Kdo se bude muset Obecným nařízením řídit?
GDPR se vztahuje na všechny subjekty, bez ohledu na právní formu, které vlastní a zpracovávají osobní a citlivé údaje občanů EU. Obecné nařízení definuje tyto základní role: správce osobních údajů, zpracovatel osobních údajů a subjekt údajů.
- Správce osobních údajů je subjekt, který určuje účel a způsob zpracování osobních údajů a je odpovědný za jejich shromažďování, zpracování a uchování.
- Zpracovatel je subjekt, který pro správce osobní údaje zpracovává.
- Subjekt údajů je fyzická osoba, jejíž údaje jsou zpracovány.
Dále se Nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.
GDPR se nevztahuje na zpracování osobních údajů fyzickými osobami pro osobní použití.
Kdy – aneb co znamená datum použitelnosti Obecného nařízení?
Použitelnost znamená účinnost obecného nařízení, tedy datum, od kdy se Nařízení začne používat neboli aplikovat a samozřejmě je to i datum, odkdy jsou povinnosti Nařízením stanovené vymahatelné.
Byť je Obecné nařízení v současné době platné, není ještě účinné (použitelné), tj. prošlo již legislativním procesem, je to tudíž schválený platný dokument, ale jeho účinnost nastane až 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů budou řídit Obecným nařízením o ochraně osobních údajů.
Nyní běží čas pro správce a zpracovatele, aby uvedli ke dni použitelnosti Obecného nařízení svá zpracování osobních údajů do souladu s Obecným nařízením.
Proč muselo dojít k revizi právního rámce ochrany osobních údajů?
K revizi bylo přikročeno z toho důvodu, že současný právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami let (např. v oblasti profilování, automatizace zpracování osobních údajů atd.). Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích činilo problémy. Charakteristická pro Obecné nařízení je jeho univerzální použitelnost ve všech státech Evropského hospodářského prostoru a tudíž i sjednocující účinek. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí Obecného nařízení.
Shrnuto a sečteno: cílem Obecného nařízení je přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektu údajů a v neposlední řadě je snahou dosáhnout sjednoceného výkladu Obecného nařízení a dozoru jednotlivými dozorovými úřady.
Přehlednou infografiku s vysvětlením hlavních oblastí nového zákona o ochraně osobních údajů najdete na stránkách komise EU zde.
S nařízením jsem nikdy nepracoval, jak se liší od zákona?
Nařízení EU jsou pro členské státy závazná a přímo použitelná, není proto třeba je do právního řádu členského státu transponovat. Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují práva a povinnosti. Jistou zvláštností nařízení oproti zákonu je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a tato ustanovení jsou v některých případech výkladem GDPR či do jisté míry důvodovou zprávou k některým ustanovením vlastního textu nařízení. Je tak vhodné při práci s nařízením sledovat i jednotlivé recitály, které se týkají konkrétního článku či institutu nařízení. Dále je nutné vzít v potaz, že celý právní rámec bude dotvářet adaptační zákon, kterým bude novelizovaný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů a který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k Obecnému nařízení. Kompletní právní rámec ochrany osobních údajů tak bude tvořen Obecným nařízením a adaptovaným zákonem o ochraně osobních údajů.
Co bude se současným zákonem o ochraně osobních údajů?
Jelikož Obecné nařízení stanovuje práva a povinnosti při zpracování osobních údajů, v tomto rozsahu zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů nahrazuje. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení o ochraně osobních údajů. Zákon o ochraně osobních údajů po jeho novele bude upravovat již jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.
Na jaké činnosti Obecné nařízení nedopadá?
Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz GDPR článek 2 odst. 2 písm. c)], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.
Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, je nutné její provedení, které bude vesměs v zákoně č. 273/2008 Sb., o Policii České republiky a též i v novelizovaném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
Co je GDPR ready, jak být v souladu s GDPR?
Proces dosažení souladu s požadavky GDPR má několik fázá. Nejprve je nutné zjistit, s jakými osobními daty subjekt pracuje a jaké povinnosti ve vztahu k nim z GDPR plynou. Dalším krokem je provedení detailní analýzy procesů subjektu s cílem zjištění skutečného stavu toho, jak je s osobními daty nakládáno. Následuje fáze přijetí nutných opatření. Tyto změny se promítnou nejen do většiny informačních systémů subjektu, ale také do nastavení procesů a do řídicí dokumentace.
Vzhledem k tomu, že se jedná o komplexní proces, doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit. Možnosti vyhodnocení vaší situace, nabízené služby a návody na řešení GDPR zde, GDPR certifikace zde.
Mohlo by vás zajímat
zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017
