GDPR = General Data Protection Regulation – je obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů, aktualizuje stávající právní rámec ochrany osobních údajů pro celý prostor EU.
Nejedná se o novou revoluční úpravu, jak bývá mnohdy nepřesně prezentováno.
Toto na pravou míru uvádí i Úřad na ochranu osobních údajů (dále jen „ÚOOÚ“) ve svém dokumentu zveřejněném na webových stránkách úřadu, který nazývá „Desatero omylů o obecném nařízení GDPR“, když říká, že jedním ze základních znaků ochrany osobních údajů podle GDPR je kontinuita této ochrany.
-
Toto obecné nařízení si dává za cíl tzv. učesat právní úpravu ochrany v celém právním prostoru EU. Stanovuje přesnější, jasnější a zcela shodná pravidla ochrany pro všechny.
-
Práva a povinnosti tak, jak jsou doposud upravena stručnější směrnicí 95/46/ES (v ČR mimo jiné i zákonem č. 101/2000 Sb. o ochraně osobních údajů), jsou detailněji upřesněna a rozšířena. Již ve své preambuli, např. čl. 4 a 6, GDPR uvádí, že by zpracování osobních údajů mělo sloužit lidem, když technologický rozvoj a globalizace přináší nové výzvy právě pro oblast ochrany osobních údajů.
-
Tedy jinými slovy – cílem GDPR je přizpůsobení se dnešní době.
-
GDPR nemění základní zásady ochrany, nerozšiřuje svoji působnost, klade vyšší nároky na zpracování údajů. Pokud bychom se v tomto článku měli věnovat pouze živnostníkům, neměl by tento v zásadě pocítit při výkonu svého podnikání oproti zaběhlým postupům, kterými se doposud řídil v rámci právní úpravy ochrany osobních údajů dle platného zákona, velkou změnu.
-
Pokud mám vypíchnout nejdůležitější, na co je zapotřebí klást od účinnosti GDPR při běžném zpracování osobních údajů fyzických osob (na právnické osoby se GDPR nevztahuje) důraz, pak by se jednalo o sledování zákonnosti zpracování osobních údajů.
Zákonnost zpracování
-
Zpracování je zákonné mimo jiné tehdy, pokud k němu dala fyzická osoba souhlas, případně pokud je zpracování nezbytné pro splnění účelu smlouvy, které je fyzická osoba stranou (např. kupní smlouva, smlouva o dílo, atp.).
-
Získané osobní údaje musí být zpracované korektně a transparentně, tedy přesně, otevřeně a přiměřeně v rozsahu účelu, kterého má být dosaženo. To vše proto, že jedním ze zamýšlených cílů GDPR je posílení práv subjektů údajů, tedy těch fyzických osob, jejichž údaje jsou shromažďovány.
-
Mezi práva, která tyto osoby mají, patří mimo jiné právo přístupu ke svým údajům, právo na opravu a doplnění, právo na výmaz, právo vznést námitku.
-
Osobní údaje musí být uloženy po dobu né delší, než je nezbytné pro účely, pro které jsou zpracovány. Podstatné je také zabezpečení předmětných údajů a jejich ochrana, na což GDPR klade velký důraz. Neznamená to však obávanou povinnost šifrování údajů.
- Novou povinností osoby zpracovávající osobní údaje je v případě porušení zabezpečení ochrany toto oznámit Úřadu na ochranu osobních údajů, nicméně pouze tehdy, pokud vzniklo nebo hrozí vyšší než zanedbatelné riziko.
Souhlas se zpracováním osobních údajů
V souvislosti s naplněním podmínky zákonnosti zpracování osobních údajů stojí za pozornost termín Souhlas se zpracováním osobních údajů. Dle definice GDPR má být souhlasem svobodný, konkrétní, informovaný a jednoznačný projev vůle, který fyzická osoba dává prohlášením či jiným zjevným potvrzením, a to vždy k určitému účelu zpracování. Souhlasu není třeba při zpracování osobních údajů na základě plnění účelu ze smlouvy. Aby byl v souvislosti s novou úpravou viz výše souhlas vskutku jednoznačný a dobře identifikovatelný od jiných skutečností, neměl by být nedílnou součástí například smlouvy, všeobecných obchodních podmínek, atp. Za zmínku pak stojí nevhodnost podmiňování uzavření smlouvy právě udělením souhlasu se zpracováním osobních údajů (typicky zaškrtnutí políčka při nákupu přes e-shop).
GDPR vstupuje v platnost dne 25.5.2018 a plně nahrazuje stávající zákon č. 101/2000 Sb., o ochraně osobních údajů.
Více o GDPR přímo na stránkách Úřadu pro ochranu osobních údajů: https://www.uoou.cz/gdpr%2Dstrucne%2Dnove/ds-4843/p1=4843