Níže naleznete deset otázek a odpovědí k novému obecnému nařízení o ochraně osobních údajů – známému pod zkratkou GDPR. Připomeňme, že nové nařízení je platné od 25. 5. 2018.

1. Co je GDPR, proč vzniklo a kdy začne platit?

Obecné nařízení o ochraně osobních údajů (známé též pod anglickou zkratkou GDPR – General Data Protection Regulation) je přímo použitelný předpis Evropské unie. To znamená, že místo stávajícího zákona o ochraně osobních údajů se práva a povinnosti při zpracování osobních údajů budou řídit přímo tímto Obecným nařízením. Nová pravidla o ochraně osobních údajů se tak zásadně nebudou přepisovat do českého práva.

Obecné nařízení bude platit od 25. května 2018, a to ve všech členských státech EU. Cílem je totiž zajistit stejné podmínky ochrany osobních údajů v rámci celé EU, což mělo ušetřit podnikům právní náklady na plnění různých národních předpisů. Ochrana soukromí fyzických osob je základním právem občana EU. Zjednodušeně lze konstatovat, že o každém z nás se zpracovává v důsledku technologického pokroku velké množství osobních údajů, aniž si to uvědomujeme. Cílem jednotné evropské ochrany dat je zajistit, aby naše data byla chráněna stejně.

2. V čem je hlavní odlišnost od platného zákona o ochraně osobních údajů?

Právní předpisy pro ochranu osobních údajů platí již dnes a již dnes se vztahují na každého správce. Nařízení stanoví na platné směrnici z roku 1995, kterou u nás provádí zákon o ochraně osobních údajů (101/2000 Sb.). Jinými slovy, při zpracování osobních údajů již platí řada povinností podle stávajících předpisů. Některé povinnosti Obecné nařízení rozšiřuje (zejm. ty informační) a další povinnosti stanov.

Mezi ty hlavní patří:

  • rozšíření práva na výmaz („právo být zapomenut“),
  • v některých případech zajistit, aby dotčená osoba mohla údaje přenést k jinému správci (přenositelnost),
  • před zpracováním i při něm si počínat co nejšetrněji (záměrná ochrana osobních údajů),
  • hlásit hackerské útoky a jiné případy, kdy bylo porušeno zabezpečení dat, Úřadu pro ochranu osobních údajů (dále ÚOOÚ) a v některých případech i dotčeným osobám,
  • v některých případech jmenovat pověřence pro ochranu osobních údajů,
    jiná výše pokut.

Na zpracovatele tyto a další povinnosti budou dopadat v různé míře, v závislosti na tom, jak riziková zpracování osobních údajů provádějí.

Oba předpisy mají hodně společného – nemění se základní definice, základní povinnosti a práva ani dozorová role ÚOOÚ.

3. Na koho se vztahuje a na koho nevztahuje GDPR?

Obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na všechny úřady, podniky i jednotlivce, kteří zpracovávají na území Evropské unie osobní údaje nebo o takovém zpracování rozhodují. Na některé důležité oblasti lidské činnosti se ale GDPR nevztahuje:

  • čistě osobní nebo domácí zpracování (videa s rodinnými příslušníky, fotoalba, osobní adresáře a korespondence, bezpečnostní kamery zabírající jen vlastní soukromé prostory apod.),
  • zpracování mimo působnost práva EU (např. činnost zpravodajských služeb a obranných zařízení),
  • činnost orgánů činných v trestním řízení a podobných bezpečnostních orgánů (policie, státní zastupitelství, věznice apod.).

GDPR se vztahuje i na osoby a podniky, které mimo území Evropské unie provádějí zpracování údajů o lidech, kteří se nacházejí v Evropské unii, pokud jim při tom nabízejí zboží nebo služby nebo monitorují jejich chování.

4. Co je osobní údaj, je někde jejich seznam?

Osobním údajem je informace, která se týká určené nebo přímo či nepřímo určitelné fyzické osoby. Obecně se tak jedná o jakoukoliv informaci, která se určeného nebo určitelného člověka týká, na základě které ho dokáže správce, zpracovatel nebo kdokoliv jiný identifikovat. Není nikde kompletní seznam osobních údajů, např. se však jedná o jméno, datum narození, ale i jednoznačný identifikátor osoby, fotografie. Údaj vždy směřuje k identifikaci osoby nebo se týká identifikované osoby.

5. Kdo je subjekt údajů a jaká práva má?

Subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují. Mezi nová práva patří právo na přenositelnost údajů mezi jednotlivými správci. Rozšířeno bylo právo na výmaz údajů.

6. Kdo je správce a kdo je zpracovatel?

Správcem je osoba, která v rámci vykonávání své činnosti zpracovává osobní údaje. Musí proto mít prostředky pro jejich zpracování, tedy cíl dané činnosti (např. ochrana majetku pomocí kamerového systému). To znamená, že správce stanovuje důvod, proč se osobní údaje zpracovávají a jakým způsobem, tedy konkrétní způsoby zpracování (nástroj, který bude pro zpracování použit).
Zpracovatel pak zpracovává osobní údaje pro správce, sám však neurčuje účel a prostředky zpracování údajů.

7. Kdy mohu zpracovávat osobní údaje?

Obdobně jako ve stávajícím zákoně o ochraně osobních údajů bude i podle GDPR platit šest právních základů pro zpracování osobních dat:

  • Souhlas subjektu údajů (tedy toho člověka, kterého se údaje týkají. Např. vyjádřím souhlas s tím, aby se pro marketingové účely zpracovávaly moje údaje). Pokud byl souhlas vyjádřen svobodně, konkrétně, informovaně a jednoznačně, není potřeba vyžadovat nové souhlasy se zpracováním osobních údajů.
  • Smlouva nebo příprava smlouvy na žádost subjektu údajů (např. pokud uzavírám kupní či jinou smlouvu nebo žádám o hypotéku).
  • Právní povinnost správce (např. pokud správce údajů má v zákoně stanovenou povinnost údaje vést, např. banka má stanovené povinnosti uchovávat údaje o určitých typech bankovních transakcí).
  • Životně důležitý zájem subjektu údajů nebo jiného člověka (např. zasahující zdravotník má právo získat moje osobní údaje v okamžiku, kdy mi poskytuje lékařskou pomoc a já nejsem schopen mu je říci sám)
  • Úkol správce ve veřejném zájmu, výkon veřejné moci správcem (orgán veřejné moci zpracovává osobní údaje k plnění úkolů veřejné správy)
  • Oprávněný zájem správce či jiné osoby, pokud však nepřeváží zájem subjektu údajů (např. ochrana vlastního majetku typicky v případě instalování kamerového systému).

Platí, že právní tituly ke zpracování osobních údajů jsou si rovnocenné a mohou se vzájemně překrývat.

8. Jaké hlavní nové povinnosti podle GDPR má správce (pověřenec, hlášení porušení zabezpečení, záměrná ochrana dat, záznamy o činnostech zpracování, posouzení vlivu, konzultace)

Základní povinnosti správce se příliš nemění. Mezi nové povinnosti patří hlášení o porušení zabezpečení, pokud správce zjistí, že bylo narušeno zabezpečení osobních údajů, například hackerským útokem, vloupáním nebo ztrátou nosiče dat (ne dílčí neoprávněná využití údajů např. zaměstnanci správce). V takovém případě to musí vždy nahlásit na ÚOOÚ a navrhnout způsoby řešení rizik. V případě, že narušení vede k velkému riziku pro subjekty údajů (např. data nejsou šifrována), musí to oznámit subjektům údajů (případně veřejně).

Posouzení vlivu na ochranu osobních údajů platí pro zpracování zahájená po květnu 2018. Pokud je pravděpodobné, že zpracování povede k vysokému riziku pro subjekt údajů, musí se provést hodnocení dopadů, posoudit rizika a kompenzovat je. Pokud ale bude zpracování osobních údajů probíhat na základě právního předpisu, nejsou nutná další hodnocení dopadů ani konzultace s ÚOOÚ.

Konzultace s ÚOOÚ lze u rizikových zpracování vést již dle současného znění zákona. Povinná konzultace bude platit pro zpracování zahájená po květnu 2018, pokud zpracování přináší vysoké riziko, má správce před jeho zahájením konzultovat s ÚOOÚ, který má na posouzení asi čtvrt roku a může doporučit další opatření.

Záznamy o činnostech zpracování jsou povinni vést správci a zpracovatelé. Na žádost ÚOOÚ jsou pak povinni tyto údaje zpřístupnit. Součástí těchto záznamů mají být kontaktní údaje správce, účel a rozsah zpracování, informace o příjemcích osobních údajů a lhůty pro výmaz, dále pak popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů.

Pověřenec pro ochranu osobních údajů je jakýmsi svědomím správce. Jeho role má spočívat zejména v tom, že je na správci nezávislým rádcem pro oblast osobních údajů. Není tedy přímo odpovědný za stanovování účelu a prostředků při zpracování dat.
Ruší se oznamovací povinnost úřadu, která je nyní zakotvena v § 16 zákona o ochraně osobních údajů. Pokud tedy např. chce město zřídit kamerový systém, nemusí již tuto skutečnost oznamovat úřadu, musí ale posoudit vliv na ochranu osobních údajů.

9. Kdo potřebuje jmenovat pověřence?

Povinnost jmenovat pověřence je ve třech případech:

u soukromých subjektů:

1. pokud dochází ke zpracování osobních údajů, které vyžaduje rozsáhlé, pravidelné a systematické monitorování subjektu údajů (telefonní operátor)

2. činnost je zaměřena na rozsáhlé zpracování citlivých údajů

u veřejných subjektů:

3. je povinný pro orgány veřejné moci a „veřejné subjekty“ bez ohledu na rozsah zpracování

  • Zákon zužuje definici „veřejných subjektů“ tak, aby nedopadala např. na příspěvkové organizace či jiné pomocné instituce.
  • Zákon upřesňuje, že tato povinnost se vztahuje na instituce podobné orgánům veřejné moci, nikoli na příspěvkové organizace či jiné pomocné instituce.
    Příklad: Jsem majitelem malé stavební společnosti. Vedu si seznam svých klientů, a to včetně jejich požadavků na dodávky. Rovněž si vedu osobní údaje o svých zaměstnancích. Musím mít pověřence pro ochranu osobních údajů?
    Vzhledem k tomu, že hlavní činností stavební firmy není rozsáhlé zpracování citlivých údajů ani rozsáhlé, pravidelné a systematické monitorování subjektů údajů, nemusí mít pověřence pro ochranu osobních údajů.

10. Budou skutečně ukládány likvidační pokuty?

Horní hranice pokut je podle GDPR stanovena velmi vysoká, aby se globálním technologickým firmám dlouhodobě nevyplácelo předpisy porušovat nebo obcházet pomocí malých firem. Pokuty jsou vždy ukládány s přihlédnutím na přiměřenost sankce stejně jako dosud. GDPR samo říká, že pokuty mají být odstrašující, nikoliv likvidační. Ostatně již ve stávajícím zákoně o ochraně osobních údajů jsou pokuty ve výši několika milionů. Likvidační pokuty ukládány být nesmějí, to by bylo protiústavní, což vyplývá i ze stávající judikatury jak správních soudů, tak Ústavního soudu.

Zdroj: Ministerstvo vnitra