Nová legislativa - I3C ochrana osobních údajů GDPR DPO

Konzultační společnost v oblasti bezpečnosti informací

Odkazy:

Národní úřad pro kybernetickou a informační bezpečnost

Národní centrum kybernetické bezpečnosti

GDPR - zavedené změny

V Úředním věstníku Evropské unie bylo dne 4. května 2016 zveřejněno Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), neboli General Data Protection Regulation (GDPR).

V GDPR jsou zachovány stávající principy ochrany osobních údajů, tj. primárním právním titulem ke zpracování osobních údajů by měl být informovaný a svobodný souhlas subjektu údajů nebo některá z výjimek, kdy zpracování osobních údajů nepodléhá souhlasu subjektu údajů. Stejně tak zůstává povinnost k zavedení a zdokumentování technických a organizačních opatření zajišťujících přiměřenou úroveň ochrany osobních údajů.

Významné změny zavedené GDPR:

Jsou akcentována práva subjektů údajů, zejména právo:

na opravu osobních údajů,
na výmaz („právo být zapomenut“), které je motivováno možnostmi internetu, kde jsou i po dlouhé době dostupné zpětně nežádoucí údaje ze soukromí subjektů údajů (např. tzv. „hříchy mladosti“). Stejně tak subjekt údajů může požádat správce o smazání všech osobních údajů, toto však je nutné koordinovat s ostatními zákonnými důvody pro jejich uchování, tj. není možné vždy automaticky vyhovět požadavku subjektů údajů,
na omezení zpracování,
na přenositelnost údajů, které umožňují subjektům údajů za určitých podmínek volně přenášet osobní údaje, např. mezi různými sociálními sítěmi.

Orgány veřejné moci, veřejné subjekty a řada dalších organizací jsou povinny jmenovat pověřence pro ochranu osobních údajů.

Je zrušena obecná oznamovací povinnost (tzv. registrace) a je nahrazena jinými mechanizmy:

povinností správce provést posouzení vlivu (dopadu) na ochranu osobních údajů v případě, kdy zpracování může představovat s ohledem na povahu, rozsah, kontext a účely zpracování vysoké riziko pro práva a svobody jednotlivce (zejména při využití nových technologií),
pokud z posouzení dopadu vyplynou zvýšená rizika, je stanovena povinnost projednat přijatá opatření formou tzv. předběžné konzultace s ÚOOÚ,
povinností správce vést záznamy o všech činnostech, za něž odpovídá.

Nově je stanovena povinnost bez zbytečného odkladu, pokud možno do 72 hodin, ohlašovat porušení zabezpečení osobních údajů ÚOOÚ a v závažných případech i přímo dotčeným subjektům údajů.
Je zvýšen důraz na ochranu zpracování osobních údajů dětí a na opatření proti nežádoucímu profilování osobních údajů.
Organizace mohou prokázat soulad s GDPR osvědčením o ochraně údajů vydaným akreditovaným orgánem. Vydáním osvědčení se však nijak nesnižuje odpovědnost správce nebo zpracovatele.
Výrazně jsou zvýšeny sankce za porušení ochrany osobních údajů, jejichž horní hranice může dosáhnout až 20 milionů EUR nebo 2 - 4 % z celosvětového ročního obratu.

V souvislosti na GDPR byl vydán nový zákon č. 110/2019 o zpracování osobních údajů, který nahradil půsovdní zákon 101/2000 SB. o ochraně sobních údajů.

Pro většinu správců osobních údajů zákon č. 110/2019 Sb., nepřinesl žádné zásadní změny, které by měnily podmínky zpracování dat dle GDPR. Zákonodárci se spíše zaměřili na výjimky při zpracování osobních údajů v oblastech uměleckého, akademického a novinářského prostředí, a v oblasti národní bezpečnosti nebo trestního řízení. Za zmínku však stojí výslovně stanovená lhůta pro uchování dokumentace související se zjištěným porušením zabezpečením osobních údajů, která musí být nejméně tříletá. Významnější však je tzv. změnový zákon č. 111/2019. ten byl vydán v souvislosti se zákonem o zpracování osobních údajů a mění celkem 39 jiných právních předpisů. Zejména se jedná o zákon o archivnictví a spisové službě, v němž je zavedena pro určené subjekty povinnost vedení jmenného rejstříku a podmínky této agendy, zákon o svobodném přístupu k informacím zase rozšiřuje kompetence Úřadu pro ochranu osobních údajů při dozoru nad poskytováním informací dle této právní normy, zákon o evidenci obyvatel a rodných číslech zase mj. upravuje podmínky pro legální zpracování těchto identifikátorů fyzických osob.