GDPR – zásadní změna v systému ochrany osobních údajů

V Úředním věstníku Evropské unie bylo dne 4. května 2016 zveřejněno Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), neboli General Data Protection Regulation (GDPR).

V GDPR jsou zachovány stávající principy ochrany osobních údajů, tj. primárním právním titulem ke zpracování osobních údajů by měl být informovaný a svobodný souhlas subjektu údajů nebo některá z výjimek, kdy zpracování osobních údajů nepodléhá souhlasu subjektu údajů. Stejně tak zůstává povinnost k zavedení a zdokumentování technických a organizačních opatření zajišťujících přiměřenou úroveň ochrany osobních údajů.

    Zásadní změny GDPR oproti současnému zákonu č. 101/2000 Sb.:
  • Jsou akcentována práva subjektů údajů, zejména právo:
    • na opravu osobních údajů,
    • na výmaz („právo být zapomenut“), které je motivováno možnostmi internetu, kde jsou i po dlouhé době dostupné zpětně nežádoucí údaje ze soukromí subjektů údajů (např. tzv. „hříchy mladosti“). Stejně tak subjekt údajů bude moci požádat správce o smazání všech osobních údajů, toto však bude nutné koordinovat s ostatními zákonnými důvody pro jejich uchování, tj. nebude možné vždy automaticky vyhovět požadavku subjektů údajů,
    • na omezení zpracování,
    • na přenositelnost údajů, které umožní subjektům údajů za určitých podmínek volně přenášet osobní údaje, např. mezi různými sociálními sítěmi.

  • Orgány veřejné moci, veřejné subjekty a řada dalších organizací budou povinny jmenovat pověřence pro ochranu osobních údajů.

  • Bude zrušena obecná oznamovací povinnost (tzv. registrace), tato bude nahrazena jinými mechanizmy:
    • povinností správce provést posouzení vlivu (dopadu) na ochranu osobních údajů v případě, kdy zpracování může představovat s ohledem na povahu, rozsah, kontext a účely zpracování vysoké riziko pro práva a svobody jednotlivce (zejména při využití nových technologií),
    • pokud z posouzení dopadu vyplynou zvýšená rizika, je stanovena povinnost projednat přijatá opatření formou tzv. předběžné konzultace s ÚOOÚ,
    • povinností správce vést záznamy o všech činnostech, za něž odpovídá.

  • Nově je stanovena povinnost bez zbytečného odkladu, pokud možno do 72 hodin, ohlašovat porušení zabezpečení osobních údajů ÚOOÚ a v závažných případech i přímo dotčeným subjektům údajů.
  • Bude zvýšen důraz na ochranu zpracování osobních údajů dětí a na opatření proti nežádoucímu profilování osobních údajů.
  • Organizace budou moci prokázat soulad s GDPR osvědčením o ochraně údajů vydaným akreditovaným orgánem. Vydáním osvědčení se však nijak nebude snižovat odpovědnost správce nebo zpracovatele.
  • Výrazně budou zvýšeny sankce za porušení ochrany osobních údajů, jejichž horní hranice může dosáhnout až 20 milionů EUR nebo 2 - 4 % z celosvětového ročního obratu.

:: © I3 Consultants s.r.o. :: K Trninám 945/34, 163 00 Praha 6 ::