Evropský parlament přijal v dubnu 2016 nařízení na ochranu osobních údajů, které ruší  směrnici 95/46/ES. Nová úprava je zakotvena formou nařízení, proto bude přímo účinná v celé EU a nebudou vznikat národní právní předpisy (zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů), které by implementovaly celý její text do právních řádů členských států. S novou právní úpravou v podobě obecného nařízení o ochraně osobních údajů přichází řada nových povinností, které nutně vyvolají změny v oblasti souvisejících procesů i používaných dokumentů. Tyto povinnosti budou zároveň spojeny s mnohem přísnějšími pokutami, které nově mohou dosáhnout až 20 milionů eur nebo 4 % z celosvětového ročního obratu.  

Nařízení bude účinné 25. května 2018, ale je dobré se na něj připravit v předstihu.

Jaké nejdůležitější změny nařízení obsahuje?

Nově je osobním údajem jakákoli informace o fyzické osobě, která je identifikovatelná přímo nebo nepřímo pomocí jména, identifikačního čísla, lokality, siťového identifikátoru, prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální situace. Novým osobním údajem tak je např. IP adresa, rádiová frekvence nebo cookies.

Další změnou je dopad nařízení nejen na organizace usazené na území EU bez ohledu na to, kde osobní údaje zpracovávají, ale i na organizace na území EU neusazené, které zpracovávají údaje v souvislosti s nabídkou služeb nebo zboží, případně monitorují chování subjektů. V praxi to znamená, že každá firma či organizace i mimo EU, která pracuje s daty, které nějakým způsobem souvisejí s občany EU, musí dodržet zásady a požadavky nové regulace.

Zpracováním se i nadále rozumí jakýkoli úkon nebo soubor úkonů s osobními údaji, kdy subjektem údajů je fyzická osoba, které se dané osobní údaje týkají, a správcem osoba, jež určuje účel, prostředky a podmínky zpracování, tedy většinou příslušný podnikatel. Zodpovědnost za zpracování údajů ležela doposud na registrovaných správcích údajů. Nově se tato odpovědnost rozšiřuje na všechny organizace, kterých se  zpracování osobních údajů jakýmkoliv způsobem dotýká.

Nově bylo upraveno vymezení souhlasu se zpracováním osobních údajů, kterým se rozumí jakýkoli výslovný, vědomý a jednoznačný projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování, proto nebude možné udělit souhlas se zpracováním osobních údajů mlčky (konkludentně). Správce osobních údajů bude povinen dotčené fyzické osoby informovat o zpracování jednoduše a srozumitelně.  Firmy a organizace budou muset být schopny ukázat platný jasný a potvrzující souhlas k zpracování osobních údajů. Doporučuji prověřit všechny případy, ve kterých organizace spoléhají na souhlas subjektu údajů, zda jsou splněny zpřísněné podmínky nařízení a zda se v daném případě nelze opřít o jiný právní důvod pro zpracování.

Nová úprava podrobněji specifikuje práva subjektu údajů vůči správci. Novinkou je výslovná úprava práva na výmaz (tzv. právo být zapomenut), kdy subjekt údajů může požadovat vymazání osobních údajů a  nové právo na portabilitu (přenositelnost údajů), které umožňuje subjektu údajů požadovat vydání zpracovávaných údajů ve strukturovaném, běžně používaném a strojově čitelném formátu, za účelem přechodu k jinému poskytovateli služeb

Nařízení zavádí velmi restriktivní, vymahatelné principy zpracování dat. Jedním z nich je princip minimalizace údajů, který vyžaduje, aby organizace nedržela údaje déle, než je nezbytně nutné. Zároveň nesmí měnit způsob využití dat z účelu, pro který byly původně shromážděny. Pokud by organizace takovou změnu chtěla udělat, musí si před tímto úkonem vyžádat od majitele dat nový souhlas.

Správce, případně zpracovatel musí vést záznamy o všech zpracováních, za která nese odpovědnost. Nařízení vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace (jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů).  

Zcela novým institutem je pozice pověřence pro ochranu osobních údajů, kterou musí zřídit orgán veřejné moci, jehož hlavní aktivity zahrnují pravidelné a systematické monitorování subjektů osobních údajů ve velkém měřítku, anebo pokud jeho hlavní činnosti spočívají ve zpracovávání zvláštní kategorie osobních údajů, např. údajů o zdravotním stavu.

Velký důraz je kladen na oblast bezpečnosti zpracování. Opatření k ochraně osobních údajů by měla být součástí zpracování již od fáze jeho návrhu včetně informačních systémů. V případě narušení bezpečnosti osobních údajů bude správce povinen toto narušení oznámit orgánu dohledu a v závažných případech i dotčeným subjektům údajů, a to během 72 hodin od doby, kdy se o narušení dozvěděl.

Velkou změnu přináší nařízení také ohledně výkonu dozoru nad správci a zpracovateli, kteří působí ve více členských zemích zároveň. Podle nařízení bude nově vykonávat dozor nad zpracováváním ve všech zemích, kde správce či zpracovatel sídlí, pouze jeden orgán dohledu, a to ten z té země, kde má správce či zpracovatel hlavní provozovnu.