Legislativa

Obecné nařízení o ochraně osobních údajů – GDPR

Dne 4. května 2016 bylo v Úředním věstníku Evropské unie publikováno nařízení Evropského parlamentu a Rady (EU) č. 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, známé též jako obecné nařízení o ochraně osobních údajů („Nařízení" či „GDPR").

Nařízení nabývá účinnosti dne 25. května 2018 a od tohoto dne tak budou všechny osoby zpracovávající osobní údaje povinny postupovat při zpracování osobních údajů v souladu s tímto Nařízením a tedy dodržovat povinnosti, které Nařízení na osoby zpracovávající osobní údaje klade. Současná právní úprava ochrany osobních údajů obsažená v zákoně o ochraně osobních údajů (zákon č. 101/2000 Sb.) pozbude dnem 25. května 2018 účinnosti.

S ohledem na blížící se termín účinnosti Nařízení si Vás tak níže dovolujeme upozornit na nejzásadnější změny v oblasti ochrany osobních údajů, které Nařízení přináší.
Přestože právní úprava Nařízení navazuje na dosavadní právní regulaci obsaženou ve směrnici Evropského parlamentu a Rady č. 95/46/ES, ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, a (v případě České republiky) navazujícím zákoně o ochraně osobních údajů, je nezbytné věnovat Nařízení dostatečnou pozornost.

Nařízení totiž přináší jak změny v podobě upřesnění, resp. zásadního rozšíření definic některých základních pojmů uplatňujících se v oblasti ochrany osobních údajů či četná zpřísnění dosavadních povinností osob zpracovávajících osobní údaje, tak i celou řadu povinností nových.

K nejzásadnějším změnám a novinkám v oblasti ochrany osobních údajů pak patří:

  • osobní údaje – definice osobních údajů byla rozšířena (upřesněna) tak, že osobními údaji se dle Nařízení rozumí též síťové identifikátory (např. adresy internetového protokolu či identifikátory cookies);
  • citlivé (osobní) údaje – kategorie citlivých (osobních) údajů nyní výslovně zahrnuje též genetické údaje;
  • souhlas (subjektu údajů) – Nařízení nově vyžaduje, aby: (i) byl souhlas subjektu údajů se zpracováním osobních údajů vždy udělen pro jeden či více konkrétních účelů, (ii) v případě, že je vyjádřen formou písemného prohlášení, byl souhlas jasně odlišitelný od ostatních (nesouvisejících) částí písemného prohlášení a vyjádřen jasnými a jednoduchými jazykovými prostředky, a aby (iii) nebylo plnění dle smlouvy, včetně poskytnutí služby, nedůvodně podmíňováno udělením souhlasu se zpracováním údajů;
  • zásada transparentnosti a rozšířené informační povinnosti – jednou ze základních zásad je dle Nařízení zásada transparentnosti, která vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování osobních údajů byly transparentní, tedy subjektu údajů snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků, s čímž souvisí i významně rozšířený katalog informačních povinností, které je osoba zpracovávající osobní údaje povinna vůči subjektu údajů plnit;
  • záměrná a standardní ochrana a zabezpečení osobních údajů – osoba zpracovávající osobní údaje je povinna zavést vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s Nařízením a že osobní údaje jsou dostatečně zabezpečeny, přičemž tato opatření musí být zvolena s přihlédnutím mj. ke stavu techniky, povaze, rozsahu a účelům zpracování a závažnosti rizik spojených s takovým zpracováním;
  • rozšířený katalog práv subjektů údajů – práva subjektů údajů jsou nově rozšířena o „právo být zapomenut", „právo na přenositelnost údajů" a „právo vznést námitku proti určitým typům zpracování", což bude klást na osoby zpracovávající údaje značné požadavky z hlediska zavedení systémů umožňujících efektivní výkon těchto práv subjektů údajů;
  • záznamy o činnostech zpracování – Nařízení zavádí povinnost osob zpracovávajících osobní údaje vést extensivní záznamy o činnostech zpracování a tyto záznamy na vyžádání poskytovat dozorovému orgánu (z této povinnosti jsou při splnění určitých podmínek vyňaty organizace zaměstnávající méně než 250 osob);
  • ohlašování případů porušení dozorovému orgánu a subjektu údajů – osoby zpracovávající osobní údaje jsou povinny bez zbytečného odkladu hlásit dozorovému orgánu a oznamovat subjektu údajů porušení zabezpečení osobních údajů (ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob); či
  • správní sankce – Nařízení zavádí citelné sankce za porušení (nedodržení) povinností ze strany osob zpracovávajících osobní údaje, které mohou v určitých případech dosáhnout až výše 20 mil. Euro nebo 4 % z celosvětového obratu podniku.