Co přinese General Data Protection Regulation („GDPR“)

Verze pro tiskSend by email

GDPR je nařízení Evropské unie 2016/679 o ochraně osobních údajů fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které vejde v účinnost 25.05.2018. Nařízení nahrazuje směrnici č. 95/46/ES z roku 1995, která přestala vyhovovat novým požadavkům digitálního trhu a v českém prostředí ruší zákon č. 101/2000 Sb., o ochraně osobních údajů. Nařízení GDPR je přímo účinné, a proto není nutná jeho další implementace do české legislativy.

GDPR je považováno za nejkomplexnější soubor pravidel na ochranu dat, který stanoví práva a povinnosti v oblasti nakládání s osobními údaji s cílem chránit digitální práva občanů EU, zajistit vymahatelnost práva a mnohem těsnější spolupráci dozorových orgánů. Nařízení se vztahuje na každý subjekt (firmu, státní organizaci nebo jednotlivce), který v rámci své činnosti pracuje s osobními údaji fyzických osob sídlících v Evropské unii. Každá organizace, která v rámci své činnosti pracuje s osobními údaji fyzických osob EU, musí s těmito osobními údaji nakládat v souladu s Nařízením. Jedná se o údaje zaměstnanců, informace o zákaznících, nebo databáze pacientů. Nařízení se také vztahuje na subjekty se sídlem mimo EU, pokud zpracovávají data fyzických osob z EU za účelem nabídky zboží nebo služeb. GDPR platí také pro předání dat v rámci skupiny podniků.

Povinnosti správce údajů: Společnost, která podléhá pravidlům Nařízení, musí být schopna prokázat, že její technická a organizační zabezpečení k ochraně dat jsou funkční. Každý správce údajů musí doložit soulad se základními zásadami, tedy, že údaje byli zpracovány korektním zákonným způsobem, přesně a aktuálně. Jeden z nejdůležitějších aspektů je prokázání zákonnosti zpracování údajů, které lze dokázat pouze: a) výslovným souhlasem fyzické osoby, b) zpracování je nezbytné pro splnění smlouvy, c) právní povinnost správce ze zákona, d) je nutné pro ochranu životně důležitých zájmů FO, e) jedná se o veřejný zájem a oprávněný zájem správce údajů.

Povinností správce údajů je vést záznamy o zpracování osobních údajů, tedy zejména účel zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, předání údajů, lhůty pro výmazy a zajištění bezpečnosti údajů. Správce tedy povede dokumentaci, jejímž obsahem budou podrobné informace. Další povinností je povinnost ohlašovat případy narušení bezpečnosti osobních údajů. Tuto povinnost musí plnit každý správce, a to během 72 hodin od doby, kdy se o narušení dozví.

Práva fyzických osob: fyzická osoba má v souladu s Nařízením právo informovat se, jaké údaje byly zpracovány a za jakým účelem. Pokud nebude souhlasit se zpracováním údajů, může vznést námitku a správce nemůže dále s těmito údaji pracovat, pokud nebude mít vážné odůvodnění. Fyzická osoba dále může požadovat vymazání údajů, které správce eviduje, případně se domáhat práva být zapomenuta. Pokud se FO rozhodne, může převést své údaje k novému správci.

GDPR slibuje pevný a soudržnější rámec pro ochranu údajů, jenž se bude opírat o důrazné vymáhání práva. Nařízení má zamezit rozdílům bránícím volnému pohybu údajů a poskytnout jistotu a transparentnost. Jaké bude mít GDPR výhody a nevýhody ukáže samozřejmě až praxe. Nařízení nicméně přináší i vysoké pokuty za porušení povinností, a proto by mu všichni měli věnovat zvýšenou pozornost.