Publikace

Nejdůležitější změny, které přinese GDPR

09/03/17

Obecné nařízení Evropského Parlamentu a Rady o ochraně osobních údajů č. 2016/679, neboli GDPR nařízení bylo přijato v dubnu 2016 po čtyřletém vyjednávání, je v platnosti od 24. 5. 2016, ale v účinnost vstoupí až 25. května 2018 a tehdy se také začne aplikovat na celém území EU. Nařízení platí pro 28 členských států EU + pro území EFTA (Norsko, Island, Lichtenštejnsko). 31 národních zákonů v oblasti ochrany osobních údajů bude derogováno. Nařízení přináší v oblasti ochrany osobních údajů mnoho změn a pro společnosti zpracovávající osobní údaje nemálo nových povinností.

GDPR se týká velkého množství subjektů, a to nejen poskytovatelů online služeb, ale i všech firem, institucí i jednotlivců, které zpracovávají data fyzických osob. GDPR se budou povinny řídit až na některé výjimky také orgány veřejné správy, neboť GDPR se nevztahuje pouze na zpracování při činnostech, které nespadají do působnosti práva EU, zpracování při činnosti související s politikou kontrol na hranicích, azylu a přistěhovalectví a příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání TČ nebo výkonu trestů, vč. ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Zásadní práva subjektu údajů, zásadní povinnosti jejich správce

Dochází ke zpřísnění regulace, která má zajistit širší a lépe vymahatelnou ochranu osobních údajů a zároveň zohlednit technologický vývoj a rozvoj činností, souvisejících s nakládáním s osobními údaji. Nařízení tak například výslovně stanoví, že osobním údajem může napříště být také síťový indikátor, např. IP adresa nebo cookies. Zvláštní důraz je pak také kladen na souhlas dítěte. Souhlas dítěte se zpracováním osobních údajů dětí lze získat až od 16. roku dítěte, do té doby souhlas uděluje zákonný zástupce. Hranice 16. roku není pro členské státy závazná, státy si ji mohou upravit odlišně, nikdy však nesmí být nižší než 13. rok dítěte.

Zachována zůstává povinnost předem subjekt údajů informovat o zpracování údajů a o jeho právech, dojde však ke změnám v nárocích na souhlas a v rozsahu činností, které jím budou podmíněny. Subjekt údajů získá díky GDPR některá zásadní nová práva. Nejvýznamnějšími jsou právo na přenositelnost údajů (portabilita). Toto právo umožňuje fyzické osobě získat kopii zpracovaných osobních údajů, které se dotýkají této osoby v podobě, umožňující přenést zpracované údaje k jinému poskytovateli služby. Dále je nově právním předpisem zakotveno tzv. právo být zapomenut- RTBF, právo subjektů na výmaz údajů. Toto nové právo bylo odvozeno z rozsudku SD EU z května 2015 C—131/12. Právo náleží jednotlivcům a umožňuje jim, aby na základě jejich žádosti byly odstraněny některé osobní údaje z vyhledávače.

V případě úniku dat je Nařízením stanovena lhůta 72 hodin od zjištění úniku, dokdy musí společnost tento únik nahlásit orgánu dozoru, někdy musí být informován i sám klient. Jedná se o případy, kdy únik dat představuje vysoké riziko pro práva a svobody klienta.

Další povinností je přiměřenost, resp. povinnost společnosti minimalizovat objem osobních údajů, a to tak, že budou průběžně mazána data, která již nejsou nezbytně nutná a pro která již například neplatí souhlas klienta.

DPO

S ohledem na složitost procesů, které bude třeba zajistit a spravovat tak, aby byl zajištěn soulad s povinnostmi pro správce údajů, stanovenými GDPR, zakotvuje tento předpis také novou pozici tzv. pověřenec pro ochranu osobních údajů, DPO (Data Protection Officer). V některých členských státech byla tato funkce již dříve známa, v ČR se jedná o zcela novou funkci. Každý správce nebo zpracovatel osobních údajů má povinnost jmenovat tohoto pověřence, pokud zpracování provádí orgán veřejné moci nebo jeho hlavní činnosti spočívají ve zpracování, které z důvodu své povahy/rozsahu/účelům vyžaduje rozsáhlé monitorování subjektů údajů, anebo jeho činnost spočívá v rozsáhlém zpracování citlivých údajů. Ostatní správci mohou pověřence jmenovat fakultativně.

Funkci pověřence může zastávat buď zaměstnanec podniku, nebo i osoba stojící mimo podnik, ta však musí mít s daným podnikem uzavřenou smlouvu o poskytování služeb. Pověřenec má úlohu informační, tedy poskytuje informace a poradenství správcům, zpracovatelům a jejich zaměstnancům. Monitoruje soulad zpracování údajů s tímto nařízením, dalšími předpisy EU, školí pracovníky zapojené do operací zpracování a souvisejících auditů a spolupracuje s orgánem dozoru. Dále také poskytuje poradenství při posouzení vlivu zpracování na ochranu osobních údajů.

Podle Nařízení GDPR jsou kritéria bezpodmínečné povinnosti zřízení DPO následující: 
 

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů (osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a dále genetické údaje, biometrické údaje (zpracovávané za účelem jedinečné identifikace fyzické osoby) a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby) a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů;

vyžaduje tak právo Evropské unie nebo členského státu.

V prosinci 2016 vydala pracovní skupina podle čl. 29 směrnice (WP29) pokyny pro pozici DPO, které podrobně vykládaní povinnosti DPO a subjektů, povinných jeho obsazením a mají zároveň poskytnout objasnění výkladové vágnosti Nařízení v praktických otázkách, týkajících se DPO. Zajímavé je pak zařazení DPO, který má být nezávislým a odpovídat pouze nejvyššímu vedení. S ohledem na vysoké nároky na odbornou znalost i zásadní odpovědnost lze očekávat, že obsazení těchto pozic nebude snadné, mimo jiné i z toho důvodu, že dostatečně kvalifikovaných DPO aktuálně není v EU dostatek ani pro odhadované množství subjektů, které budou tuto pozici muset obsadit. Alternativou je externí plnění povinností DPO, které může zajišťovat soukromá právnická osoba i pro několik správců osobních údajů.

Závěr

Z výše uvedeného je jasné, že splnit podmínky nařízení GDPR bude pro společnosti znamenat nemalé úsilí a s tím spojené finanční náklady. GDPR bude mít zásadní dopad na zpracovatele osobních údajů pro účely komerční, zdravotnické i vědecké. Problematický bude např. také požadavek na možnost vymazání všech osobních dat klienta. Tento požadavek bude zásadní především u velkých společností, které spravují velká množství osobních dat klientů a mají stovky různých informačních systémů. Jsou to především finanční instituce, telekomunikační společnosti, firmy z oblasti utilit a další.

JUDr. Veronika Křížová, LL.M.

Alice Kovářová