14 hlavních změn v předpisech na ochranu soukromí

1. Přenositelnost osobních údajů

Obecné nařízení o ochraně osobních údajů posiluje práva fyzických osob dohlížet na své osobní údaje. Jedním z nejvýraznějších příkladů je nové právo udělené fyzickým osobám, a to právo na přenositelnost osobních údajů. Konkrétně jde o to, že fyzická osoba má právo přenášet své osobní údaje z jedné organizace do druhé (proto termín „přenositelnost“). Osobní údaje musí být fyzickým osobám poskytovány ve strukturovaném, běžně používaném a strojově čitelném formátu. Předpisy také stanovují, že pokud je to technicky možné, měly by organizace na žádost fyzických osob usnadnit elektronické předání osobních údajů ostatním organizacím.

Dopady tohoto předpisu by mohly být veliké. Otázkou ale je, co to pro podnik bude znamenat, když jej klient bude moci požádat o kopii veškerých jeho osobních údajů, které si posléze odnese ke konkurenci. A současně, jestli firma bude schopna poskytnout fyzickým osobám kopii jejich osobních údajů. Zvládnou tohle podnikové systémy?

2. Oznámení o porušení zabezpečení osobních údajů

Všechny organizace, které zpracovávají osobní údaje, musí zajistit jejich řádné zabezpečení proti ztrátě, zcizení, neoprávněnému přístupu, atd. Zabezpečení osobních údajů je prostě velmi důležité. Obecné nařízení o ochraně osobních údajů proto obsahuje ustanovení o ohlašování porušení zabezpečení osobních údajů. Dle tohoto pravidla je nezbytné ohlásit porušení zabezpečení osobních údajů dozorovému úřadu, a to do 72 hodin. Pokud je pravděpodobné, že takové porušení zabezpečení bude mít za následek vysoké riziko ohrožení soukromí fyzických osob, měly by být o porušení zabezpečení informovány také dotčené fyzické osoby.

Věděli jste o tom, že stejné pravidlo platilo už dříve například v Nizozemí, kde bylo běžnou součástí legislativy? Od nynějška navíc v celé Evropě.

3. Evidence

Zákonodárci dostáli svému slibu o odstranění byrokratičnosti a zrušili povinnost informovat místně příslušné orgány o zpracování osobních údajů. Tato povinnost byla dlouho vnímána jako složitá a byrokratická, protože zatěžovala zejména organizace fungující ve více zemích. Namísto tohoto pravidla bylo však zavedeno pravidlo jiné, podle nějž organizace nyní musejí vést záznamy o činnostech zpracování osobních údajů, za které nesou odpovědnost. Zjednodušeně řečeno: Organizace jsou tedy povinny vést evidenci o všech zpracovávaných osobních údajích, přičemž byl popsán minimální rozsah informací, které by evidence měla obsahovat.

Nezapomeňte, že se nejedná pouze o druh dat, které určitá organizace zpracovává. Tyto informace by například měly obsahovat účel zpracování, informaci o tom, zda jsou osobní data exportována i údaje, které třetí strany je získávají.

4. Záměrná a standardní ochrana osobních údajů

Obecné nařízení řeší záměrnou i standardní ochranu osobních údajů. V zásadě to znamená, že při návrhu nového systému, procesu či služby, v rámci nichž dochází ke zpracování osobních údajů, vzniká povinnost brát v úvahu také otázky ochrany osobních údajů, a to již od rané fáze procesu navrhování. Navíc musí být organizace schopny dokázat, že tuto povinnost zohlednily. Dále to znamená, že pokud navrhovaný systém, proces či služba dá fyzické osobě na výběr, do jaké míry bude své osobní údaje sdílet s ostatními, je standardní nastavení považováno za nejvhodnější z hlediska ochrany soukromí, protože zahrnuje možnost nesdílet žádné osobní informace.

Důležité: Standardní ochrana údajů také obsahuje zásady minimalizace údajů.

5. Rozšířená místní působnost

Zajímavé je také hledisko místní působnosti, podle nějž se Obecné nařízení o ochraně osobních údajů (a tudíž právní předpisy EU o ochraně soukromí) vztahují také na organizace, jejichž sídlo se nenachází v EU, ale které nabízejí zboží či služby nebo sledují chování subjektů údajů v Evropské unii. Znamená to tedy, že organizace, které cílí na občany EU prostřednictvím internetu v podobě služeb, zboží či za účelem monitorování, musí dodržovat předpisy EU o ochraně osobních údajů těchto občanů.

Způsobí právě tohle zajímavý precedens v případech, kdy předpisy sledují údaje, namísto toho, aby řešily pouze místní hledisko?

6. Zpracovatelé

Pro zpracovatele osobních údajů (kteří zpracovávají osobní údaje pro jinou organizaci) přinese Obecné nařízení do budoucna významné změny. Zatímco doposud celé zatížení vyplývající z povinnosti dodržování předpisů na ochranu soukromí spadalo na správce (tzn. klienty), nyní vznikají také povinnosti pro samotné zpracovatele. Tyto zákonné předpisy stanovují přímo povinnost také pro zpracovatele, kteří rovněž nesou odpovědnost. Mezi některé nové povinnosti patří také to, že zpracovatel musí jmenovat pověřence po ochranu osobních údajů a vést záznamy o veškerých činnostech zpracování vykonávaných pro klienty. Dohledové orgány se navíc na zpracovatele mohou obracet s dotazy a žádostmi přímo.

Co se změní? Očekává se, že to bude mít za následek změnu v poměru pravomocí mezi správci a zpracovateli a že tento poměr bude nyní více vyrovnaný.

7. Právo být zapomenut

Dalším právem subjektů údajů, které budilo značnou pozornost již v minulých letech, je právo být zapomenut. Právo subjektu údajů na výmaz osobních údajů již existovalo ve stávající Směrnici o ochraně osobních údajů a GDPR jej ještě posiluje. Podle nové legislativy jsou všechny organizace zpracovávající osobní údaje povinny veškeré údaje vymazat, pokud dojde ke splnění jedné (ze šesti) podmínek. V seznamu těchto podmínek jsou uvedeny případy, kdy je jasné, že ke zpracování osobních údajů došlo nezákonně a kdy subjekt údajů stáhne dříve poskytnutý souhlas se zpracováním.

Toto „nové” právo vzbudilo velkou pozornost hlavně díky soudnímu sporu mezi společnosti Google a Španělskem, ve kterém Soudní dvůr Evropské unie rozhodl v souladu s touto novou povinností.

8. Posouzení vlivu na ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů zavádí institut posuzování vlivu na ochranu osobních údajů (DPIA) jako prostředek k identifikaci závažných rizik porušení práv fyzických osob na soukromí vznikajících při zpracování osobních údajů. V případě identifikace takových rizik GDPR předpokládá, že daná organizace stanoví opatření, která se těmito riziky budou zabývat. K takovému posouzení by mělo dojít před začátkem zpracovávání osobních údajů a mělo by se zaměřovat na otázky jako systematický popis činnosti zpracovávání či nutnost a přiměřenost postupů zpracování. Protože se povinnost posouzení vlivu na ochranu osobních údajů (DPIA) podobá povinnosti posuzování dopadu na soukromí (PIA), mnoho organizací tak tuto povinnost již pravidelně plní. Ovšem obsah povinnosti posuzovat dopad na soukromí (PIA) nebyl nikdy přesně stanoven, takže nová právní úprava zajistní sjednocené podmínky posuzování.

9. Bezpečnost

Nutnost přijmout řádná opatření k zajištění bezpečnosti informací s cílem zajistit důvěrnost, správnost, dostupnost a odolnost systémů a služeb na zpracování údajů byla vždy součástí právních předpisů o ochraně soukromí. GDPR však nově prosazuje pseudonymizaci a šifrování osobních údajů. Tato bezpečnostní opatření jsou považována za významná, takže byla konkrétně vyjmenována ve znění tohoto předpisu. Dále se zdůrazňuje, že zabezpečení by mělo vycházet z posouzení rizik, ovšem ne rizik, kterým čelí organizace samotná, ale rizik týkajících se práv a svobod fyzických osob, tedy rizik narušení soukromí určité fyzické osoby.

10. Odpovědnost a správa dat

Legislativa EU o ochraně dat vždy vycházela z několika zásad, které je nutno dodržovat. Dobře známým příkladem těchto zásad je například zákonnost, korektnost, účelové omezení a transparentnost. GDPR však zavádí zásadu novou, a tou je odpovědnost. Organizace tedy nebudou odpovědné pouze za dodržování všech zásad, ale musí být rovněž schopny jejich plnění dokázat. Pro většinu organizací to tedy znamená, že budou muset zkvalitnit své interní systémy ochrany soukromí, a to nejen z důvodu této nové zásady odpovědnosti, ale také proto, že to od moderních organizací veřejnost očekává.

11. Sankce

Jedním z nejdiskutovanějších aspektů GDPR je určitě explicitní uvedení sankcí. Zatímco Směrnice o ochraně dat pouze v jednom řádku uváděla, že sankce si musí stanovit jednotlivé členské země, Obecné nařízení přesně uvádí, že za porušení ustanovení Obecného nařízení mohou být uděleny správní pokuty. Maximální výše pokut závisí na „kategorii”, které se porušení týká: za méně závažná porušení hrozí pokuta v maximální výši 10 mil. eur nebo 2 % z celkového celosvětového obratu za předešlý rok (podle toho, která částka je vyšší). U závažnějších přestupků se výše pokuty pohybuje až do 20 mil. eur nebo 4 % celkového celosvětového obratu.

12. Jediné kontaktní místo

Jako částečná úleva pro organizace fungující v celé EU bude na straně dozorových úřadů v Evropě zřízen mechanismus s „jediným kontaktním místem“. GDPR zavádí systém spolupráce mezi dozorovými úřady. Vedoucím dozorovým úřadem by tak měl být dozorový úřad členského státu, v němž má správce či zpracovatel svou hlavní provozovnu. Vedoucí dozorový úřad bude primárním úřadem, s nímž organizace budou přicházet do styku, ovšem příležitostně mohou zasáhnout také místně příslušné orgány. Tyto orgány mezi sebou vzájemně musí spolupracovat, ovšem bude zajímavé sledovat fungování této spolupráce v praxi.

13. Schválený mechanismus pro vydávání osvědčení

Podle potvrzení ze strany zákonodárců budou mít výhodu mnohé organizace, které jsou schopny své plnění GDPR doložit. Za tímto účelem dochází k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a dále k vydávání razítek a známek dokládajících ochranu dat. Obecné nařízení dokonce zmiňuje možnost zavedení společného evropského razítka dokládajícího ochranu údajů. GDPR k tomuto tématu v současnosti mnoho podrobností neuvádí, lze očekávat, že se tento mechanismus na doložení plnění povinností v příštích letech dále vyvine.

14. Odlišnost místní úpravy

Je nutno podotknout, že GDPR je nařízením, a nikoli směrnicí. Zatímco tedy Směrnice 95/46/ES byla transponována do místních legislativ jednotlivých zemí Evropské unie, Obecné nařízení o ochraně osobních údajů začne platit okamžitě, což je praxe platná pro nařízení. To bude úlevou pro mnohé organizace, které jsou činné v několika zemích EU najednou, protože nutnost sledovat a splňovat legislativu o ochraně údajů v jednotlivých členských zemích, která se může v detailech lišit, může být neskutečná zátěž z právního i provozního hlediska. Upozorňujeme však, že v GDPR zákonodárci místním vládám poskytli možnost jednotlivá ustanovení přidávat či upravovat, aby vyhovovala jejich místním potřebám ochrany údajů. Názory na to, do jaké míry a kým by osobní údaje fyzických osob měly být chráněny, významně závisí na dané kultuře. Dokonce i v EU se tyto názory mezi jednotlivými zeměmi široce různí. Očekává se, že mnoho vlád svou legislativu upraví v souladu s místními kulturními zvyky a názory.