Obecné nařízení o ochraně osobních údajů zavádí nová a přísnější pravidla ochrany osobních údajů, která mají platit jednotně v celé EU.
Dne 27.4.2016 byla na evropské úrovni přijata nová právní úprava usilující o sjednocení evropského právního rámce ochrany osobních údajů. Důvodem přijetí bylo zejména zintenzivnění volného pohybu osobních údajů v rámci EU, stejně jako reakce na technologické novinky (internet věcí, cloudová úložiště apod.), které představují nové platformy pro sdílení a zpracování osobních údajů. Nařízení navazuje na předchozí evropskou právní úpravu založenou na směrnici Evropského parlamentu a Rady 95/46/ES.
Na evropské úrovni bude zaveden nový dozorový úřad: Evropský sbor pro ochranu osobních údajů. Ten bude sloužit i jako orgán odvolací proti rozhodnutím jednotlivých národních dozorových orgánů (např. českého Úřadu pro ochranu osobních údajů - ÚOOÚ). K tomuto úřadu bude možno podávat odvolání v případě pochybností o rozhodnutí ÚOOÚ. Pokud tedy například rozhodne ÚOOÚ o udělení pokuty pro zpracovatele údajů, tento by měl mít právo se k Evropskému sboru pro ochranu osobních údajů odvolat. Subjekty údajů navíc budou nově moci podávat k ÚOOÚ v oblasti GDPR stížnosti i na osoby sídlící kdekoli na území EU. V případě, že tedy český občan zjistí, že s jeho osobními údaji je zacházeno neoprávněně, přičemž ovšem zpracovatel těchto údajů sídlí mimo Českou republiku, bude tento český občan oprávněn podat podnět k ÚOOÚ. ÚOOÚ bude provádět dozor v oblasti GDPR jak samostatně, tak na základě těchto podnětů.
Za významnější novinku z oblasti právních institutů lze označit především právo na přenositelnost údajů. Subjekt údajů může získat bezplatně své údaje od zpracovatele nebo správce a bez omezení je předat novému správci. Podmínkou je, aby jeho údaje byly zpracovávány automatizovaně. Správce je povinen o tomto právu subjekt údajů při získávání jeho souhlasu se zpracováním osobních údajů informovat.
Nařízení stanoví též přísnější požadavky na znění souhlasu subjektu údajů s jejich zpracováním. Subjekt údajů musí získat stručně, transparentně, srozumitelně a snadno informace o zpracovávání svých údajů (nutný je jednoduchý jazyk), včetně práv, které mu v této věci právní úprava garantuje. Souhlas by měl být udělen samostatně (např. na zvláštním listu) a jeho vydání nesmí být podmínkou pro uzavření smlouvy. V praxi (zejména e-shopů a poskytovatelů online služeb) bude doporučováno zdvojení souhlasu, tedy postup, aby subjekt údajů projevil souhlas se zpracováním svých osobních údajů nejprve při uzavírání konkrétní kupní či jiné smlouvy, a následně, aby svůj souhlas potvrdil ještě jednou a nezávisle na původní transakci (kupř. použitím speciálně generovaného kódu zaslaného do mobilního telefonu apod.). Lze dovodit, že souhlasy připravené na základě dosavadní právní úpravy nebudou po nabytí účinnosti již nadále splňovat zákonem stanovené požadavky.
Správce, resp. zpracovatel by kromě používání těchto nových souhlasů měl provést i kompletní přenastavení svých interních mechanismů zpracovávání. Měl by vypracovat tzv. analýzu rizik a následně zavést technická a organizační opatření tak, aby mohlo být prokázáno, že zpracovávání je v souladu s nařízením. Správce, resp. zpracovatel bude mít dále povinnost vést písemné záznamy o všech zpracováních. Výjimka z povinnosti vést záznamy bude možná u osob s méně než 250 zaměstnanci, u nichž zpracování údajů není hlavní činností, neexistuje riziko omezení práv a svobod subjektů údajů a nejsou zpracovávány citlivé údaje. Povinnost vést záznamy nahradí dnešní povinnost
registrace u ÚOOÚ, která bude zrušena. Záznamy budou přitom muset být na vyžádání předloženy ke kontrole ÚOOÚ.
Nařízení dále zavádí povinnost jmenovat pověřence pro ochranu osobních údajů (tzv. DPO, Data Protection Officer). Přestože tuto povinnost mají výslovně pouze určité skupiny zpracovatelů jako např. orgány veřejné moci či veřejné subjekty nebo ti správci, jejichž hlavní činností je „rozsáhlé zpracování“ zvláštních kategorií údajů či trestních věcí, právě termín „rozsáhlé zpracování“ není nijak definován. V praxi tedy může být dovozeno, že se tato povinnost uplatní u mnohem širšího okruhu zpracovatelů. Pověřence je pak možné (a v případě pochybností i vhodné) jmenovat i dobrovolně.
Nové jsou též povinnosti v případě narušení bezpečnosti dat (únik, zneužití, atd.). Případné narušení musí být nahlášeno ÚOOÚ nejpozději do 72 hodin od okamžiku zjištění. V hlášení musí být uvedeny minimálně informace o druhu bezpečnostního rizika, počtu a druhu postižených údajů, osobě, která může poskytnout více informací, předpokládaných dopadech narušení a o uskutečněných protiopatřeních. V některých případech budou muset být informovány i přímo subjekty údajů, kterých se narušení bezpečnosti týká.
Nařízení stanoví mnohem přísnější pojetí sankcí za nedodržení povinností správce, resp. zpracovatele. Pokuty bude možné udělit až do výše 20 mil. EUR, resp. 4 % z celkového ročního obratu společnosti, která se porušení dopustila, podle toho, která částka je vyšší.
Dopady nařízení na oblast pracovního práva:
Každý zaměstnavatel musí získat souhlas se zpracováním osobních údajů zaměstnance (výjimkou je situace, kdy je zpracování osobních údajů pro zaměstnavatele nezbytné z důvodu plnění jeho právních povinností). Tento souhlas musí být informovaný, tj. musí obsahovat poučení zaměstnance o jeho právech vyplývajících z nařízení. Zaměstnavatel má povinnost být schopen udělení souhlasu kdykoli doložit. Zaměstnanec musí mít na druhou stranu možnost souhlas kdykoli odvolat. Zároveň se zaměstnavateli uděluje oprávnění zpracovávat také citlivé osobní údaje zaměstnanců.
Zaměstnavatel je při získávání osobních údajů povinen poskytnout zaměstnanci informace, zejména o své totožnosti, sdělit mu své kontaktní údaje, jakož i účel a dobu zpracování osobních údajů. Dále má zaměstnavatel povinnost umožnit zaměstnanci přístup k osobním údajům (pořizovat kopie) a opravit nebo doplnit osobní údaje bez zbytečného odkladu poté, co se dozví o jakékoli jejich změně.
Ve stanovených případech (jako je např. nepotřebnost pro daný účel, odvolání souhlasu se zpracováním ze strany zaměstnance apod.) má zaměstnavatel povinnost osobní údaje o zaměstnanci vymazat. Dále má povinnost chránit osobní údaje zaměstnanců za využití vhodných technických a organizačních opatření (bez dalšího upřesnění, co se těmito opatřeními rozumí).
ČESKO
Vzhledem k tomu, že dosud nebyla přijata česká národní prováděcí legislativa (novela zákona č. 101/2000 Sb., o ochraně osobních údajů) a samotné nařízení ponechává relativně široký prostor na úpravu některých pravidel na národní úrovni, bude nicméně pro úplné posouzení dopadů tohoto nařízení pro konkrétní zpracovatele nutné vyčkat na tuto prováděcí českou legislativu. Doporučujeme přistupovat k řešení tohoto problému „s chladnou hlavou“ a nepropadat panice, kterou se často snaží vyvolat některé informace ve sdělovacích prostředcích a v dalších různých oznámeních subjektů nabízejících zaručená řešení. O dalším vývoji v této oblasti Vás budeme prostřednictvím AK-PS právních novinek informovat.
SLOVENSKO
Obdobná situace přitom panuje i na Slovensku. Také zde je v současné době projednáván v Národní radě Slovenské republiky nový zákon o ochraně osobních údajů. V současné podobě je návrh tohoto zákona rozdělen do několika částí. První až třetí část je až na pár výjimek totožná se zněním nařízení GDPR. Čtvrtá část zákona má pojednávat o ochraně osobních údajů pro účely předcházení a odhalování trestné činnosti. Pátá část pak o zvláštních situacích při zpracovávání osobních údajů (např. zpracovávání rodných čísel nebo genetických či biometrických údajů). Poslední dvě části návrhu zákona upravují zejména procesní aspekty a přechodná ustanovení. V praxi tedy budou pro správce a zpracovatele osobních údajů na Slovensku relevantní zejména tyto poslední 3 části nového zákona.
(nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016, účinné od 25.5.2018)