Stručný výklad GDPR – kdy, proč a jak

Přinášíme vám kompletní český text nového zákona i s aktuálním výkladem GDPR regulátora. Obecné nařízení představuje nový právní rámec ochrany osobních údajů v evropském prostoru, které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak Obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, resp. zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny či je jím umožněno je upravit na vnitrostátní úrovni (nebo dokonce i stanoveno, že mají být upraveny).

Charakteristická pro Obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a tudíž i sjednocující účinek, jelikož jednotná pravidla pro zpracování osobních údajů budou platit v každém státě EU a třech vyjmenovaných. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí Obecného nařízení.

Celý název je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).

Anglická zkratka Obecného nařízení, se kterou se lze setkat v odborných textech či hovoru, je nařízení GDPR (General Data Protection Regulation).

Proč muselo dojít k revizi právního rámce ochrany osobních údajů?

K revizi bylo přikročeno z toho důvodu, že současný právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami lety (např. v oblasti profilování, automatizace zpracování osobních údajů atd.). Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích činilo problémy.

Cílem Obecného nařízení je přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektu údajů a v neposlední řadě je snahou dosáhnout sjednoceného výkladu Obecného nařízení a dozoru jednotlivými dozorovými úřady.

S nařízením jsem nikdy nepracoval, má nějaké zvláštnosti?

Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují povinnosti a práva. Jistou zvláštností nařízení oproti zákonu je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a tato ustanovení jsou v některých případech výklad GDPR či do jisté míry důvodovou zprávou k některým ustanovením vlastního textu nařízení. Je tak vhodné při práci s nařízením sledovat i jednotlivé recitály, které se např. týkají konkrétního článku či institutu nařízení. Dále je nutné vzít v potaz, že celý právní rámec bude dotvářet adaptační zákon, kterým bude novelizovaný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů a který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k Obecnému nařízení.  Kompletní právní rámec ochrany osobních údajů tak bude tvořen Obecným nařízením a adaptovaným zákonem o ochraně osobních údajů.

Co znamená datum použitelnosti Obecného nařízení?

Použitelnost znamená jinými slovy účinnost Obecného nařízení, tedy datum, od kdy se Obecné nařízení začne používat neboli aplikovat.

Byť je Obecné nařízení v současné době platné, není ještě účinné (použitelné), tj. prošlo již legislativním procesem, je to tudíž schválený platný dokument, ale jeho účinnost nastane až 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů budou řídit Obecným nařízením.

Nyní běží čas pro správce a zpracovatele, aby uvedli ke dni použitelnosti Obecného nařízení svá zpracování osobních údajů do souladu s Obecným nařízením.

Co bude se současným zákonem o ochraně osobních údajů?

Jelikož Obecné nařízení stanovuje práva a povinnosti při zpracování osobních údajů, v tomto rozsahu zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů nahrazuje. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

Kdo se bude muset Obecným nařízením řídit?

Obecným nařízením se bude především, pokud jde o povinnosti, řídit subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správce osobních údajů GDPR.  Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Pokud jde o práva vyplývající z Obecného nařízení, ta vyplývají fyzické osobě, což je subjekt údajů. Dále se Obecným nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.

Na jaké činnosti Obecné nařízení nedopadá?

Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz GDPR článek 2 odst. 2 písm. c)], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.

Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, je nutné její provedení, které bude vesměs v zákoně č. 273/2008 Sb., o Policii České republiky a též i v novelizovaném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.


Viz také:


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017