V příštím roce, ke dni 25. května 2018, by mělo nabýt účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které je také známé pod zkratkou „GDPR“. V důsledku tohoto nařízení by mělo dojít k zásadní změně v oblasti ochrany osobních údajů ve všech členských státech Evropské unie.
 
GDPR by se mělo dotknout v zásadě každého, kdo shromažďuje nebo zpracovává osobní údaje fyzických osob, včetně společností a institucí mimo území EU, které působí na evropském trhu. To platí až na výjimky i pro orgány veřejné správy.

Co jsou osobní údaje?

Osobní údaje jsou ve směrnici definovány jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě (v nařízení se pak používá pro takovou fyzickou osobu pojem „subjekt údajů“). Patří sem tedy zejména údaje o jménu, pohlaví, identifikačním či rodném čísle, ale také IP adresa, cookie v zařízení uživatele či fotografický záznam.
 
Nařízení upravuje i zpracování zvláštních kategorií osobních, kam patří například údaj o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, jakož i zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zpracování těchto osobních údajů je obecně zakázáno, přičemž nařízení stanoví, v jakých případech takové údaje a za jakých podmínek zpracovávat lze. Toto zpracování pak podléhá mnohem přísnějšímu režimu, než je tomu u obecných osobních údajů.

Jaké zásadní změny GDPR přináší?

Regulace v oblasti ochrany osobních údajů by se měla významně zpřísnit, měla by zajistit vyšší ochranu osobních údajů a současně se i přizpůsobit technologickému vývoji.
 
Aby bylo zpracování osobních údajů zákonné, musí být splněna alespoň jedna z následujících podmínek:

• subjekt údajů udělil souhlas se zpracováním,
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Práva subjektů údajů

Nařízení významně posiluje práva subjektů údajů. Mezi nejvýznamnější práva subjektů údajů patří zejména:

• právo na přístup k osobním údajům – subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům,
• právo na opravu, pokud jsou zpracovávané osobní údaje nepřesné,
• právo na výmaz (neboli právo být zapomenut) – zejména v případě, kdy dojde k odvolání souhlasu se zpracováním údajů, osobní údaje jsou zpracovávány protiprávně apod.,
• právo na omezení zpracování osobních údajů,
• právo na přenositelnost údajů – toto právo umožňuje subjektu údajů získat kopii zpracovaných osobních údajů, které se ho týkají, a to v podobě umožňující přenést zpracované údaje k jinému poskytovateli služby, či
• právo vznést námitku.

Povinnosti pro správce údajů

Nařízení je postaveno na principu odpovědnosti správce, kdy každý správce (bez ohledu na svou velikost či počet zaměstnanců) je povinen zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR.
 
To bude v praxi pro podnikatele znamenat nutnost vynaložit nemalé finanční investice, a to zejména v těchto oblastech:

• zavedení záměrné a nezbytné ochrany dat – cílem je především přijmout taková opatření, aby byly zpracovávány pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné, a aby byla v maximální možné míře zachována jejich bezpečnost,
• vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment), a to v případě, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude mít (s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování) za následek vysoké riziko pro práva a svobody fyzických osob – nařízení takové posouzení vyžaduje např. pro rozsáhlé systematické monitorování veřejně přístupných prostorů,
• jmenování pověřence pro ochranu osobních údajů (Data Protection Officer) – každý správce nebo zpracovatel osobních údajů bude mít povinnost jmenovat pověřence, pokud zpracování provádí orgán veřejné moci nebo jeho hlavní činnosti spočívají ve zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžaduje rozsáhlé monitorování subjektů údajů, anebo jeho činnost spočívá v rozsáhlém zpracování citlivých údajů. Ostatní správci mohou pověřence jmenovat dobrovolně.

• vedení záznamů o činnostech zpracování,
• konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Úniky dat

Pokud dojde k porušení zabezpečení osobních údajů a například k úniku dat, je správce povinen bez zbytečného odkladu, a pokud možno 72 hodin od zjištění úniku, ohlásit tuto skutečnost dozorovému orgánu.
 
Výjimkou jsou případy, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob.

Pokuty

Pokuty hrozící za porušení povinností stanovených GDPR mohou být přitom astronomické. Maximální výše pro nejzávažnější správní delikty je stanovena na 20.000.000 EUR nebo 4 % z celkového ročního obratu správce (a to vyšší z obou možností), přičemž výše pokuty bude na uvážení dozorového orgánu v návaznosti na povahu, závažnost a délku porušování povinností, počet poškozených osob, výši vzniklé škody apod.

Závěr

GDPR bude mít zásadní dopad na zpracovatele osobních údajů a přinese nepochybně i významné finanční náklady zejména pro firmy, které spravují velké množství osobních údajů svých klientů (jako jsou finanční instituce, telekomunikační společnosti apod.).
 
Do nabytí účinnosti GDPR by měl být v České republice přijat i prováděcí zákon či novela zákona o ochraně osobních údajů, které upřesní více než 50 bodů, jež GDPR svěřuje do pravomoci členským státům. Firmy i veřejné instituce by během tohoto období měly zrevidovat své informační systémy a postupy nakládání s osobními údaji.