29.03.2017

Ochrana osobních údajů a informační systémy

Evropská unie přijala obecné nařízení o ochraně osobních údajů, které mnoho povinností v oblasti ochrany osobních údajů upřesňuje nebo rozšiřuje. Účinnosti nabyde 25. května 2018. Přinášíme přehled zásadních změn.

 Evropská unie přijala obecné nařízení o ochraně osobních údajů, které mnoho povinností v oblasti ochrany osobních údajů upřesňuje nebo rozšiřuje. Nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „Nařízení“) nabyde účinnosti 25. května 2018. Je přímo účinné, transpozice do národních zákonů není potřebná, jde tedy o bezprostředně aplikovatelný právní předpis.  Nařízení svojí povahou zavádí jednotný režim pro všechny členské státy. Významnou úlohu v této oblasti, na úrovni EU, bude mít nově vzniklý Sbor pro ochranu osobních údajů, který bude vydávat pokyny, doporučení a předávat osvědčené postupy.

 

Rozšíření osobních údajů, které budou chráněny

Zásady ochrany osobních údajů se vztahují na všechny informace, na základě kterých, lze určitou osobu identifikovat přímo nebo nepřímo. Mezi chráněné osobní údaje tedy budou náležet např. jméno, identifikační číslo, lokační údaje, síťový identifikátor např. IP adresa, cookies nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, kulturní nebo společenské identity fyzické osoby.  

Zvláštní kategorii představují údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci. Při zpracování těchto údajů budou kladeny vyšší nároky na formu a zachycení souhlasu než u zpracování ostatních údajů. Nařízení totiž žádným způsobem nedefinuje „výslovný souhlas“.

 

Správce, zpracovatel osobních údajů a nové povinnosti v rámci informačních systémů

Všechny veřejnoprávní (i soukromoprávní) subjekty, při jejichž činnosti dochází k nakládání s osobními údaji musí do dvou let přizpůsobit svoje informační systémy tak, aby vyhovovaly novým požadavkům na ochranu osobních údajů. Tento požadavek dopadá stejně jak na zpracování osobních údajů v přenesené působnosti, tak i samostatné působnosti. Mnoho stávajících povinností v oblasti ochrany osobních údajů, bylo změněno a přibyly k nim nové povinnosti, které především posilují práva subjektů údajů a jeho postavení vůči správcům osobních údajů. Rozšiřují se nástroje vedoucí k větší odpovědnosti správce např. posouzení vlivu na ochranu osobních údajů, vytváření etických kodexů, stanovení závazných politik v oblasti ochrany osobních údajů, jmenování pověřence pro ochranu osobních údajů, povinnost poskytnout informace subjektu údajů. Mezi informace, které správce povinně poskytne náleží zejména identifikační a kontaktní údaje, včetně kontaktu na pověřence pro ochranu osobních údajů, účely zpracování a právní základ pro zpracování údajů, případné příjemce a případný úmysl správce předat osobní údaje do třetí země. Nejdůležitější však je informování subjektu údajů o tom, že svůj souhlas může kdykoli odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.

 

Práva subjektů údajů

V případě, kdy si fyzická osoba nepřeje, aby byly její osobní údaje dále zpracovávány, je v nařízení stanoveno, její právo „být zapomenut“, což znamená, že správce, který osobní údaje zveřejnil musí informovat další správce, kteří tyto údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či jejich kopie nebo replikace. Plnění této povinnosti bude velmi složité a nákladné. Nařízení také zakotvuje právo na přenositelnost údajů, čímž se má zajistit snadnější převádění osobních údajů mezi různými poskytovateli služeb. Subjekt údajů má také právo být informován o neoprávněném přístupu ke svým údajům. Tato práva budou muset správci nejen zajistit, ale i doložit. Nařízení také ukládá správcům povinnost přijmout vhodná technická a organizační opatření, aby byla zajištěna úroveň ochrany osobních údajů.

 

Pověřenec pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů (dále jen „Pověřenec“) plní funkci koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a současně plní funkci „styčného důstojníka“ pro komunikaci s dozorovými úřady. Nařízení stanoví povinnost jmenovat pověřence. Zpracovatel může toto místo obsadit svým zaměstnancem nebo externě spolupracující osobou. Úkolem pověřence je mj. sledování souladu vnitřní praxe s právní úpravou ochrany osobních údajů. Zpracovateli také vyplývá povinnost zajistit pověřenci zdroje nezbytné k plnění jeho úkolů např. odpovídající finanční ohodnocení. Kvalifikace pověřence není v nařízení blíže specifikována.

Sankce za porušení povinností uložených nařízením je stanovena až do výše 20 000 000 EUR, pokud se bude jednat o podnik až do výše 4% celkového ročního obratu celosvětově za předchozí rozpočtový rok. 

 

Mgr. Miroslava Sobková
Legislativně právní sekce