Hned několik a poměrně zásadních novinek a změn přináaí nové nařízení Evropského parlamentu a rady (EU) 2016/697 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, známé také pod anglickou zkratkou GDPR" neboli General Data Protection Regulation. Toto nařízení od 25. května 2018 zcela nahradí směrnici 95/46/ES, a tedy i doposud platný zákon č. 101/2000 Sb., o ochraně osobních údajů.

I kdy~ se v základních rysech podobá dosavadní úpravě, je nové nařízení v mnohém přísnějaí a podrobnějaí. Poruaování obecného nařízení bude od května příatího roku trestáno mnohonásobně vyaaími sankcemi ne~ doposud. Přísluaný orgán dohledu bude mít oprávnění ulo~it za poruaení nařízení pokutu a~ do výae 20 milionů eur (přibli~ně 540 milionů korun), nebo 4 % celosvětového ročního obratu.

Nová právní úprava znamená pro správce a zpracovatele nutnost přezkoumat procesy a dokumenty související se zpracováním osobních údajů ve společnostech. Společnosti pracující s osobními údaji by si měly ujasnit, jaké osobní údaje sbírají a k čemu je vlastně vyu~ívají, a na základě toho upravit nebo nově nastavit procesy a dokumenty.

Z nejzásadnějaích změn a novinek vybíráme:

1. Povinnost zajistit zabezpečené zpracování osobních údajů. Obecné nařízení klade velký důraz na zajiatění bezpečnosti při zpracování osobních údajů. Stanovuje, ~e správce a zpracovatel musí provést vhodné technické a organizační opatření, aby zajistili zabezpečení odpovídající danému riziku, včetně (i) pseudonymizace a aifrování osobních údajů, (ii) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systému a slu~eb zpracování, (iii) schopnosti včas obnovit dostupnost osobních údajů a přístup k nim v případě fyzických nebo technických incidentů, (iv) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajiatění bezpečnosti zpracování.

2. Povinnost jmenovat pověřence pro ochranu osobních údajů. Tuto povinnost nařízení explicitně stanovuje jak pro orgány veřejné moci (s určitými drobnými výjimkami), tak pro správce a zpracovatele, jejich~ hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu a/nebo účelu vy~adují pravidelné a systematické monitorování subjektů údajů v airokém rozsahu, nebo jejich~ hlavní činnosti spočívají ve zpracování zvláatních kategorií osobních údajů (například zdravotní, ekonomická data).

Vzhledem k tomu, ~e kategorie správců není jednoznačně vymezená, dá se do budoucna očekávat, ~e definici vyjasní a~ praxe. Nicméně ji~ nyní je zřejmé, ~e pověřence budou muset jmenovat tito správcové (nemocnice, banky, pojiaťovny, bezpečnostní agentury).

3. Povinnost provádět posouzení vlivu na ochranu osobních údajů. Novinkou je i povinnost správce při zpracování, které mů~e zásadním způsobem zasáhnout do práv subjektu údajů (zpracování citlivých údajů, systematické monitorování veřejných prostor atd.), provést před zahájením samotného zpracování tzv. posouzení vlivu na ochranu osobních údajů.

Posouzení vlivu by mělo obsahovat systematický popis zamýalených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů a provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné.

4. Povinnost vést záznamy o zpracování osobních údajů. Dalaí povinností správce je vést dokumentaci o vaech zpracovaných osobních údajích.

Jedná se předevaím o tyto informace: jméno a kontaktní údaje správce, účel/y a rozsah zpracování osobních údajů, informace o (i) příjemcích daných osobních údajů, (ii) předávání údajů do třetích zemí, (iii) lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajiatění bezpečnosti údajů.

Tuto povinnost vaak nebude muset splňovat podnik zaměstnávající méně ne~ 250 zaměstnanců, pokud nebude provádět tzv. rizikové zpracování zasahující záva~ným způsobem do práv a svobod jednotlivců.

5. Povinnost oddělit souhlas od obchodních podmínek / smluvních ujednání. V případě zpracování osobních údajů týkajících se i jiných skutečností (například obchodních podmínek, smluvního ujednání) na základě písemného prohláaení musí být ~ádost o vyjádření souhlasu srozumitelná, jasně odliaitelná a oddělitelná od jiných skutečností v přísluaných dokumentech. Pokud tomu tak nebude, část prohláaení, která nebude v souladu s nařízením, nebude závazná.

Nařízení přináaí správcům a zpracovatelům řadu dalaích povinností, které jsou odvozené od práv subjektu údajů. Právě tato práva nařízení posiluje. Například v souvislosti s právem subjektu údajů být zapomenut" (tj. pokud si subjekt údajů nepřeje, aby jeho osobní údaje byly i nadále zpracovávány, a správci či zpracovateli nesvědčí ~ádný právní titul pro jejich zpracování) budou muset správce nebo zpracovatel tyto osobní údaje vymazat.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.