Vše, co potřebujete vědět o GDPR

Před třemi lety vešlo v účinnost nové nařízení Evropské unie, které je známé jako GDPR. Nové nařízení si klade za cíl sjednocení národních úprav a zákonného práva na celém území Evropské unie. Díky tomuto sjednocení se usnadnil přeshraniční pohyb služeb a zboží mezi jednotlivými členskými státy. Nový právní rámec posílil práva občanů v celé Evropské unii proti neoprávněnému zacházení s jejich daty včetně osobních údajů.

Co je to GDPR

GDPR je zkratka anglického názvu General Data Protection Regulation a znamená obecné nařízení na ochranu osobních údajů. Bylo přijato v dubnu 2016 a v účinnost vešlo 25. května 2018. Jde o nařízení Evropské unie (tedy právní akt), které nebylo nutno přenášet do národního práva, přičemž některé části byly ponechány v pravomoci jednotlivých členských států. Ve své podstatě se jedná o právní rámec pro větší ochranu osobních údajů občanů EU, který zavádí celkem přísné pokuty a přináší také nový institut kontrolní funkce Pověřence pro ochranu osobních údajů. GDPR se dotklo prakticky každého, kdo shromažďuje a uchovává osobní data uživatelů, jako jsou právnické osoby, státní instituce nebo jednotlivci. Nařízení výrazně reguluje online služby a reaguje tak na rozvoj znalostní společnosti a rozšíření internetu, především pak na fakt, že se náš život přesunul online. Též přináší ochranu digitálních práv občanů. 

Co je to osobní údaj

Z pohledu práva zůstává definice osobního údaje de facto nezměněná. Pod tímto termínem se rozumí veškeré informace, které mohou vést k identifikaci fyzické osoby. Může to být například:

• jméno, pohlaví, věk, datum narození, adresa, telefon,
• fotografie,
• IP adresa, email,
• osobní stav,
• identifikační údaje vydané státem (IČO, DIČ, číslo OP, RČ a další),
• etnický a rasový původ, politické názory, náboženství, sexuální orientace,
• zdravotní stav, genetické a biometrické údaje,
• osobní údaje vašich dětí,
• další informace.

GDPR dále rozlišuje osobní a citlivé údaje. Do první skupiny spadá typicky jméno, pohlaví, věk, datum narození, osobní stav nebo IP adresa. Za citlivé údaje jsou pak považovány náboženské vyznání, politické názory, genetické a biometrické údaje nebo osobní údaje Vašich dětí. Citlivé údaje podléhají mnohem přísnějšímu režimu. Naopak některé údaje byly z nařízení vyjmuty. Týká se to informací o zemřelých, nebo údajů, jež získala fyzická osoba při činnosti osobní povahy (tzn. činnosti nemající obchodní nebo institucionální charakter). Příkladem z praxe jsou třeba telefonní čísla ve Vašem mobilu. Pakliže své telefonní kontakty používáte jen pro osobní potřebu, GDPR se na ně nevztahuje. 

Legislativa

Ochrana osobních údajů není v České republice novým tématem. Do příchodu GDPR ji upravoval zákon č. 101/2000 Sb., o ochraně osobních údajů a v případě orgánů veřejné moci i zákon  č. 365/2000 Sb., o informačních systémech veřejné správy. V Evropské unii se pak jednalo o směrnici 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. GDPR tedy nepřinesl zásadní změny, ale pouze vylepšil současný stav. Novinkou je například právo subjektu údajů na přenositelnost osobních údajů nebo zavedení institutu pověřence pro ochranu osobních údajů. Obecné nařízení o ochraně osobních údajů je přímo použitelné, tedy má přímé účinky na území České republiky a nemusí být do českého právního řádu převedeno zákonem.

Pověřenec pro ochranu osobních údajů

Součástí právního rámce, který GDPR přináší, je jmenování tzv. pověřence pro ochranu osobních údajů (zkratka DPO neboli Data Protection Officer). Mezi jeho hlavní úkoly patří monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat. Nařízení jasně nedefinuje, jakou kvalifikaci a kompetence má DPO mít, avšak předpokládá se, že to bude osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci mohou být zaměstnanci správce, nebo se může jednat o externě poskytovanou službu. Subjekt má povinnost DPO jmenovat v následujících případech: 

• zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
• hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Na co má občan v rámci GDPR právo

General Data Protection Regulation neukládá jen povinnosti subjektům, jak shromažďovat a uchovávat osobní údaje, ale také rozšiřuje práva občanů. Na co všechno má tedy občan v rámci GDPR právo? Jsou to zejména následující body:

• Občan může požádat o přístup ke shromažďovaným údajům o své osobě. Přístup musí být zajištěn nejlépe přímo a online.
• Občan má právo být informován o tom, za jakým účelem se jeho osobní údaje zpracovávají.
• Občan má právo na vymazání údajů o své osobě.
• Občan má právo být zapomenut, pokud už není důvod pro uchovávání jeho osobních údajů.
• Pokud bude porušena bezpečnost uchovávání údajů, platí povinnost informovat občana, kterého se to týká.
• Všechna uvedená práva platí ve všech členských státech Evropské unie.

Sankce za porušení

Jedním z cílů, které si nařízení klade je větší vymahatelnost práva na území EU. Proto stanovuje astronomické pokuty za porušení. Ty jsou mnohem vyšší než pokuty za porušení ochrany osobních údajů, které byly platné před zavedením GDPR. Maximální výše pokuty je tak stanovena na 20 miliónů €, nebo 4 % z ročního obratu společnosti, přičemž platí ta vyšší z obou možností. Tyto sankce tak mohou být likvidační, zejména pro menší podniky. Výše pokuty se bude odvíjet od řady faktorů. Zohlední se například závažnost porušení, počet poškozených osobních práv občanů, míra škody nebo také to, jaké byly podniknuty kroky pro zmírnění a zamezení škod. Kromě pokut, které udělují orgány zodpovědné za dohled nad ochranou osobních údajů, budou podnikatelé vystaveni i žalobám, jež mohou podat fyzické osoby při porušení osobních práv, které jim garantuje nařízení GDPR. Při porušení nařízení nečeká organizace jen sankce. Další finanční prostředky musí vynaložit na dodatečná opatření tak, aby splňovala požadavky GDPR.