Od příštího roku (přesněji od 25. května 2018) začne být účinné nové nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, které je známé především pod anglických názvem General Data Protection Regulation (dále jen „GDPR“). Jde o nový předpis, který sjednotí úpravu ochrany osobních údajů napříč Evropskou unií, v reakci na velice rychlý technologický vývoj v Evropě a ve světě. GDPR zavádí mnoho nových povinností pro správce a zpracovatele osobních údajů, na jejichž dodržování bude u nás dohlížet Úřad pro ochranu osobních údajů (dále jen „Úřad“) a při jejich porušení budou moci být ukládány vysoké sankce.
Podle GDPR by měli být např. jednotlivci lépe informováni o zpracování osobních údajů, jakož i o jejich případném zveřejnění či zneužití. Dojde rovněž k posílení institutu tzv. “práva být zapomenut”, zpřísnění podmínek pro poskytování souhlasu se zpracováním osobních údajů či k usnadnění převodu osobních údajů navzájem mezi jednotlivými správci. Níže Vám přinášíme přehled hlavních změn, které v této oblasti GDPR od příštího roku přinese.
Souhlas se zpracováním osobních údajů
GDPR přinese přísnější požadavky na souhlas se zpracováním osobních údajů. Bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností (např. jako součást smlouvy či obchodních podmínek), bude muset být od těchto skutečností jednoznačně odlišitelný. V praxi to bude znamenat, že souhlas bude muset být poskytnut např. na samostatném papíře v rámci obchodních podmínek. Dále v souvislosti s rozsáhlým užíváním informačních technologií nezletilými bude muset být u dětí (převážně mladších 16 let) souhlas se zpracováním poskytnut vždy se souhlasem jejich rodičů nebo zákonných zástupců, což si lze v praxi představit jen s velkými obtížemi.
Pověřenec pro ochranu osobních údajů
Úplnou novinkou je nový institut tzv. pověřence pro ochranu osobních údajů, který bude muset být v konkrétních případech vymezených v GDPR jmenován (např. orgány veřejné moci či subjekty provádějícími zpracování tzv. citlivých údajů) jakožto odborník na oblast ochrany osobních údajů. Účelem pověřence bude především zajišťování souladu činností správce s GDPR, poskytování odborného poradenství správci v souvislosti s GDPR nebo spolupráce s dozorovým Úřadem.
Kodexy chování a vydávání osvědčení
Úplnou novinkou GDPR bude rovněž umožnění sdružením či obdobným subjektům zastupujícím různé kategorie správců nebo zpracovatelů vydávat tzv. kodexy chování (např. etický kodex advokátů či lékařů). Cílem těchto kodexů by mělo být upřesnění uplatňování GDPR v daném odvětví a jejich dodržování by mělo předpokládat přijetí dostatečných opatření pro zabezpečení osobních údajů. Na základě GDPR bude oprávněn Český institut pro akreditaci také vydávat tzv. osvědčení o ochraně údajů, jakož i tzv. pečeti a známky, které budou (podobně jako kodexy chování) zaručovat soulad s GDPR.
Právo na přenositelnost a na výmaz osobních údajů
GDPR zavádí nové právo subjektů údajů na tzv. přenositelnost údajů. Toto právo bude možné uplatnit jen v případech, kdy bude zpracování osobních údajů opřeno o souhlas subjektu nebo o smlouvu, které bude subjekt údajů smluvní stranou a současně bude zpracování prováděno automatizovanými prostředky. Pokud subjekt údajů právo na přenositelnost u správce uplatní, bude správce povinen jeho osobní údaje předat ve strukturovaném a strojově čitelném formátu buď jemu samotnému, nebo napřímo novému správci (třeba při změně mobilního operátora).
Správci budou mít také povinnost osobní údaje na žádost subjektu údajů opravit nebo doplnit (např. dojde-li k jejich změně). Nadto budou mít subjekty údajů podle GDPR i nadále právo na výmaz svých osobních údajů (tzv. „právo být zapomenut“), při jehož uplatnění bude mít správce povinnost osobní údaje „bez zbytečného odkladu“ vymazat. Současně budou správci osobních údajů také povinni subjekty údajů o jejich právech náležitě informovat.
Zpracovatelská smlouva, zabezpečení osobních údajů a ohlašovací povinnosti
Pokud bude správce pověřovat zpracováním osobních údajů další subjekty, tzv. zpracovatele osobních údajů (např. pokud pro ukládání osobních údajů bude využívat externích poskytovatelů cloudových úložišť či vzdálených serverů), bude mít podle GDPR povinnost mít s nimi uzavřenou písemnou smlouvu o zpracování. Minimální povinné náležitosti této smlouvy jsou uvedeny přímo v GDPR.
Správce a zpracovatel budou také muset přijmout vhodná technická a organizační opatření, aby zajistili potřebnou úroveň zabezpečení osobních údajů odpovídající danému riziku – mezi tato budou spadat např. pseudonymizace a šifrování osobních údajů, zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů (vč. zálohování dat), antivirová ochrana, autentizační procesy, omezení přístupových práv apod. V případě porušení zabezpečení osobních údajů bude správce také povinen incidenty ohlašovat Úřadu a v případě vysokého rizika i samotným subjektům údajů, to vše bez zbytečného odkladu (Úřadu pokud možno do 72 hodin).
Závěr
GDPR přinese z pohledu ochrany osobních údajů velké změny. Současně stále ještě existuje mnoho výkladových nejasností s ohledem na to, jak bude uplatňování GDPR v praxi vypadat. Na jejich vyjasnění si ale budeme muset ještě nějakou chvíli počkat. Naprosto jasné už teď však je, že povinnosti plynoucí z nového nařízení se v budoucnu rozhodně nevyplatí porušovat a to kvůli hrozbě značně vysokých sankcí, které se budou moci vyšplhat až do závratné výše 20 000 000 EUR, nebo půjde-li o podnik, až do výše 4 % jeho celosvětového ročního obratu.