Nové nařízení EU o ochraně osobních údajů. Jak se dotkne České republiky?

Evropská komise, Evropská rada a Evropský parlament schválily na sklonku loňského roku kompromisní znění návrhu nařízení o ochraně osobních údajů. Rada pak uvedenou normu potvrdila 12. února letošního roku dosažením politické dohody o tomto znění. K finálnímu schválení a přijetí nařízení Evropským parlamentem by mělo dojít v prvních měsících roku 2016, v platnost vstoupí na jaře 2018. Nařízení bude závazné a bude mít přímou účinnost ve všech členských státech EU. Ještě předtím se ovšem firmy musejí připravit na to, že je čeká povinnost splnit rozsáhlý soubor požadavků. Podle zástupců advokátní kanceláře Taylor Wessing Praha novela obsahuje jednoznačně pozitivní body k ochraně osobních údajů, ale najdou se v ní i kontroverzní a riziková místa. (TZ)

Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) stanovuje, jaká práva a povinnosti náleží fyzickým osobám, jejichž osobní údaje jsou zpracovávány, a subjektům, které údaje zpracovávají nebo za jejich zpracování odpovídají. Do jisté míry sjednocuje a harmonizuje metody, jejichž účelem je zajistit ochranu soukromí a základních práv osob. Zavádí mnohem přísnější sankce za porušení pravidel, než tomu bylo dosud.

Subjektům v České republice se jistě hodí, že nové evropské obecné nařízení o  ochraně údajů je ve stávající tuzemské legislativě ve velkém měřítku již obsaženo a uplatňováno. V některých případech je evropské nařízení dokonce méně striktní než náš zákon. Český zákon o ochraně osobních údajů například požaduje, aby smlouvy mezi správcem a zpracovatelem osobních údajů byly uzavírány pouze v psané formě. V dnešním technickém světě však takovému požadavku v některých případech nelze vyhovět. Podle nařízení budou moci mít smlouvy se zpracovateli i podobu elektronickou (tj. bez požadavku na elektronický podpis).

Nařízení obecně posiluje práva fyzických osob, jejichž osobní údaje jsou zpracovávány, klade důraz na to, aby subjekty zpracovávající osobní údaje zpracovávali pouze údaje, které skutečně potřebují, aby vynaložili veškerou odbornou péči na eliminaci rizik spojených se zneužitím, neoprávněným přístupem nebo neoprávněným zveřejněním osobních údajů. Dává fyzickým osobám, jejichž údaje jsou zpracovávány, například právo být zapomenut, zejména pokud zpracovávané údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo pokud subjekt údajů odvolal svůj souhlas se zpracováním svých osobních údajů. Toto právo se dá dovodit i ze současného zákona č. 101/2000 Sb., o osobních údajích, ale nařízení toto právo formuluje výslovně a tím mu dává na důležitosti. Dále má subjekt údajů nad rámec současného zákona právo na přenositelnost svých osobních údajů, tj. pokud se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, má subjekt údajů právo získat od správce kopii zpracovávaných údajů elektronicky a ve strukturovaném a běžně používaném formátu, který umožňuje jejich další využití subjektem údajů. Pokud subjekt údajů poskytl osobní údaje a zpracování je založené na souhlasu nebo smlouvě, má subjekt údajů právo přenést tyto osobní údaje a jakékoli jiné informace jím poskytnuté a uchovávané v automatizovaném systém zpracování do jiného systému v běžně používaném elektronickém formátu, aniž by tomu správce, od něhož byly osobní údaje získány, bránil.

„Nařízení přináší několik významných změn. Jednou z nich je povinnost zaměstnavatelů s více než 250 zaměstnanci nebo subjektů, jejichž hlavní činnost správce nebo zpracovatele spočívá ve zpracování osobních údajů (vztahuje se i na pouhá úložiště dat), mít vlastního inspektora ochrany údajů. Důležité změny podle nás spočívají i v povinnosti vést dokumentaci o zpracovávaných údajích a tuto předložit na požádání kontrolnímu orgánu nebo v povinnosti provádět posouzení dopadu na ochranu údajů z hlediska práv a svobod subjektů údajů,“ říká Karin Pomaizlová, partnerka právnické kanceláře Taylor Wessing Praha. „V neposlední řadě jsme znepokojeni odpovědností uloženou správcům údajů podle článku 7 paragrafu 4 tohoto nařízení, kde souhlas nevytváří právní základ ke zpracování údajů, panuje-li mezi osobou poskytující své údaje a jejich správcem významná nerovnováha. To představuje nejistotu v  praxi a znamená to, že správci si nemohou být jisti, že konají v souladu s právními předpisy pro zpracování dat, a to dokonce i přesto, že jim k tomu dotyčná osoba udělila souhlas,“ dodává Pomaizlová.

Největší slabinu evropského obecného nařízení o ochraně údajů kancelář vidí v poskytnutí přílišných pravomocí Evropské komisi při stanovování prováděcích aktů a standardizaci formulářů, což může zvýšit administrativní zátěž a náklady spojené se zpracováním dat. Určité problémy se mohou objevit i při interpretaci a nepřesném výkladu abstraktních právních termínů, což je i případ zmíněné relativizace souhlasu dat podle článku 7 paragrafu 4 nařízení. Za zásadní zatížení správců osobních údajů dále právníci z Taylor Wessing považují celý článek 33 o posouzení dopadů na ochranu údajů, protože podle nich zvyšuje riziko odpovědnosti na straně správců a inspektorů ochrany údajů.

„Nařízení stanovuje i velmi přísné sankce pro správce nebo zpracovatele údajů. V případě porušení pravidel pro ochranu údajů mohou správci nebo zpracovatelé nově čelit pokutám do výše 20 milionů eur nebo 4 % z celkového ročního obratu,“ říká Karin Pomaizlová. Bohužel ani vysoké pokuty nezaručí plnou ochranu soukromí fyzických osob, protože nařízení dopadá pouze na subjekty, které spadají do pravomoci evropských kontrolních orgánů. Ve světě internetu je pak stále zapotřebí, aby každý pečlivě zvažoval, komu sděluje své osobní údaje, protože dodržování nařízení nebude možné vymáhat po subjektech, které jsou etablovány mimo území EU anebo dokonce svou identitu skrývají.