Úřad pro ochranu osobních údajů

Co znamená obecné nařízení o ochraně osobních údajů?

Obecné nařízení o ochraně osobních údajů (dále jen obecné nařízení či GDPR) představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který od 25. května 2018 přímo stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (subjektem údajů jsou pouze fyzické osoby). V českém právním prostředí tak obecné nařízení od 25. května 2018 nahradilo zákon č. 101/2000 Sb., o ochraně osobních údajů.

Charakteristická pro obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (resp. Evropského hospodářského prostoru, tj. i na Islandu, Norsku a Lichtenštejnsku) a tudíž i sjednocující účinek právní úpravy, jelikož jednotná pravidla pro zpracování osobních údajů platí v každém státě EU a ve třech výše vyjmenovaných státech. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí obecného nařízení.

Celý název předpisu je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Anglická zkratka obecného nařízení, se kterou se lze setkat v odborných textech či hovoru, je GDPR (z anglického názvu General Data Protection Regulation).

Proč muselo dojít k revizi právního rámce ochrany osobních údajů?

K revizi bylo přikročeno z toho důvodu, že předchozí právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami let (např. v oblasti profilování, automatizace zpracování osobních údajů atd.) a tudíž je i rizikovější pro práva a svobody fyzických osob. Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích Evropské unie činilo problémy.

Cílem obecného nařízení je tedy přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektů údajů a v neposlední řadě je snahou dosáhnout sjednoceného výkladu obecného nařízení a dozoru jednotlivými dozorovými úřady.

Je obecné nařízení revolucí, tak jak se o něm hovořilo?

V základních bodech obecné nařízení není revolucí, jelikož jde o kontinuitu se zmíněnou Směrnicí 95/46/ES, která jím byla zrušena. Je nutné si uvědomit, že od roku 2000 upravoval zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vycházel ze zmíněné směrnice. Každá organizace již tedy měla zpracovávat osobní údaje podle tohoto zákona. Za revoluci bychom mohli označit pouze přímou použitelnost obecného nařízení, což vyplývá z jeho charakteru, jakožto nařízení Evropské unie.

Obecné nařízení nemění základní zásady zpracování osobních údajů či základní pojmy jako jsou např. osobní údaj, subjekt údajů, správce, zpracovatel či zpracování. Nerozšiřuje ani svoji působnost oproti předchozí právní úpravě. Pro některá zpracování, resp. subjekty, však klade vyšší nároky při zpracování osobních údajů. Typicky jde o velké správce osobních údajů typu bank, telekomunikačních operátorů atd., tj. pro správce, kteří zpracovávají rozsáhlé množství osobních údajů a které je současně ze své podstaty rizikové pro práva a svobody subjektů údajů, tedy fyzických osob, o nichž jsou osobní údaje zpracovávány.

Na druhou stranu pro drobné živnostníky apod., kteří de facto zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě a v takových případech je nutné zejména sledovat dodržování základních zásad zpracování. Zejména pro ně Úřad vytvořil Desatero zpracování pro správce.

S nařízením jsem nikdy nepracoval/a, má nějaké zvláštnosti?

Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují práva a povinnosti. Jistou zvláštností nařízení je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a jsou v některých případech výkladem či do jisté míry důvodovou zprávou k vlastnímu textu nařízení. Je tak vhodné při práci s nařízením sledovat i příslušné recitály.

Dále je nutné vzít v potaz, že celý právní rámec dotváří zákon č. 110/2019 Sb., o zpracování osobních údajů, který adaptuje právní řád na přímo použitelné obecné nařízení a obsahuje i drobné (povolené) odchylky či zvláštní úpravy k obecnému nařízení. Ve vztahu ke zpracování osobních údajů podle obecného nařízení již ale nejde o svébytný zákon, jako byl předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů.

Co se rozumí adaptačním zákonem?

Adaptačním zákonem se rozumí zákon č. 110/2019 Sb., o zpracování osobních údajů. Tento zákon provádí určitá ustanovení obecného nařízení, která směřují k členským státům (zejména postavení a pravomoci Úřadu pro ochranu osobních údajů), dílčím způsobem stanoví některá práva subjektů údajů, věk dítěte pro udělení souhlasu v souvislosti s nabídkou služeb informační společnosti (dovršením 15 let), rozsah povinnosti jmenovat pověřence pro ochranu osobních údajů. Stanoví také použití zásad zpracování a ochrany osobních údajů i na zpracování, na něž se obecné nařízení nevztahuje.

Ve vztahu k obecnému nařízení je jednak nutným „doplňkem“, předvídaným výslovně obecným nařízením, jednak svébytným zákonem pro oblasti obecným nařízením neupravené. Účinností zákona o zpracování osobních údajů ke dni 24. 4. 2019 došlo ke zrušení zákona č. 101/2000 Sb., o ochraně osobních údajů.

Kdo se musí obecným nařízením řídit?

Obecným nařízením se řídí, pokud jde o povinnosti, subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Pokud jde o práva vyplývající z obecného nařízení, ta se vztahují k fyzické osobě, jejíž osobní údaje jsou předmětem zpracování. Dále se obecným nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který uplatňuje svěřené pravomoci za účelem plnění stanovených úkolů.

Musí se obecným nařízením řídit i drobný živnostník nebo malý internetový obchod?

Ano, pokud při jejich činnosti dochází ke zpracování osobních údajů, což z povahy věci zpravidla dochází (nejčastěji osobní údaje zákazníků – fyzických osob, či osobní údaje zaměstnanců nebo obchodních partnerů – fyzických osob). Je však nutné si uvědomit, že obecné nařízení klade vyšší nároky především na subjekty, které zpracovávají osobní údaje ve velkém rozsahu či zvláštní kategorie osobních údajů, resp. pokud jsou osobní údaje hlavním bodem činnosti. To jsou například banky, telekomunikační operátoři, velké nemocnice atd.

Pokud při činnosti určitého subjektu dochází k běžné práci s osobními údaji nezbytnými např. k provedení služby či prodeji výrobku, lze zpravidla konstatovat, že obecné nařízení nepřináší rozdíly oproti předchozímu zákonu č. 101/2000 Sb., o ochraně osobních údajů. U těchto subjektů (malý internetový obchod, živnostník – opravář, mající klientelu z řad fyzických osob), které tedy neprovádí rozsáhlé či rizikové zpracování, je nezbytné zejména dodržovat zásady zpracování osobních údajů. Nutné je především sledovat legitimní účel, pro který byly osobní údaje shromážděny (např. uzavření kupní smlouvy a s tím spojené dodání zboží či poskytnutí služby) a osobní údaje adekvátně zabezpečit. Těmto subjektům lze doporučit Desatero zpracování pro správce.

Na jaké činnosti obecné nařízení nedopadá?

Z působnosti obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz článek 2 odst. 2 písm. c) obecného nařízení], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost. Např. na zpracování osobních údajů pro účely tvorby rodinného rodokmenu se na fyzickou osobu, která tento rodokmen vytváří pro osobní potřebu, nevztahuje obecné nařízení.

Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, musela být provedena vnitrostátním zákonem, kterým je zákon č. 110/2019 Sb., o zpracování osobních údajů.