10.3.2.1
Změny v ochraně osobních údajů podle GDPR
Mgr. Veronika Skřejpková
Zásadní změna v ochraně osobních údajů, o které je dobré nejenom vědět, ale hlavně se na ni již nyní začít připravovat, souvisí s účinností nařízení ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), jež nastane 25. 5. 2018 (dále jen jako "nařízení GDPR").
Nařízení GDPR (General Data Protection Regulation) bude totiž od 25. 5. 2018 přímo použitelné, a to ve všech členských státech Evropské unie v celém svém rozsahu, což znamená 99 článků. Nařízení GDPR tedy není nutné vnitrostátní normou do právního řádu České republiky jakkoli transponovat, stávající právní normy je nutné novému nařízení GDPR pouze přizpůsobit. Jakmile nařízení GDPR nabyde účinnosti, bude se v České republice stejně jako v dalších členských zemích Evropské unie každý moci domáhat jeho dodržování. Hlavním cílem nařízení GDPR je sjednocení úpravy ochrany osobních údajů v rámci celé Evropské unie. Přímo v nařízení GDPR, a to hned v jeho úvodu, je jeho hlavní cíl vyjádřen jako "přispění k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, k posílení a sblížení ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám fyzických osob".
Mezi hlavní důvody přijetí nařízení GDPR patří rychlý technologický rozvoj a s ním související globalizace. Snaha harmonizace ochrany osobních údajů pramení právě z toho, že technologický pokrok umožnil jak soukromým společnostem, tak veřejným subjektům využívat v rámci své činnosti osobní údaje v doposud nebývalém rozsahu. Je zcela nepochybné, že v současné době rovněž podstatně více fyzických osob zveřejňuje své osobní údaje, a to v globálním rozsahu. S celou touto technologickou revolucí rovněž souvisí i nárůst šíření osobních údajů mezi členskými státy Evropské unie a rovněž jejich přesah do zemí třetího světa.
Až už jste nadnárodní organizací zaměstnávající stovky zaměstnanců nebo jste fyzickou podnikající osobou, která ke své obchodní činnosti využívá elektronické nástroje pro účely komunikace se zákazníky, bude na Vás nařízení GDPR mít dopad. Nařízení GDPR se tedy týká každého, kdo má zaměstnance, každého, kdo zpracovává osobní údaje fyzických osob v rámci elektronické komunikace (jakýkoli obchod na internetu) nebo kohokoli, kdo například využívá databáze osobních údajů pro účely marketingu apod. Nařízení GDPR se nevztahuje na fyzické osoby zpracovávající osobní údaje výlučně v průběhu osobních či domácích činností a dále se zejména netýká těch orgánů, které zpracovávají osobní údaje za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, pokud zpracování osobních údajů provádějí takovéto orgány pouze pro svou osobní potřebu.
Obecně platí, že podnikatelé v soukromém sektoru zpracovávají osobní údaje v rozsahu minimálně nezbytném u subjektů údajů, se kterými uzavírají smlouvy (v tomto případě je připuštěno zpracování osobních údajů dokonce bez výslovného souhlasu subjektu osobních údajů, resp. souhlas není vyžadován, protože přistoupením ke smlouvě subjektem údajů a sdělením jeho osobních údajů je prakticky takovýmto jednáním subjektu udělen). Dále v soukromé sféře může zpracování osobních údajů souviset se splněním určité povinnosti, kterou má subjekt, jenž osobní údaje zpracovává, např. vedení zdravotnické dokumentace. V neposlední řadě ke zpracování osobních údajů soukromými subjekty dochází za účelem uspokojení, případně dosažení oprávněných zájmů tohoto subjektu. Možnost zpracovat osobní údaje však není soukromými subjekty připuštěna v případě, že by zájmy správce (zpracovatele) osobních údajů byly v rozporu s právy a svobodami subjektu, jehož osobní údaje mají být takovýmto subjektem zpracovány. Vzhledem k tomu, že nařízení GDPR nastavuje povinnosti správcům osobních údajů jak ve veřejném, tak i v soukromém sektoru, je proto vhodné seznámit se zásadními změnami, které v ochraně osobních údajů nařízení GDPR přináší a začít se na ně připravovat.
NahoruNovinky v právech subjektů osobních údajů
Nařízení GDPR přináší mnoho zcela revolučních změn v ochraně osobních údajů a současně precizuje povinnosti, které však již známe, a to ze současné právní úpravy ochrany osobních údajů.
Nařízení GDPR vychází z následujících zásad zpracovávání osobních údajů. Zpracovávání osobních údajů může být zajišťováno osobou odlišnou od subjektu osobních údajů, a to pouze zákonným, transparentním a korektním způsobem, to všechno pouze za legitimním účelem. Účel zpracování osobních údajů musí být osobou zpracovávající osobní údaje sdělen subjektu údajů výslovně a určitým způsobem. Ke zpracování osobních údajů může dojít i nadále pouze v případě, kdy požadovaného účelu není možné dosáhnout jinak a zpracování osobních údajů musí být vůči tomuto účelu relevantní a přiměřené včetně toho, že je omezeno pouze na nezbytný rozsah. Všechny tyto zásady zpracování osobních údajů nejsou nové a jsou zakotveny již v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů").
Důležité je upozornit na to, že zákon o ochraně osobních údajů zůstává i nadále v platnosti a je otázkou, jakým způsobem přistoupí český zákonodárce k úpravě českého právního řádu v návaznosti na přijaté nařízení GDPR. Nicméně, jak již bylo řečeno v úvodu, nařízení GDPR bude přímo použitelné v celém svém rozsahu, a to bez ohledu na to, jakým způsobem se změní vnitrostátní právní úprava.
Nařízení GDPR víceméně rovněž používá stejné pojmy, které známe ze zákona o ochraně osobních údajů, a naštěstí i s podobným významem. Osobním údajem je dle nařízení GDPR "veškerá informace o identifikované či identifikovatelné osobě (dále jen "subjekt údajů"). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokální údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby". Zpracováním osobních údajů je považována "jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení". (V uvedeném významu jsou definované pojmy používány i dále v tomto textu.)
Mezi hlavní zájmy nařízení GDPR je posílit práva fyzických osob jako subjektů osobních údajů. Těmto subjektům osobních údajů má být zajištěna větší kontrola nad zpracováním jejich osobních údajů. Tohoto cíle by mělo být dosaženo zvýšením transparentnosti v rámci zpracovávání osobních údajů, kdy pro subjekty údajů mají být dostupné informace o tom, co se s jejich osobními údaji děje, jakým způsobem a za jakým účelem jsou zpracovávány. Nařízení GDPR v tomto směru precizuje stávající právní úpravu osobních údajů a požaduje, aby každý subjekt osobních údajů měl snadnější a srozumitelnější přístup k těmto informacím. Informace o tom, jakým způsobem je s osobními údaji subjektů nakládáno, mají být do budoucna ve smyslu požadavků nařízení GDPR srozumitelnější a celkově jasnější. Lze tedy říci, že v důsledku nařízení GDPR má být subjektům osobních údajů podstatně navýšena možnost kontroly nad vlastními osobními údaji.
NahoruPráva subjektů osobních údajů
V této souvislosti jsou v nařízení GDPR nově zakotvena i některá práva subjektů osobních údajů, případně jsou některá stávající práva zpřesněna, jako např. právo subjektu údajů tzv. "být zapomenut". Stávající právo na výmaz osobních údajů je zesíleno povinností správce informovat další správce, o kterých ví, že osobní údaje subjektu zpracovali, aby vymazali veškeré související odkazy na dané osobní údaje subjektu, který žádá o jejich výmaz. Dalším právem subjektu osobních údajů je právo být informován o neoprávněném přístupu k jeho osobním údajům, viz dále. A nařízením GDPR je např. zakotveno též právo na přenositelnost osobních údajů mezi různými poskytovateli služeb, které má zajistit snadnější převod již jednou poskytnutých osobních údajů.
Významné doplnění právní úpravy nastává u souhlasu se zpracováním osobních údajů subjektu, jehož údaje mají být jinou osobou, resp. správcem osobních údajů, zpracovány. Pouze pro upřesnění si uvedeme rozdíl mezi správcem a zpracovatelem osobních údajů. Nařízení GDPR zachovává dřívější vymezení správce i zpracovatele osobních údajů a nikterak toto vymezení nemění. Správcem osobních údajů je taková osoba, která určuje účel a prostředky zpracování osobních údajů, shromažďuje osobní údaje a následně provádí jejich zpracování, za které rovněž zodpovídá. Naopak zpracovatel osobních údajů, je osoba, která je pověřena ke zpracování osobních údajů správcem či na základě zvláštního zákona, aniž by určoval účel a prostředky zpracování osobních údajů. Zásadní rozdíl mezi správcem a zpracovatelem osobních údajů tedy je to, že správce osobních údajů určuje účel zpracování osobních údajů.
Nařízení GDPR stanoví, že "souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení". Nařízení GDPR výslovně uvádí, že se musí jednat o aktivní a jednoznačný souhlas. Nejsou tedy akceptovatelná předem zaškrtnutá políčka či souhlas subjektu údajů udělený prostřednictvím nečinnosti subjektu údajů. Pokud poskytnuté osobní údaje subjektem údajů mají být zpracovány k více účelům, musí být souhlas udělen ke každému z účelů zpracování osobních údajů. Není tedy možné udělit souhlas tzv. generálně bez toho, že by subjekt osobních údajů byl ze strany správce seznámen se všemi účely zpracování jeho osobních údajů. Subjekt poskytující osobní údaje musí znát správce osobních údajů a účel, za kterým předmětné osobní údaje tomuto správci poskytl. Musí se tedy jednat o tzv. informovaný souhlas subjektu poskytujícího své osobní údaje. Souhlas musí být svobodný, což mimo jiné znamená, že subjekt, který poskytuje správci své osobní údaje, může svůj souhlas kdykoli svobodně odvolat, a to aniž by mu hrozila jakákoli újma. Speciální podmínky pro udělení souhlasu jsou nařízením GDPR stanoveny pro případy udělení souhlasu dítětem a v případě souhlasu se zpracováním citlivých údajů subjektem těchto údajů.
NahoruNovinky v povinnostech správců osobních údajů
Nařízení GDPR mění povinnosti správců osobních údajů a současně jim stanoví nové postupy a povinnosti v procesu zpracování osobních údajů.
Dle stávající právní úpravy byla dána povinnost každý záměr zpracování osobních údajů (s výjimkou manuálního zpracovávaní osobních údajů anebo takového zpracovávání osobních údajů, která nemohou poškodit práva a svobody subjektů údajů) oznámit dozorovému orgánu, a to ještě před samotným faktickým zpracováváním osobních údajů. Dozorový orgán následně posuzoval zákonnost a oprávněnost zpracovatele k zamýšlenému…