Otázky a odpovědi kolem nařízení EU o ochraně osobních údajů (GDPR), které začne platit 25. května:

Co je GDPR?

Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation, GDPR) má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Zavádí právo na výmaz či přenos poskytnutých údajů i kontrolu jejich využití. V českém právním prostředí nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb. o ochraně osobních údajů. GDPR bude platit jednotně ve všech státech EU a na Islandu, v Norsku a Lichtenštejnsku. Týká se ale i společností, které podnikají v tomto prostoru, ale sídlo mají jinde. Celý název předpisu je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). GDPR tak nahrazuje dosavadní směrnici o ochraně osobních údajů z roku 1995.

Jaký je důvod přijetí nové směrnice?

Směrnice udává několik důvodů, proč byla přijata. K těm zásadním patří to, že dosavadní směrnice z roku 1995 přestala odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. V době vzniku dosavadní směrnice podle odborníků neexistovaly nebo nebyly tak rozvinuté různé sociální sítě, cloudová úložiště ani další on-line „prostory“, na kterých se dnes citlivá osobní data ocitají prakticky bez účinnější ochrany. Druhým klíčovým důvodem vzniku nové směrnice bylo to, že tou dosavadní nebyla dosažena požadovaná míra sjednocení právní úpravy. Charakteristické pro obecné nařízení je jeho univerzální použitelnost ve všech státech EU a dalších tří zemí.

Co to jsou osobní údaje?

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa nebo fotografie. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i například e-mailová adresa, telefonní číslo či různé identifikační údaje. Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto údajů směrnice až na výjimky zakazuje. Tyto údaje se mohou zpracovávat například po souhlasu daného subjektu, když je zpracování nutné pro ochranu životně důležitých zájmů subjektu nebo z důvodů veřejného zájmu v oblasti veřejného zdraví nebo když je zpracování nezbytné pro lékařské účely.

Jedná se o zásadní změnu?

V základních bodech obecné nařízení navazuje na dosavadní směrnici. Nemění tak základní zásady zpracování osobních údajů či základní pojmy jako jsou osobní údaj, subjekt údajů (fyzická osoba, které se údaj týká), správce (určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá) a zpracovatel (subjekt, který pro správce údaje zpracovává). Na některé organizace a zpracování nová směrnice klade vyšší nároky. Jedná se především o velké správce osobních údajů typu bank, telekomunikačních operátorů nebo nemocnic. Jednou z nejdůležitějších novinek je jmenování pověřence pro zpracování osobních údajů. Povinně musí pověřence jmenovat orgán veřejné moci či veřejný subjekt (s výjimkou soudů) nebo když jsou hlavní činností správce nebo zpracovatele operace zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů. To je právě případ bank, pojišťoven, nemocnic nebo telekomunikačních společností. Na druhou stranu pro drobné živnostníky, malé internetové obchody a další, kteří zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě.

Jaké jsou práva fyzických osob, kterých se osobní údaje týkají?

Směrnice výrazně posiluje práva občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na informace o tom, které jejich údaje jsou zpracovávány a proč, právo na opravu údajů, na jejich výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů. Novinkou je například udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů, což znamená, že uzavření smlouvy (například na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Správce údajů musí na veškeré námitky či dotazy reagovat do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Jak vysoká může být udělená pokuta?

Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10,000.000 eur (nebo až do dvou procent ročního obratu u firem) nebo do výše 20,000.000 eur (nebo až do čtyř procent obratu; zhruba 500 milionů korun). Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů.

Na koho se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Právě v této době potřebujeme nezávislá média. Podpořte nás prosím a objednejte si předplatné Revue FORUM ZDE. Děkujeme!

Revue Forum Banner