Změny v právní úpravě ochrany osobních údajů (GDPR)

Na konci května letošního roku se stává účinným Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), neboli GDPR. Toto nařízení je v současnosti jedním z nejčastějších témat v médiích odborných i laických.


Co tedy GDPR je a co vlastně přináší? Především se jedná o přímo účinný předpis, bude tedy účinný od 25. 5. ve formě přijaté Evropskou unií a není nutná jeho implementace do české legislativy. Nový zákon o ochraně osobních údajů se sice chystá, bude však řešit pouze doplňující otázky, které GDPR ponechává k úpravě jednotlivým členským státům.


Cílem GDPR je zejména sjednocení stupně ochrany osobních údajů v rámci Evropské unie. Současná roztříštěná úprava a rozdílná praxe v jednotlivých členských státech v souvislosti se zcela běžným pohybem osob a obchodováním v EU, a tím i předáváním osobních údajů, tedy vedla k nutnosti zavedení zcela jednotného předpisu pro celou EU.


GDPR bývá často označováno jako revoluce v právní úpravě nakládání s osobními údaji, s tím ale není možné souhlasit. Ve skutečnosti vychází z velké části z již existujících principů, stávající úpravu tak spíše konkretizuje a rozvádí, než mění. Pouze některé nově zavedené povinnosti ve vztahu k osobám, kterých se tyto údaje týkají, jsou zcela nové.


Osobním údajem je dle GDPR každý údaj, podle kterého je možné osobu identifikovat – může to tedy být nejen jméno, rodné číslo apod., ale také fotografie, videozáznam nebo e-mailová adresa. Správce osobních údajů je tak prakticky každý podnikatel, který má zaměstnance nebo vede databázi kontaktů svých obchodních partnerů. Zvláštní kategorii osobních údajů tvoří údaje týkající se zvlášť citlivých skutečností, např. zdravotního stavu, víry, finančních záležitostí apod. Ty by obecně zpracovávány vůbec být neměly. Pokud k tomu dochází, musí to být jen ve zcela nezbytných případech (např. ve zdravotnictví nebo školství) nebo s výslovným souhlasem dotčené osoby.


Celkově GDPR vychází z několika zásad. Zejména  z oprávněnosti zpracování údajů, které ke své činnosti skutečně potřebujeme, nikoli údajů nadbytečných, jejichž evidence žádnému oprávněnému účelu neslouží. Pokud tedy vedeme evidenci kontaktních údajů obchodních partnerů za účelem možnosti je v případě potřeby kontaktovat, což je zcela v pořádku, zcela jistě by takovými nadbytečnými údaji byla např. databáze rodných čísel těchto osob, jejichž znalost pro obchodování není vůbec nutná. Údaje mohou být užívány k účelu, ke kterému byly původně získány nebo se kterým daná osoba souhlasila, pokud mají být využity k účelu jinému (např. marketingu), je nutný výslovný souhlas. Typickým příkladem je sdělení adresy objednatele pro dodání zakoupeného zboží. Takto sdělená adresa by neměla dále být užívána bez výslovného souhlasu osoby např. k marketingovým sdělením nebo dokonce předána dalším subjektům pro takové účely.


Pro účely zpracování údajů uloženého zákonem, např. vedení mzdové agendy a údajů nutných k realizaci smluvního vztahu není potřeba získávat souhlas, naopak takový souhlas je z pohledu GDPR nežádoucí, pokud existuje jiný právními předpisy předpokládaný důvod zpracování. Typické využití souhlasu lze předpokládat právě pro zpracování osobních údajů k marketingovým účelům a propagaci. Souhlas musí být výslovný, musí být zjevné, jakých údajů se týká, k čemu budou využity a na jak dlouho je udělen. Nemůže být nadále součástí např. obchodních podmínek, jak bylo dosud časté, protože není možné jím uzavření smluvního vztahu podmiňovat, musí tedy tvořit samostatný dokument. Odvolání takového souhlasu musí být stejně snadné, jako jeho udělení.

Když ke zpracování údajů dochází, je nutné adekvátně zajistit jejich bezpečnost a v rozumné míře vyloučit možnost jejich zneužití. Jestliže nějaké údaje již nejsou potřeba nebo odpadlo oprávnění k jejich zpracování, je nutné zajistit jejich archivaci nebo smazání tak, aby nadále nebyly dostupné. GDPR nestanoví žádné konkrétní technické prostředky, kterými by plnění povinností mělo být dosaženo, ty jsou zcela na uvážení každého správce. Lze pouze doporučit zpřístupňování osobních údajů pouze osobám a dodavatelům služeb, kteří jsou schopni garantovat postupy v souladu s GDPR.


Ke zcela novým povinnostem patří povinnost vždy osobu informovat o skutečnosti, že její osobní údaje jsou zpracovávány, v jakém rozsahu a k jakému účelu. Každý má také právo vznést námitku proti zpracování, a to jak proti důvodu, tak proti nesprávnosti zpracovávaných údajů. Na žádost je nutné zpracovávané údaje žadateli předat, případně pokud jsou vedeny elektronicky, přímo předat jinému správci dle přání žadatele. Často zmiňované bývá tzv. právo „být zapomenut“. Toto právo vychází z časté praxe, kdy jedním správce, který nějaký údaj získal, je tento údaj dál předáván jiným subjektům. V případě, že správce již není oprávněn takový údaj dál zpracovávat, je povinen zajistit, že to nebudou činit ani další subjekty, kterým takový údaj předal.


Novým pojmem je pověřenec pro osobní údaje. Je to osoba, která dohlíží na dodržování povinností v souvislosti s nakládáním s osobními údaji a v případě potřeby zajistí komunikaci s úřady v této věci. Není povinností každého, kdo osobní údaje zpracovává, mít pověřence. Tato povinnost se týká pouze těch správců, pro které je hlavní činností soustavné zpracování velkého množství osobních údajů. Zcela jistě se tak vztahuje např. na e-shopy, naopak v případě menších společností, které mají užší okruh zákazníků, nutný není.


Pokud tedy jste správci osobních údajů, je ve vztahu k zavedení GDPR vhodné nejprve vyhodnotit stávající praxi nakládání s osobními údaji, které zpracováváte, a následně posoudit, jaká právní nebo technická opatření bude nutné zavést pro dosažení souladu s GDPR.

 

Nabídka GDPR.pdf