Jedním z nejvíce diskutovaných témat v poslední době, a to nejen v odborných kruzích, je Obecné nařízení o ochraně osobních údajů, celým názvem nařízení Evropského parlamentu a Rady Evropské unie (EU) č. 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES , anglicky General Data Protection Regulation (dále jen „Nařízení“). Nařízení vstoupí v účinnost 25. 5. 2018 a představuje dosud nejvíce ucelený soubor pravidel na ochranu dat na světě. Nařízení bude platit v celé EU (a rovněž na Islandu, v Norsku a v Lichtenštejnsku) bez dalšího, tj. bez nutnosti přijetí dalších vnitrostátních implementačních norem, a dotkne se každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. Cílem tohoto článku je seznámit čtenáře s některými změnami, které Nařízení přinese.
Legislativní novinky s komentářem - Obecné nařízení o ochraně osobních údajů (GDPR)
Mgr.
Akbulat
Kadiev,
advokátní
koncipient
Nařízení stanoví v úvodních ustanoveních oblast své působnosti. Míří na společnosti, instituce i jednotlivce, kteří nakládají s osobními údaji fyzických osob1), ať už se jedná o zaměstnance, zákazníky, klienty či dodavatele. Zasáhne však i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem Nařízení je chránit digitální práva občanů EU. Nevztahuje se však například na zpracování osobních údajů zpravodajskými službami, neboť Evropská unie nemá působnost v oblasti národní bezpečnosti, ani na činnost příslušných orgánů v rámci prevence, vyšetřování, odhalování a stíhání trestných činů. Tato problematika bude upravena v novém zákoně o zpracování osobních údajů, o kterém se pojednává níže.
Jak již bylo řečeno výše, Nařízení zavádí mnoho nových povinností. Zpracovatel osobních údajů2) bude muset dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná, a subjekty údajů budou muset být o svých právech důkladně informováni. Mají právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut (vymazání nejen konkrétních údajů, ale i veškerých odkazů na osobní údaje žadatele a jejich kopie), díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
Nařízení také rozšiřuje definici osobních údajů – nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
Zpracovatel bude muset oznamovat Úřadu pro ochranu osobních údajů případný únik či ohrožení zabezpečení osobních dat, a to nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl, popřípadě uvést důvody, proč nemohl oznámení učinit v této lhůtě. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal. Zcela novým je právo, aby správce bez zbytečného odkladu vymazal naše osobní údaje, pokud například osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány, dále pokud subjekt údaje, jehož zpracování je založeno na souhlasu, odvolá takový souhlas a neexistuje žádný další právní důvod pro jejich zpracování nebo pokud osobní údaje byly zpracovány protiprávně apod.
Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy Nařízení, a to například implementace záměrné a nezbytné ochrany dat, vypracování posouzení vlivu na ochranu osobních údajů (anglicky Data Protection Impact Assessment) nebo například zavedení tzv. pseudonymizace osobních údajů (anonymizace údaje tak, aby jej nebylo možné přiřadit konkrétní osobě bez použití dalších informací, které jsou uchovávány odděleně). Pro větší zpracovatele dat přináší Nařízení nově povinnost zřídit nezávislou kontrolní funkci tzv. Pověřence pro ochranu osobních údajů (anglicky Data Protection Officer, neboli DPO), a to konkrétně v těchto třech případech:
1.
zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů v rámci svých pravomocí),
2.
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
3.
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Rozsáhlým zpracováním osobních údajů bude například zpracování údajů o pacientech v rámci běžné činnosti nemocnice nebo například zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky. Pravidelné a systematické monitorování pak zahrnuje všechny formy sledování a profilování na internetu, i pro účely tzv. behaviorální reklamy (sledování polohy, například u mobilních aplikací, cílení internetové reklamy pomocí e-mailu, kamerové systémy aj.). Úkolem pověřence bude mj. dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. Podle Nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu.
Za zmínku stojí rovněž nová úprava sankčních opatření pro případ porušení povinností stanovených Nařízením, a to ve formě mimořádně vysokých pokut. Maximální výše pokut tak činí částku 20 mil. eur nebo 4 % z celkového ročního obratu společnosti.
V souvislosti s Nařízením bude přijat rovněž nový zákon o ochraně osobních údajů, jehož návrh byl zveřejněn 18. 8. 2017. Z důvodu velkého množství připomínek uplatněných v rámci mezirezortního připomínkového řízení však návrh ještě nebyl předložen vládě. Návrh neduplikuje jednotlivé články Nařízení, ale upravuje ty otázky, které Nařízení svěřuje národnímu zákonodárci. Návrh například stanoví věkovou hranici 13 let, po jejímž dosažení může dítě poskytnout souhlas se zpracováním osobních údajů v souvislosti s elektronicky poskytovanými službami, když Nařízení tuto hranici stanoví na 16 let a členským státům ponechává možnost stanovit hranici nižší. Dále obsahuje definici veřejného subjektu, za kterého se považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Návrh rovněž upravuje mlčenlivost pověřence a jemu podřízených osob, které může tyto osoby zbavit správce, popřípadě zpracovatel osobních údajů.
S ohledem na komplexní povahu Nařízení je nutno si uvědomit, že nabytím jeho účinnosti bude problematika ochrany osobních údajů nadále upravena v novém zákoně o zpracování osobních údajů a v samotném Nařízení. V praxi to znamená, že každý, kdo si bude chtít udělat alespoň základní představu například o svých právech nebo povinnostech, tak bude muset sledovat jak zákon, tak i předmětné Nařízení a jejich případné změny. To může být v praxi náročné zejména pro řadového občana, který chce například prověřit, zda nějaký subjekt nakládá s jeho osobními údaji v souladu s právními předpisy, avšak nemá potřebné znalosti pro studium a správný výklad právních norem, natož pro rozlišování vnitrostátních a evropských předpisů a vztahů mezi nimi. V této souvislosti nutno zmínit, že ústředním orgánem státní správy pro oblast osobních údajů bude v České republice i nadále Úřad pro ochranu osobních údajů. Lze tedy očekávat, že právě Úřad pro ochranu osobních údajů bude hrát nejdůležitější roli při informování zejména neodborné veřejnosti o nové právní úpravě týkající se ochrany osobních údajů.
1) Nařízení se nevztahuje na zpracování osobních údajů právnických osob. Nařízení se nevztahuje na zpracování osobních údajů právnických osob.
2) Jde o subjekt zpracovávající osobní údaje, na rozdíl od správce, který určuje účely a prostředky jejich zpracování. Jde o subjekt zpracovávající osobní údaje, na rozdíl od správce, který určuje účely a prostředky jejich zpracování.