dnes je 7.12.2024

Input:

Několik postřehů k GDPR

28.5.2017, , Zdroj: Verlag Dashöfer

1.2
Několik postřehů k GDPR

Mgr. David Burian, Mgr. Zuzana Radičová

Téma Obecného nařízení o ochraně osobních údajů, známého pod zkratkou GDPR, poslední dobou rozvířilo diskuze odborné i laické veřejnosti a v různých zdrojích se každý den objevuje celá řada rozličných informací včetně těch, které varují před fatálními následky, které mohou nastat v případě zanedbání povinnosti správců/zpracovatelů osobních údajů zajistit soulad s novou regulací ochrany osobních údajů. Termín účinnosti, který je stanoven na 25. 5. 2018, se neúprosně blíží, proto jsme uznali za vhodné se k některým často zmiňovaným tématům blíže vyjádřit.

Revoluce nebo jen úprava stávajících systémů?

Velmi často se můžeme setkat s tvrzením, že v souvislosti s přijetím nového nařízení se jedná o revoluci v oblasti ochrany osobních údajů a že se od základu vše mění včetně např. rozšíření definice osobních údajů. V následujících řádcích si ve stručnosti ukážeme, že se jedná o tvrzení nadnesené, jehož hlavním cílem je pravděpodobně úmysl některých podnikatelských subjektů vystrašit správce osobních údajů tak, aby využili jejich nabízených služeb.

Základní definice

Co se týče základních zásad pro zpracování osobních údajů, tak fakticky nedošlo k žádným podstatným změnám.

Zpracování musí být nadále prováděno:

  • korektně,

  • zákonným a transparentním způsobem

  • a pro účely, které jsou určité, výslovně vyjádřené a legitimní.

Podobně i většina základních definic, jako správce, zpracovatel či subjekt údajů zůstává proti současné právní úpravě nezměněná. Naopak v definičním ustanovení nařízení se objevuje řada nových pojmů jako např. pseudonymizace, profilování, porušení zabezpečení osobních údajů, závazná podniková pravidla, hlavní provozovna a některé další, přičemž se de facto nejedná o pojmy zcela nové, ale o instituty v praxi již známé a běžně používané.

Definice osobního údaje či zpracování osobních údajů zůstávají v principu rovněž stejné jako doposud. U právních důvodů, na základě kterých je možné osobní údaje zpracovávat, včetně souhlasu, zůstává jejich původní koncept takřka beze změn.

Podobně i práva subjektů údajů jsou zachována, dá se říct upřesněna a zároveň rozšířena o další práva.

Nové povinnosti správců osobních údajů

O určitých změnách můžeme hovořit v případě zavádění nových povinností pro správce, resp. nových nástrojů ochrany osobních údajů, které by měly přispět k dosažení vyšší úrovně ochrany osobních údajů (povinnost vedení záznamů o činnostech zpracování, provádět posouzení vlivu na ochranu osobních údajů, povinnost jmenovat pověřence pro ochranu osobních údajů, povinnost ohlásit porušení zabezpečení osobních údajů dozorovému úřadu případně i dotčeným subjektům údajů nebo povinnost předběžné konzultace).

S úmyslem zavést vyšší standard ochrany osobních údajů souvisí i výslovné zavádění staronových principů ochrany osobních údajů, resp. kladení většího důrazu na jejich uplatnění ze strany správců osobních údajů, neboť se jedná o principy již dnes zohledňované v rámci běžené praxe. (přístup založený na riziku, princip záměrné a standardní ochrany, princip odpovědnosti).

Kodex chování a osvědčení o ochraně osobních údajů

Pro úplnost zmiňme ještě kodexy chování a osvědčení/certifikace o ochraně osobních údajů, což jsou sice instituty v prostředí ČR nové, nicméně v rámci Evropy již mnoho let známé a zavedené. Ostatně podobně jako např. institut pověřenců nebo posuzování vlivu na ochranu osobních údajů.

Takto tedy můžeme ve stručnosti a trochu zjednodušeně vyjmenovat základní změny, které přinesla nová právní úprava ochrany osobních údajů.

Na druhou stranu je ovšem nutno přiznat, že dopady Obecného nařízení na jednotlivé správce/zpracovatele se určitě budou lišit v návaznosti na to, jakým způsobem se správci a zpracovatelé byli schopni vyrovnat s dnes platnými pravidly ochrany osobních údajů, resp. zda jsou v souladu se zákonem o ochraně osobních údajů již nyní. Jinými slovy pro ty podniky, které již dnes postupují podle zákona o ochraně osobních údajů, nebude přechod na Obecné nařízení tak bolestivý a převratný. Naopak pro podniky, které doposud pravidla ochrany osobních údajů zanedbávaly a nevěnovaly jim náležitou pozornost, může být implementace nového nařízení skutečnou revolucí.

Očekávané zvýšení administrativní zátěže

Známé je rovněž tvrzení Evropské komise o tom, že přijetí nového nařízení bude znamenat snížení administrativní zátěže pro podniky a ušetření finančních prostředků, např. tím, že se zruší registrační povinnost a podniky již nebudou muset předem oznamovat zamýšlená zpracování.1 V porovnání se směrnicí či zákonem o ochraně osobních údajů je Obecné nařízení značně rozsáhlejší normou a jednotlivé instituty jsou upraveny mnohem podrobněji. Implementace Obecného nařízení do praxe bude pro každý jednotlivý

Nahrávám...
Nahrávám...