Předsedkyně EDPB Anu Talus situaci shrnula slovy, že vztah mezi ochranou dat a kybernetickou bezpečností je vzájemný a hluboce propojený. Kybernetická bezpečnost přispívá k ochraně osobních údajů tím, že omezuje rizika neoprávněného přístupu, modifikace nebo nedostupnosti dat. Současně je ale třeba zajistit, aby bezpečnostní kontroly nepodkopávaly základní práva a svobody jednotlivců.

Posílení role ENISA. EDPB i EDPS podporují obecný cíl posílit roli Evropské agentury pro kybernetickou bezpečnost (ENISA) a usnadnit zavádění certifikačních schémat. Vítají také zpřesnění, jak má ENISA podporovat různé strany. Zvlášť oceňují, že nově by ENISA měla své doporučení vydávat na základě předchozí žádosti EDPB – tím se zajistí jasná koordinace a rozdělení odpovědností. Stanovisko navrhuje, aby seznam těch, kdo mohou ENISA o doporučení požádat, byl rozšířen o EDPS.

Dohled nad rozhodnutími ENISA. EDPB a EDPS připomínají, že pokud správní rada ENISA přijímá další technická pravidla nutná pro aplikaci nařízení o ochraně dat institucemi EU, taková rozhodnutí by se měla omezit na velmi technické (praktické) detaily zpracování osobních údajů. Návrh by měl výslovně počítat s předchozí konzultací s EDPS před adopcí takových pravidel.

Certifikační rámec a vztah ke GDPR. Cíl usnadnit zavádění certifikačních schémat je vítaný, ale rozsah evropského rámce kybernetické certifikace a jeho vztah k certifikacím podle GDPR je třeba zpřesnit. Před přijetím schématu týkajícího se zabezpečení zpracování osobních údajů by ENISA měla konzultovat EDPB. Certifikační schémata pro produkty, služby a procesy, u nichž je pravděpodobné použití při zpracování osobních údajů, by měla zohledňovat takové bezpečnostní kontroly, které pomáhají demonstrovat naplnění požadavků GDPR.

Skills framework pro celou pracovní sílu. EDPB a EDPS doporučují, aby se evropský rámec kybernetických dovedností (European Cybersecurity Skills Framework) neomezoval jen na profesionály v oboru, ale obsahoval i obecný profil zaměstnance. To má praktický dopad: organizace, které dnes počítají s tím, že povinnost znát kybernetická pravidla mají jen specialisté, by mohly být brzy nuceny rozšířit školení i na běžné uživatele.

Single-entry point pro hlášení incidentů. V souladu s nedávným společným stanoviskem k Digital Omnibus EDPB a EDPS podporují vznik jednotného vstupního bodu pro oznamování případů narušení osobních údajů. Pro organizace s povinnostmi podle více regulací (GDPR, NIS2, DORA, EHDS) by to znamenalo zásadní snížení administrativní zátěže – jeden formulář namísto několika paralelních hlášení.

Změny NIS2. Ke konkrétním navrhovaným úpravám směrnice NIS2 EDPB a EDPS pozitivně reagují na zařazení poskytovatelů evropských peněženek pro digitální identitu (EUDI Wallet) a evropských obchodních peněženek mezi „základní subjekty" (essential entities). Tyto subjekty budou plnit přísnější povinnosti a budou pod intenzivnějším dohledem národních autorit.

Stanovisko k navrhovanému Biotech Actu přijaly EDPB a EDPS 10. 3. 2026, tisková zpráva vyšla 12. 3. 2026. Návrh nařízení, který Evropská komise předložila s cílem posílit konkurenceschopnost EU v biotechnologiích a biovýrobě, modernizuje mimo jiné pravidla pro klinické studie. Pro správce zdravotních dat v EU jde o důležitý moment.

Jednotný právní titul pro zpracování dat sponzorem a zkoušejícím. EDPB a EDPS podporují cíl odstranit fragmentaci v aplikaci nařízení o klinických studiích (CTR) napříč členskými státy. Vítají záměr stanovit jednotný právní titul pro zpracování osobních údajů sponzory a zkoušejícími – výrazně by to zjednodušilo právní orientaci u nadnárodních klinických studií.

Vyšší standard ochrany u citlivých dat. Současně obě instituce zdůrazňují, že citlivost zdravotních a genetických dat zpracovávaných v klinických studiích vyžaduje mimořádnou úroveň ochrany. Navrhované zjednodušení nesmí oslabit ochranu účastníků studií. Stanovisko obsahuje šest hlavních doporučení.

Vyjasnění rolí správce dat: Návrh by měl jednoznačně určit, zda jednotliví aktéři (sponzor, zkoušející, dodavatel laboratoře) působí jako samostatní nebo společní správci. Jasné vymezení rolí je důležité pro alokaci odpovědností a pro praktické naplnění povinností vůči subjektům údajů.

Omezení doby uchování. Povinná minimální doba uchování 25 let by měla výslovně platit pouze pro tzv. clinical trial master file – ne pro všechna osobní data zpracovávaná během studie. Tento detail je zásadní: bez něj by mohly nemocnice a CRO organizace držet identifikovatelná data účastníků čtvrt století i u záznamů, které se ke sledování bezpečnosti studie nutně nepotřebují.

Sekundární použití dat. Pokud má návrh poskytnout právní titul pro další zpracování dat ze studie tímtéž správcem (například pro navazující studii nebo vědecký výzkum), Biotech Act musí jasně definovat účely a specifické záruky. Bez nich hrozí, že se sekundární použití rozkročí do oblastí, na které účastníci původně netušili, že přistoupili.

Soulad s AI Actem. Při podpoře využívání AI v biotechnologiích musí Biotech Act zajistit, aby povinnosti sponzorů doplňovaly existující požadavky AI Actu. Pro výzkumné konsorcium, které trénuje AI model na datech z klinické studie, je to praktická poznámka: vedle GDPR a CTR bude nutné splnit i transparentní požadavky AI Actu, zejména pokud jde o vysokorizikové AI systémy.

Pseudonymizace jako standard. CTR by měl výslovně vyžadovat pseudonymizaci vždy, kdy není nutné zpracovávat přímo identifikovatelná data. To je zpřísnění současného přístupu, který pseudonymizaci doporučuje, ale nepožaduje.

Regulatorní sandboxy. Pokud Komise přijme prováděcí akty týkající se sandboxů v oblasti klinických studií, musí v nich stanovit právní titul pro zpracování dat i odchylku podle čl. 9 odst. 2 GDPR pro citlivé údaje. U jiných sandboxů by se zpracování mělo opírat o standardní právní tituly podle GDPR – sandboxový režim není automatickou výjimkou.

Ačkoliv obě stanoviska byla přijata v březnu 2026 a dnes mohou působit jako materiál určený pro úzkou komunitu legislativců, jejich obsah se promítne do textů nařízení a směrnic, podle kterých budou organizace fungovat v dalších letech. Pro DPO, právníky compliance i bezpečnostní týmy je užitečné mít doporučení EDPB/EDPS přečtena s předstihem. Při hlášení incidentů, výběru certifikačního schématu nebo přípravě nové klinické studie pak bude jasnější, ke kterým výkladovým mantinelům se Komise i členské státy budou s vysokou pravděpodobností vracet.

Plný text obou stanovisek a tiskových zpráv je dostupný na webu EDPS.

EDPS

NicFab