostředkovateli služeb. Dokument mimo jiné také popisuje, jak mohou zprostředkovatelé služeb provádět dobrovolná vyšetřování z vlastní iniciativy podle čl. 7 DSA v souladu s GDPR. Automatizované nebo neautomatizované snahy z vlastní iniciativy o odhalování, identifikaci a řešení nelegálního obsahu mohou být založeny na technikách strojového učení, které často vyžadují velké množství dat pro trénování. Jak při trénování, tak při nasazování těchto opatření musí poskytovatelé prokázat soulad se zásadami ochrany údajů, jako je minimalizace a ochrana údajů „by design“ a „by default“. Systematické sledování činností subjektů údajů automatizovanými metodami může vést k nepřesným výsledkům ohledně zapojení subjektu údajů do zneužívání. V důsledku toho musí poskytovatelé provádět zpracování pro účely čl. 7 DSA zákonným, spravedlivým a transparentním způsobem vůči subjektům údajů. V případě, že je takové zpracování prováděno za účelem splnění právní povinnosti podle jiných právních předpisů EU a vnitrostátních právních předpisů, měli by poskytovatelé služeb určit, do jaké míry je zpracování osobních údajů nezbytné pro splnění jejich stávajících právních povinností. Pokyny rovněž uvádějí, že v závislosti na úrovni automatizace zpracování mohou být činnosti z vlastní iniciativy považovány za zakázanou praxi podle GDPR. Jinými slovy…kdo nic nedělá, nic nezkazí a dobrovolná vyšetřování podle čl. 7 DSA nakonec moc efektivní nebudou.