Dne 25. 5. 2019 uplynul rok od nabytí účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) [dále také „obecné nařízení“ nebo „GDPR “]. V předkládaném článku chceme popsat zásadní novinky, které přineslo GDPR , a to včetně jejich implementace v praxi. Vycházet přitom budeme především z vlastní zkušenosti s implementací obecného nařízení v prostředí územního samosprávného celku (kraje) a také u příspěvkových organizací tímto celkem zřízeným.
Rok účinnosti obecného nařízení o ochraně osobních údajů (GDPR) v praxi územní samosprávy
JUDr.
Petr
Pospíšil,
Ph.D., LL.M.,
Mgr.
Filip
Kokeš
Úvod
Obecné nařízení zásadním způsobem oživilo diskusi o problematice ochrany osobních údajů, která do doby jeho přijetí lehce ustupovala jiným tématům. Není přitom žádného sporu o tom, že přijetí nové legislativy, která se alespoň pokusí regulovat oblast ochrany osobních údajů, ve světle jejich zpracování při použití moderních technologií používaných ve 21. století je naprosto nezbytné. Nová právní úprava musí reflektovat dynamický rozvoj sociálních sítí, profilování uživatelů e-shopů, používání čteček otisků prstů, využívání kamerových systémů a řady dalších technologií, se kterými se lidé v současnosti setkávají na každém kroku, a to často bez uvědomění si skutečnosti, že jsou prostřednictvím moderní techniky zpracovávány jejich osobní údaje.
V podobném duchu se vyjádřila u příležitosti prvního výročí účinnosti GDPR i předsedkyně Úřadu pro ochranu osobních údajů JUDr. Ivana Janů:
„Nikdy nebylo tak jednoduché nabourat se někomu anonymně do soukromí, nikdy nešlo tak hladce odcizené osobní údaje zneužít k vlastnímu prospěchu, jako dnes. V důsledku globálního využívání internetu musela být právní úprava k ochraně osobních údajů zdokonalena. Ta stará už prostě nestačila technickému stavu naší doby.“
1)Zmíněnou nezbytnost přijetí nové právní úpravy považujeme za nutné zdůraznit v samotném úvodu našeho článku. Nařízení GDPR cílí zejména na zpracování osobních údajů v kybernetickém či online světě a jeho primární snahou je regulace obřích a často nadnárodních správců osobních údajů, kteří disponují skutečně enormním množstvím rozličných informací o svých uživatelích. Není těžké si domyslet, že typickým příkladem takovýchto správců jsou technologické giganty typu Google či Facebook. GDPR tedy akcentuje především na ochranu osobních údajů kolujících „virtuálním“ světem, který se však dennodenně stýká se světem „reálným“.2)
Jak jsme již uvedli, obecné nařízení se zaměřuje především na ochranu osobních údajů v kyberprostoru. Zároveň však stanoví univerzální pravidla, která platí pro všechny správce či zpracovatele osobních údajů, přičemž je víceméně lhostejné, jaký charakter činnosti provozuje ten který správce či zpracovatel osobních údajů. Nařízení dopadá stejně tak na obchodní společnosti, spolky, bytová družstva a další subjekty soukromého sektoru, jako na subjekty sektoru veřejného. Na první pohled se může zdát, že GDPR přináší správcům osobních údajů množství novinek a povinností, avšak s hlubší znalostí věci takto zjednodušující náhled na GDPR nesdílíme. Náročnost implementace GDPR je vždy závislá na tom, nakolik důsledně konkrétní správce osobních údajů dbal na dodržování donedávna platné právní úpravy zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále též „zákon č. 101/2000 Sb.“).
Již tento zákon totiž reflektoval harmonizační snahy Evropské unie v oblasti právní úpravy ochrany osobních údajů na celém území unie, když transponoval Směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Na základě vlastní zkušenosti se domníváme, že veřejný sektor dlouhodobě naplňoval právní úpravu zákona č. 101/2000 Sb. důsledněji než ten soukromý, a proto nutně nemuselo ve veřejném sektoru docházet k významným problémům při implementac