Jaké zásadní změny přinese GDPR a jak se na něj připravit?
Obecně můžeme říci, že v dnešní době patří právo na ochranu osobních údajů, resp. zpracování těchto informací, mezi jedno z nejdůležitějších právních odvětví v právních systémech vyspělých zemí. Právo na ochranu osobních údajů jako takové můžeme bezpochyby řadit mezi základní lidská práva člověka a efektivní zajištění tohoto institutu je tedy jeden z předních atributů právního státu.
Samotná ochrana osobních údajů by měla být v právním systému zakotvena způsobem, který povede k řádnému a dostatečnému zajištění. Vždyť osobní údaje zhmotňují člověka ve společnosti lidí, přičemž platí, že osobním údajem se rozumí každá informace, kterou lze přímo či nepřímo identifikovat danou fyzickou osobu, čímž nás rozlišují od ostatních a stáváme se takto ve světě jedinečnými.
Pravidla pro zpracování by tak měla být nastavena odpovídajícím a adekvátním způsobem dnešní doby tak, aby nedocházelo ke svévolnému zasahování do tohoto základního práva člověka. Proto došlo k přijetí Obecného nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“, či „GDPR“) ze dne 27.4.2016, které nabyde účinnosti dne 25.5.2018. Dlužno podotknout, že k účinnosti tohoto Nařízení dojde i bez implementace, to znamená, že k provedení naše zákonodárná moc nebude muset přijmout již žádný zákon, a to z toho důvodů, že nařízení je přímo vykonatelné.
Na území České republiky ochranu osobních údajů již zpracovává a upravuje např. Zákon č. 101/2000 Sb., o ochraně osobních údajů (dále jen „Zákon OOU“), vybraná ustanovení Listiny základních práv a svobod, či taktéž Směrnice 95/46/ES, přičemž Zákon OOU a výše zmiňovaná Směrnice budou zrušeny právě s účinností GDPR. Mohlo by se tedy zdát, že účinnost GDPR je jaksi nadbytečná, opak je však pravdou. Nutno podotknout, že Nařízení jako takové představuje velice propracovaný, důmyslný a komplexní systém ochrany osobních údajů při jejich zpracování a přináší tedy mnoho změn, které je třeba v praxi řádně a včas reflektovat.
Co se týče klíčových pojmů, jako je definice osobních údajů či zpracování, ty zůstaly beze změny, obsahově byly zachovány taktéž zásady zpracování osobních údajů, mezi které stále náleží zákonnost, korektnost, transparentnost, omezení účelu, minimalizace údajů, přesnost, omezení uložení a integrita a důvěrnost.
GDPR však přineslo v mnohém řadu změn. Ty nejmarkantnější můžeme spatřovat v odlišném pojetí odpovědnosti správce za zajištění a dokládání souladu zpracování s GDPR, přičemž hlavním trendem, který z Nařízení vyplývá je výrazné posílení ochrany osobních údajů, posílení práv subjektů údajů a správcům a zpracovatelům osobních údajů v souvislosti s tímto tak výrazně přibývají povinnosti. GDPR tedy výrazně posiluje práva subjektů údajů, které se promítnou také například v zakotvení nového práva na přenositelnost. Významný prvek v oblasti zajišťování souladu zpracování s GDPR pro správce je bezesporu institut pověřence pro ochranu osobních údajů, který je pro české správce a zpracovatele novinkou. Dalším podstatným prvkem je řešení tzv. pojetí přístupu založeném na riziku každého daného správce, které reflektuje praxi. To znamená, že se GDPR dotkne každého daného správce jinak, a to v důsledku toho, jakým způsobem, v jakém rozsahu a jak provádí zpracovatelské operace. Nejvíce se tedy nařízení dotkne správců s rozsáhlým zpracováním osobních údajů, kde jsou četnější rizika spojená s narušením práv a svobod fyzických osob. GDPR mimo jiné zavádí více možností, které se týkají předávání osobních údajů do třetích zemí a spolu s nimi upravuje podrobnější podmínky. Posílen je taktéž samotný evropský dohled nad řádným dodržováním souladu s Nařízením, což se odráží například v činnostech vedoucího dozorového úřadu, či taktéž v mechanismu jednotnosti.
Dlužno podotknout, že se GDPR vztahuje nejen na správu osobních údajů v digitální podobě, ale také na fyzické „papírové“ databáze, nejčastěji v podobě různých kartoték či archívů, to znamená, že správci právě i těchto databází nesmí zapomenout, že musí s těmito údaji nakládat v souladu právě s GDPR.
Řada institutů Nařízením zavedená nejsou do dnešního dne zcela vyjasněna. Výklad jednotlivých problematik a praxe se bude postupně po účinnosti GDPR ustalovat. Z toho důvodu byla také zřízena pracovní skupina pro ochranu osobních údajů „WP 29“ (k 25.5.2018 bude přeměněna na „Sbor“), jako nezávislý poradní orgán Evropské komise, která při své činnosti průběžně vydává výkladová stanoviska.
Jsme si vědomi, jakou důležitost hraje efektivní a důkladná připravenost v rámci této problematiky, proto je naše Advokátní kancelář JUDr. Tomáše Vrány vybavena odborníky na tuto právní oblast a jsme připraveni Vám poskytnout komplexní poradenství, jak se vypořádat s GDPR. Připravíme Vaše procesy, systémy a veškerou dokumentaci, včetně zpracování analýz, praktických řešení a realizačních fází, případně dalších potřebných projektů, tak aby byly právně v souladu s GDPR.
Zobrazit všechny blogy