Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů
JUDr.
Eva
Janečková
Dne 27.4.2016 schválil Evropský parlament konečnou podobu Nařízení Evropského parlamentu a
Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jedná se o
nová pravidla v oblasti ochrany osobních údajů. Nařízení EU jsou pro členské státy závazná a přímo
použitelná. Platí v celém svém rozsahu v celé EU. To znamená, že zmíněné nařízení nahradí dosud
platnou národní právní úpravu realizovanou zákonem č.
101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů, ve znění pozdějších předpisů. Směrnici musí členské země do 6.5.2018 převést do
vnitrostátní legislativy, nařízení začne platit od 25.5.2018.
Deklarovaným cílem nové úpravy je jednotná úroveň ochrany soukromí i jejího vymáhání ve
všech členských státech. V současné době má každý stát svou vlastní právní úpravu a navzdory tomu,
že všechny zákony vychází ze Směrnice 95/46/ES, v mnoha oblastech se značně liší.
Místní příslušnost nového nařízení je poměrně široká. Regulace se bude vztahovat na
zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez
ohledu na to, zda zpracování probíhá v Unii či mimo ni. Zároveň se bude vztahovat i na firmy v EU
neusazené, budou-li zpracovávat osobní údaje fyzických osob, které se nacházejí v EU. Typicky půjde
o nabízení zboží a služeb v členských státech nebo monitorování chování osob na jejich území (Článek
3).
Změny, které nařízení přinese, jsou poměrně rozsáhlé. Vybíráme proto pouze ty, které se
pravděpodobně subjektů v pozici správců dotknou nejvíce.
Jedním z hlavních cílů je, aby zpracování osobních údajů bylo co nejvíce pod kontrolou
subjektu údajů. Důraz je proto kladen na
souhlas se zpracováním údajů
. Stejně jako v současné
úpravě je primární zásadou zpracování se souhlasem. Zakotveny jsou i výjimky z tohoto pravidla.
Podle nařízení je „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný
projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke
zpracování svých osobních údajů. Nově bude vyžadováno, aby správci osobních údajů navrhovali
subjektům údajů jasné a jednoduché souhlasy.Je jednoznačně stanovena možnost souhlas odvolat, a to kdykoli. Odvolat souhlas musí být
stejně snadné jako jej poskytnout (Článek 7). Zároveň při posuzování toho, zda je souhlas svobodný,
musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby,
podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy
nutné.
Nařízením jsou subjektů údajů dána rozsáhlá
práva vůči správci
, ať už se jedná
právo na informace, přístup ke zpracovávaným údajům a jejich kopii, na jejich opravu, omezení
zpracování či přenesení k jinému správci. Zajímavosti je také zakotvená „práva být zapomenut“, tedy
práva, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů
týkají, pokud je dán některý z důvodu uvedených nařízením, mezi něž mimo jiné patří odvolání
souhlasu.Správci a zpracovatelé osobních údajů
budou povinni přijmout taková technická a
organizační opatření, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s
nařízením.Emoce pravděpodobně vzbudí povinnost daná článkem 30 nařízení, které obsahuje povinnost
vést detailní záznamy o zpracování údajů, bez výjimky pak na podniky s alespoň 250
zaměstnanci.
Podle článku 37 orgány veřejné moci s výjimkou soudů, podniky, které zpracovávají ve
velkém rozsahu citlivé údaje nebo provádějí rozsáhlé pravidelné a systematické monitorování subjektů
údajů, musí ustanovit osobu zodpovědnou za tuto agendu – svého inspektora ochrany osobních údajů.
Pokud bude hrozit, že zpracování osobních údajů bude představovat riziko pro práva a svobody
fyzických osob, bude správce před jeho započetím povinen vypracovat posouzení vlivu na ochranu
osobních údajů, v určitých případech i konzultovat rizika s dozorovým úřadem, tj. v ČR s Úřadem pro
ochranu osobních údajů.
Citelný rozdíl proti stávající úpravě nastane ve výši možných sankcí za porušení
povinností v oblasti ochrany osobních údajů. Podle zákona č.
101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů, ve znění pozdějších předpisů, je možné uložit pokutu nejvýše do 10 000 000 Kč.
Podle nové úpravy bude v případě nejzávažnějších deliktů horní hranicí pro uložení pokuty 20 mil.
EUR nebo 4% celkového celosvětového ročního obratu podniku; uplatní se přitom vyšší z uvedených
limitů.
Je nepochybné, že nová právní úprava v podobě Nařízení Evropského parlamentu a Rady
2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bude pro
správce i zpracovatele znamenat zvýšené náklady, ať už na nové proškolení zaměstnanců, přizpůsobení
vnitřních procesů novým pravidlům, nebo například na ustanovení pověřence pro ochranu osobních
údajů.