Advokát v Olomouci JUDr. Lubor Ludma se v dnešním příspěvku věnuje obecnému nařízení o ochraně osobních údajů – GDPR. Jedná se o nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, které vstoupí v účinnost dne 25. 5. 2018.
Cílem GDPR je především ochránit subjekty údajů ve vztahu k rozvíjející se digitalizaci, profilování uživatelů internetu a sběru velkého počtu dat, jelikož neustále dochází k technologickému a společenskému vývoji, na což původní směrnice nepamatovala. Nařízení GDPR se zaměřuje především na ochranu osobních údajů v rámci aplikací, her či kvízů, které sledují naši aktivitu.
GDPR vychází z dosavadní právní úpravy [definice a zásady, které můžeme najít i v zákoně č. 101/2000 Sb., o ochraně osobních údajů (dále jen „ZOOÚ“)]. Jeho hlavním cílem je sjednocení úpravy v rámci zemí EU a zavedení jasných pravidel v oblasti ochrany osobních údajů. Původní právní úpravu obstarávala směrnice, tudíž členské státy musely její text transponovat do svých právních úprav, což vedlo k rozdílné regulaci a aplikaci.
GDPR je postaveno na dvou principech. Princip odpovědnosti správce za dodržení zásad zpracování je doplněn principem rizika. Správce od počátku zpracování osobních údajů musí brát v úvahu rozsah, kontext, povahu a účel zpracování a zároveň přihlížet k možným rizikům, které takové zpracování může znamenat pro práva a svobody fyzických osob a přizpůsobit tomu zabezpečení.
Na nová rizika v digitálním prostředí reaguje GDPR zavedením povinností pro správce osobních údajů, mezi něž řadí vedení záznamu o činnostech zpracování, posouzení vlivu zpracování na ochranu osobních údajů či ohlašování porušení zabezpečení osobních údajů. Zabezpečení osobních údajů se odvíjí od čl. 32 GDPR, které například po správci požaduje zajistit úroveň zabezpečení odpovídající danému riziku, případně užít „pseudonymizaci a šifrování osobních údajů“ či další účelné nástroje.
GDPR je dále vystavěno na základních zásadách zpracování osobních údajů uvedených v čl. 5. Mezi uvedené se řadí zákonnost, korektnost a transparentnost [odst. 1 písm. a)], účelové omezení [odst. 1 písm. b)], minimalizace údajů [písm. c)], přesnost [písm. d)], omezení uložení [písm. e)], integrita a důvěrnost [písm. f)] a zejména odpovědnost správce, která je jako jediná zásada zakotvena nově oproti původní směrnici (odst. 2).
Jedním ze stěžejních cílů GDPR je zesílení práv subjektů údajů. K dosažení tohoto cíle poskytuje GDPR subjektům údajů řadu práv, mezi něž řadí právo na přístup k osobním údajům (již zakotveno ve stávajícím § 12 ZOOÚ), právo na opravu a doplnění neúplných osobních údajů [§ 5 odst. 1 písm. a) ZOOÚ], právo na výmaz, na omezení zpracování (§ 21 ZOOÚ), přenositelnost údajů a samozřejmě právo vznést námitku.
Právem na přístup k osobním údajům GDPR zamýšlí poskytnutí práva subjektu údajů na potvrzení od správce, zda jsou jeho osobní údaje zpracovávány, a pokud ano, má právo k nim a informacím, které se jich týkají, získat přístup.
Na výše uvedené právo navazuje právo na opravu, které zakotvuje povinnost správci, aby bez zbytečného odkladu opravil a doplnil nepřesné údaje subjektu údajů.
Právo na výmaz nebylo ve stávající směrnici upraveno a bylo dovozováno Soudním dvorem EU (rozsudek C-131/12 ze dne 13. 5. 2014). Od účinnosti GDPR již toto právo není třeba dovozovat, jelikož je přímo v čl. 17 GDPR výslovně zakotveno. Toto právo umožňuje, aby údaje o subjektu údajů byly vymazány a správce má povinnost tak bez zbytečného odkladu učinit, pokud dojde k naplnění alespoň jediného z uvedených důvodů pro výmaz.
Právo na přenositelnost údajů zakotvuje možnost subjektu údajů bezplatně získat své poskytnuté osobní údaje a zároveň možnost je bez omezení předat jinému správci. Takovýto postup lze provést pouze za splnění podmínek uvedených v čl. 20 GDPR. Toto nové právo však automaticky neznamená, že pokud subjekt údajů přenese své osobní údaje k jinému správci, výmaz údajů ze systému původního správce.
GDPR upravuje možnost subjektům údajů vznést námitku proti zpracování jejich osobních údajů. Dle čl. 21 odst. 1 GDPR „má subjekt údajů z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažuují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.“
GDPR v nové úpravě přináší možnost jmenovat osobu pověřence. Dle čl. 37 GDPR správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí či hlavní činnost správce nebo zpracovatele spočívá v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, anebo když jde o rozsáhlé zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 9, resp. 10 GDPR.
GDPR také zakotvuje právo na účinnou soudní ochranu jak vůči dozorovému orgánu, tak vůči správci či zpracovateli tím, že kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. GDPR dále upravuje podmínky pro ukládání správních pokut, podle okolností každého konkrétního případu. Maximální výše pokuty činí 20 000 000 EUR, a jde-li o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční (či rozpočtový) rok.
Advokát v Olomouci JUDr. Lubor Ludma na závěr doplňuje, že i přes blížící se účinnost GDPR Ministerstvo vnitra ČR v srpnu 2017 předložilo návrh nového zákona o zpracování osobních údajů, který byl vládou schválen.