Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

Dne 27.4.2016 schválil Evropský parlament konečnou podobu Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jedná se o nová pravidla v oblasti ochrany osobních údajů. Nařízení EU jsou pro členské státy závazná a přímo použitelná. Platí v celém svém rozsahu v celé EU. To znamená, že zmíněné nařízení nahradí dosud platnou národní právní úpravu realizovanou zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Směrnici musí členské země do 6.5.2018 převést do vnitrostátní legislativy, nařízení začne platit od 25.5.2018.

Deklarovaným cílem nové úpravy je jednotná úroveň ochrany soukromí i jejího vymáhání ve všech členských státech. V současné době má každý stát svou vlastní právní úpravu a navzdory tomu, že všechny zákony vychází ze Směrnice 95/46/ES, v mnoha oblastech se značně liší.

Místní příslušnost nového nařízení je poměrně široká. Regulace se bude vztahovat na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni. Zároveň se bude vztahovat i na firmy v EU neusazené, budou-li zpracovávat osobní údaje fyzických osob, které se nacházejí v EU. Typicky půjde o nabízení zboží a služeb v členských státech nebo monitorování chování osob na jejich území (Článek 3).

Změny, které nařízení přinese, jsou poměrně rozsáhlé. Vybíráme proto pouze ty, které se pravděpodobně subjektů v pozici správců dotknou nejvíce.

Jedním z hlavních cílů je, aby zpracování osobních údajů bylo co nejvíce pod kontrolou subjektu údajů. Důraz je proto kladen na . Stejně jako v současné úpravě je primární zásadou zpracování se souhlasem. Zakotveny jsou i výjimky z tohoto pravidla. Podle nařízení je „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Nově bude vyžadováno, aby správci osobních údajů navrhovali subjektům údajů jasné a jednoduché souhlasy.

Je jednoznačně stanovena možnost souhlas odvolat, a to kdykoli. Odvolat souhlas musí být stejně snadné jako jej poskytnout (Článek 7). Zároveň při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Nařízením jsou subjektů údajů dána rozsáhlá , ať už se jedná právo na informace, přístup ke zpracovávaným údajům a jejich kopii, na jejich opravu, omezení zpracování či přenesení k jinému správci. Zajímavosti je také zakotvená „práva být zapomenut“, tedy práva, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud je dán některý z důvodu uvedených nařízením, mezi něž mimo jiné patří odvolání souhlasu.

budou povinni přijmout taková technická a organizační opatření, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s nařízením.

Emoce pravděpodobně vzbudí povinnost daná článkem 30 nařízení, které obsahuje povinnost vést detailní záznamy o zpracování údajů, bez výjimky pak na podniky s alespoň 250 zaměstnanci.

Podle článku 37 orgány veřejné moci s výjimkou soudů, podniky, které zpracovávají ve velkém rozsahu citlivé údaje nebo provádějí rozsáhlé pravidelné a systematické monitorování subjektů údajů, musí ustanovit osobu zodpovědnou za tuto agendu – svého inspektora ochrany osobních údajů. Pokud bude hrozit, že zpracování osobních údajů bude představovat riziko pro práva a svobody fyzických osob, bude správce před jeho započetím povinen vypracovat posouzení vlivu na ochranu osobních údajů, v určitých případech i konzultovat rizika s dozorovým úřadem, tj. v ČR s Úřadem pro ochranu osobních údajů.

Citelný rozdíl proti stávající úpravě nastane ve výši možných sankcí za porušení povinností v oblasti ochrany osobních údajů. Podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, je možné uložit pokutu nejvýše do 10 000 000 Kč. Podle nové úpravy bude v případě nejzávažnějších deliktů horní hranicí pro uložení pokuty 20 mil. EUR nebo 4% celkového celosvětového ročního obratu podniku; uplatní se přitom vyšší z uvedených limitů.

Je nepochybné, že nová právní úprava v podobě Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bude pro správce i zpracovatele znamenat zvýšené náklady, ať už na nové proškolení zaměstnanců, přizpůsobení vnitřních procesů novým pravidlům, nebo například na ustanovení pověřence pro ochranu osobních údajů.