GDPR – strašák všech zpracovatelů osobních údajů

Zvýšení ochrany osobních údajů v EU a zavedení nových povinností

V dubnu roku 2016 přijala Evropská unie Obecné nařízení o ochraně osobních údajů, jehož hlavním cílem je zvýšit ochranu osobních údajů občanů EU před neoprávněným zacházením s nimi. Nové nařízení zavede poměrně striktní pravidla pro všechny, kdo shromažďují a zpracovávají osobní údaje občanů EU, včetně mimoevropských společností působících na evropském trhu. Účinnost nařízení nastane v květnu roku 2018 a příprava na toto nařízení je stěžejní pro všechny zpracovatele osobních údajů.

Ochrana soukromí online

Hlavním důvodem pro přijetí takto rozsáhlých změn je především zastaralost současné právní úpravy, která již nereflektovala vývoj online světa. Ochrana soukromí se tak stala jednou z nejdůležitějších priorit. Také v minulosti docházelo ke shromažďování osobních údajů tajnými službami některých mimoevropských států a mimoevropskými společnostmi, protože tyto údaje nebyly dostatečně chráněny, a byly tedy snadno dostupné. Nyní bude právní úprava ochrany osobních údajů sjednocena nařízením GDPR (General Data Protection Regulation). Jednotnost úpravy zajistí snadnější vymahatelnost a jednotné – velmi vysoké sankce v celé EU a užší spolupráci národních dozorových orgánů.

Odpovědnost správce osobních údajů

Mezi hlavní změny, které nařízení přináší, patří princip odpovědnosti správce osobních údajů, který nyní musí být schopen doložit, že dodržuje zásady pro zpracování osobních údajů po celou dobu trvání zpracování a zároveň můžou zpracovat pouze ty údaje, které jsou nutné pro předem vymezený účel. To jistě přinese mimo jiné také vyšší administrativní nároky na správce osobních údajů a vyšší ochranu a zabezpečení dat. Kromě toho budou nařízením výrazně posílena práva subjektů zpracování, tedy osob, jejichž osobní údaje jsou zpracovávány. Zpracovatelé navíc budou mít povinnost subjekty o jejich právech informovat. Subjekty budou mít možnost vznést námitku proti zpracování osobních údajů. Na základě této námitky můžou požadovat výmaz svých osobních údajů. S výmazem také souvisí „právo být zapomenut“, tedy, že údaje o subjektech budou trvale odstraněny.

Posouzení vlivu na ochranu osobních údajů

Novými povinnostmi správců osobních údajů budou vypracování tzv. Posouzení vlivu na ochranu osobních údajů (DPIA). Správci jej budou muset vypracovat, pokud bude mít zpracování osobních údajů pravděpodobně za následek vznik vysokého rizika pro práva subjektů. K tomu dojde především při systematickém vyhodnocování osobních aspektů fyzických osob, na němž se zakládají rozhodnutí, která vyvolávají těmto fyzickým osobám určité právní účinky, nebo při rozsáhlém systematickém monitorování veřejně přístupných prostorů.

Pověřenec pro ochranu osobních údajů

Další povinností bude jmenování pověřence pro ochranu osobních údajů (DPO). Jeho hlavním úkolem bude monitorování toho, zdali jsou osobní údaje zpracovávány v souladu s nařízením a celková ochrana dat. Jmenování pověřence však není nutné vždy, ale pouze pokud hlavní činnost správce spočívá v operacích zpracování založených na systematickém monitorování občanů nebo zpracování zvláštních kategorií údajů. Pokud tedy hlavní činnost správce nespočívá ve výše uvedeném, není potřeba pověřence jmenovat. Je však dobré toto rozhodnutí o nejmenování podložit odůvodněným stanoviskem, proč naplnění těchto znaků ve své činnosti nespatřuje.

Likvidační sankce GDPR

Sankce za porušení nového nařízení GDPR jsou obrovské a pro některé správce můžou být až likvidační. Maximální výše pokuty může být totiž až 20 mil. Euro, popřípadě čtyři procenta z celkového ročního obratu. Záleží na tom, která z možností je vyšší. Výše pokuty bude záviset na povaze a závažnosti porušení předpisů, jakož i na délce porušování a počtu poškozených osob. Při porušování nařízení GDPR se však podnikatel vystavuje kromě rizika vysoké pokuty také občanskoprávním žalobám fyzických osob na náhradu škody způsobené nedostatečnou ochranou jejich osobních údajů.