K novým povinnostem dle obecného nařízení o ochraně osobních údajů (GDPR)

Právní základ a principy GDPR

Dne 27.4.2016 bylo přijato nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (dále také jen „Nařízení“ nebo „GDPR“), které je přímo použitelné ve všech členských státech. Toto Nařízení představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. Právní úprava tak nyní mj. více posiluje práva subjektů údajů (fyzických osob) dotčených zpracováním osobních údajů, ať již jde o získávání informací o tom, které jejich údaje jsou zpracovávány a za jakým účelem, nebo o možnost se lépe domoci dodržování pravidel ze strany subjektů spravujících či zpracovávajících jejich osobní údaje a dosáhnout u nich nápravy závadného stavu.

Výše uvedené posílení práv jednotlivců jako subjektu údajů se tak současně odráží v nově formulovaných úkolech a povinnostech správců a zpracovatelů, za jejichž porušení mohou být dozorovými orgány ukládány ve srovnání s dosavadní právní úpravou drakonické peněžité pokuty až do výše 20 mil. EUR, resp. u společností do výše 4 % celkového ročního světového obratu. Rovněž se rozšiřuje možnost subjektu údajů podat na subjekt odpovědný za zpracování stížnost u dozorových orgánů, případně jej žalovat u soudu o náhradu způsobené újmy.

Účinnost Nařízení a související národní legislativa

Nařízení vstoupí v účinnost dne 25. 5. 2018, přičemž úprava určitých věcně definovaných oblastí byla ponechána na národních legislativách členských zemí. V ČR má být tato úprava provedena zákonem, který kompletně nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Tento předpis, který má zároveň zajistit soulad právní úpravy s GDPR, však dosud nebyl přijat. Nedávno byl jeho návrh oficiálně předložen ministrem vnitra ke schválení vládou a následně parlamentem v rámci zavedené legislativní praxe v ČR.

Jak se vyhnout případným sankcím

Přestože není Nařízení dosud účinné, není možné jeho dopady v žádném případě podceňovat, neboť dnem 25.5.2018 se začnou rovněž uplatňovat vysoké sankce za jeho porušení. Příprava na novou regulaci ze strany každého subjektu odpovědného za zpracování osobních údajů, by tak měla být zahájena včas. S ohledem na
velikost korporace a rozsah zpracovávaných dat přitom může proces přípravy zabrat poměrně dlouhou dobu.

Nejen každá korporace by proto měla s dostatečným předstihem analyzovat stávající vnitřní procesy vztahující se k zacházení s osobními údaji, identifikovat nezbytná opatření pro uvedení existující procesů do souladu s GDPR a tato opatření řádně implementovat. S tím souvisí i nutnost přijetí nových interních předpisů či zavedení technických a organizačních opatření, která zajistí bezpečnost zpracovávaných údajů v souladu s podrobnými požadavky přijatého Nařízení. Zásadně nelze opomenout nutnost aktualizace či komplexní změny stávající právní dokumentace týkající se osobních údajů, ať již jde o klientská smluvní ujednání, obchodní podmínky, smlouvy uzavírané mezi správci a zpracovateli osobních údajů či jinou dokumentaci související např. s rozšířenými požadavky na plnění informační povinnosti vůči subjektům údajů. Obdobně bude nezbytné revidovat veškeré již poskytnuté souhlasy se zpracováním osobních údajů, které nebudou nadále platné, pokud nebyly získány v souladu s pravidly obsaženými ve výše uvedeném Nařízení.

Nároky kladené na subjekty odpovědné za zpracování osobních údajů

Nová pravidla na ochranu osobních údajů obsahují s ohledem na nutnost pokrýt všechny myslitelné oblasti nakládání s osobními údaji abstraktními pojmy. Každý subjekt odpovědný za zpracování osobních údajů si tak bude muset sám analyzovat, jaké konkrétní povinnosti vyplývající z Nařízení se na zpracování údajů, které v rámci své činnosti případně provádí, vztahují. Nová právní úprava tak nyní od všech odpovědných subjektů očekávají výrazně aktivnější přístup než v minulosti.

Posouzení dopadů zpracování a předběžná konzultace jako nové instituty GDPR

Každý subjekt odpovědný za zpracování bude např. muset vždy před zahájením nového zpracování vyhodnotit charakter zpracovávaných údajů a rozsah jejich zpracovávání. Tam, kde takové zpracovávání může představovat s ohledem na jeho povahu, rozsah a účel vysoké riziko z hlediska práv a svobod subjektu údajů, bude nezbytné dle daných pravidel Nařízení interně provést institucionalizované posouzení dopadu zpracování na ochranu osobních údajů. Ve vymezených případech Nařízení rovněž ukládá povinnost takové posouzení předložit dozorovému orgánu v rámci nového institut tzv. předběžné konzultace, který by měl k němu po vyhodnocení posouzení vydat své stanovisko.

Povinnost vést záznamy o zpracováních a ohlašovat případy narušení

Dalším novým podrobně vymezeným institutem Nařízení je povinnost subjektů odpovědných za zpracování osobních údajů vést ve vymezených případech podrobné záznamy o všech zpracováních osobních údajů, a tyto záznamy dozorovému orgánu na jeho žádost kdykoliv zpřístupnit. Nově je rovněž stanovena povinnost každého správce definovaným způsobem ohlašovat případy narušení bezpečnosti osobních údajů, a to jak dozorovému orgánu, tak za daných okolností i dotčenému subjektu údajů. Ohlášení přitom musí být učiněno bezodkladně, nejpozději však během 72 hodin od okamžiku, kdy se o narušení dozví.

Inspektor ochrany údajů

Významnou novinkou je i funkce inspektora ochrany údajů, který musí být za určitých podmínek subjektem odpovědným za zpracování osobních údajů jmenován. Inspektor má být přímo podřízen vrcholným řídícím pracovníkům správce nebo zpracovatele, zároveň však musí být nezávislý. Tato funkce může být teoreticky svěřena např. do působnosti některého již existujícího útvaru ve společnosti, případně outsourcována na specializovaný subjekt. Tento pověřenec bude odpovědný mj. za sledování souladu s právní úpravou a poskytování poradenství ohledně povinností vyplývajících z regulace ochrany osobních údajů. Inspektor má být rovněž kontaktním místem pro jednání s dozorovými orgány i dotčenými subjekty údajů.

Právo být „zapomenut“

Nařízení však obsahuje i řadu dalších institutů, práv a zejména povinností správců a zpracovatelů. Jak již bylo uvedeno výše, Nařízení poskytuje subjektům údajů snazší přístup k jejich osobním údajům. Subjekty údajů mají nově rovněž právo „být zapomenut“. Tento institut spočívá v povinnosti správce či zpracovatele veškeré osobní údaje příslušného subjektu údajů na jeho žádost vymazat ze všech svých databází, nebude-li správci či zpracovateli pro jejich další zpracovávání svědčit žádný právní titul.

Včas začít…

Jak vyplývá z výše uvedeného, každý subjekt odpovědný za zpracování osobních údajů by měl tedy nové právní regulaci osobních údajů věnovat zvýšenou pozornost. Zejména korporace pracující s velkými objemy osobních údajů či se zvláštními kategoriemi těchto údajů by měly vynaložit k zajištění souladu jejich vnitřních procesů s Nařízením a navazující českou právní úpravou maximální úsilí.