Úvod do GDPR

Již pouze necelý rok zbývá všem subjektům pracujícím s osobními údaji (státním orgánům, obchodním korporacím, ale i drobným podnikatelům) na přizpůsobení se pravidlům ochrany dat dle nového evropského nařízení - Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – zkráceně „Nařízení GDPR“).

Základní informace o Nařízení GDPR

Nařízení GDPR, které nabude účinnosti již 25. května 2018, stanoví nová pravidla pro zpracování osobních údajů fyzických osob, včetně fyzických osob podnikajících.

Mimo jiné se například zpřísní podmínky pro získání souhlasu se zpracováním osobních údajů a výslovně se zakotvuje celá řada práv subjektů údajů. Fyzické osoby tak napříště budou mít právo požadovat výpis osobních údajů, které o nich jsou zpracovávány, právo na umožnění transferu takových osobních údajů nebo jejich nenávratné smazání z vnitřních systémů správců.

Odpovědnost za splnění požadavků Nařízení GDPR ponese primárně správce osobních údajů, který musí také důsledně prokazovat soulad zpracování osobních údajů s Nařízením GDPR.

S Nařízením GDPR se zruší stávající povinnost registrace oznámení o zpracování osobních údajů u Úřadu pro ochranu osobních údajů (dozorový úřad). Nově pouze v případě, že dojde k incidentu (např. k úniku osobních údajů mimo systémy správce), bude správce povinen jej neprodleně ohlásit dozorovému úřadu a v některých případech také všem zasaženým osobám.

Na některé správce se bude vztahovat také povinnost jmenovat dostatečně kvalifikovaného pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). Náplní funkce DPO bude zejména dohlížet na soulad s Nařízením GDPR, komunikovat s Úřadem pro ochranu osobních údajů a také se subjekty osobních údajů.

Ačkoliv Nařízení GDPR vychází z dosavadní právní úpravy ochrany osobních údajů, v praxi klade nové, vysoké, zejména administrativní požadavky na správce osobních údajů, a hrozí vysokými sankcemi.

Některé nejasné nároky jsou postupně vykládány pracovní skupinou WP 29. Svá stanoviska publikuje také Úřad pro ochranu osobních údajů. Obrysy reálné implementace požadavků Nařízení GDPR na zpracování osobních údajů se budou měnit také po nabytí účinnosti Nařízení GDPR na základě judikatury.

Ačkoliv bude nařízení přímo účinné a nevyžaduje implementaci, stanoví řadu možností pro členské státy EU k modifikaci určitých aspektů nové úpravy ochrany osobních údajů. Po celé Evropě, včetně České republiky, se tak připravují nové právní předpisy, které dále upřesní pravidla pro aplikaci Nařízení GDPR v jednotlivých členských státech.

Konkrétní dopad Nařízení GDPR na některé typy subjektů:

  • Banky

V praxi budou povinny jmenovat pověřence pro ochranu osobních údajů a provádět předběžné posouzení vlivu na ochranu osobních údajů podle čl. 35 Nařízení GDPR při zavádění nových produktů.

  • Nemocnice a jiná zdravotnická zařízení

Zpracovávají zvláštní kategorie osobních údajů – citlivé údaje. Budou tak muset reagovat na přísnější podmínky pro zpracování získaných osobních údajů, zejména pro jejich zabezpečení, ochranu a nakládání s nimi.

Protože se Nařízení GDPR nevztahuje jen na digitální data, bude nutné nově upravit a zabezpečit zpracování údajů pacientů také ve zdravotnické dokumentaci vedené v papírové podobě.

  • Veřejná správa

Nařízení GDPR a zejména pak prováděcí zákony členských států zakotví řadu specifických pravidel pro zpracování osobních údajů ve veřejné správě.

  • IT

I na technologické společnosti, jež například spravují či vyvíjejí nové IT a mobilní aplikace, se budou vztahovat požadavky Nařízení GDPR na zpracování údajů v této oblasti.

Bude například nutné brát v potaz zpracování údajů dětí a mladistvých, kteří jsou ze strany Nařízení GDPR zvlášť chráněni.

  • Bezpečnostní systémy

Na zvláštní kategorie osobních údajů, jež mohou být zachyceny kamerovými systémy, se bude rovněž aplikovat zvláštní zpřísněná úprava v Nařízení GDPR pro jejich zpracování a zabezpečení. Důsledněji bude také vyžadováno upozornění na kamerové systémy zabezpečení budov.  

  • E-commerce  

Poskytování služeb a zboží prostřednictvím online e-shopů často zahrnuje monitoring klientů a jejich vyhledávání a také mezinárodní předávání osobních údajů, pro něž Nařízení GDPR zavede nové podmínky a pravidla.

  • Marketing, reklama a profilování uživatelů

V široké míře se uplatní nová pravidla a podmínky pro automatizované profilování. Bude nutné nastavit systémy na nová pravidla, jež se dotknou například smluv se zpracovateli (např. mezi prodejcem a reklamní agenturou) nebo získávání a rozsahu souhlasu subjektu údajů se zpracováním širokého spektra jejich osobních údajů pro marketingové účely.

  • Sociální média 

Bude nutno zajistit subjektům údajů možnost uplatňovat jejich práva - na přenositelnost údajů, na informace, na kontrolu nad rozsahem osobních údajů a další, stejně jako nastavit postupy pro případ incidentu v ochraně osobních údajů.

  • Výzkumné a vědecké ústavy

V rámci své hlavní činnosti budou mít velmi dobrou pozici podle Nařízení GDPR. Vhodné je však připravit sumarizace procesů s odkazy na výjimky podle Nařízení GDPR a nastavit kvalitní ochranu osobních údajů, pokud jsou zpracovávány.

  • Hotelová a lázeňská zařízení

Nová úprava se dotkne zejména osobních údajů hostů, pro něž bude nutné nastavit pravidla odpovídající zvláštní vnitrostátní právní úpravě pro cizince, stejně jako Nařízení GDPR.

U lázeňských služeb je nutné rovněž počítat se zpracováváním zvláštní kategorie údajů, podléhajících přísnějším pravidlům. Pro účely transferů údajů v rámci hotelových sítí pak bude vhodné zpracovat kodex chování dle čl. 40 Nařízení GDPR.

  • Vzdělávací zařízení

Zájmová, školská zařízení, soukromé a státní školy zpracovávají osobní údaje dětí, pro něž je v Nařízení GDPR požadována zvláštní ochrana.

Všechny tyto subjekty se pak nevyhnou nastavení nových procesů v souvislosti s Nařízením GDPR tak, aby umožnily subjektům údajů uplatňování jejich práv a plnily své povinnosti ve vztahu k dozorovému úřadu.

Pokud se totiž dotčené subjekty nepřizpůsobí novým pravidlům zpracování osobních údajů, hrozí jim vysoké pokuty až do výše 20 000 000 EUR nebo do výše 4 % jejich ročního obratu.