Mgr. Barbora Šichová - Advokátní kancelář
Právní novinky

GDPR

21.2.2018 | Archiv právních novinek

Od 25.5.2018 vstoupí v účinnost Obecné nařízení o ochraně osobních údajů, které je známo také pod zkratkou GDPR. Celý název je Nařízení evropského parlamentu a Rady (EU) 2016/679 ze dne 27.4.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 65/46/ES (dále jen „Obecné nařízení“).

Obecné nařízení nahradí v ČR současnou právní úpravu ochrany osobních údajů, která je nyní obsažena ve směrnici 95/46/ES a souvisejícím zákoně č. 101/2000 Sb., o ochraně osobních údajů, v platném znění. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou tedy nahrazeny právy a povinnostmi vyplývajícími z Obecného nařízení.

Obecným nařízením se bude především, pokud jde o povinnosti, řídit subjekt, který provádí zpracování osobních údajů a který je nazýván správcem osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Subjektem ochrany dle Obecného nařízení jsou fyzické osoby, jejichž osobní údaje se zpracovávají.

Jaké nové povinnosti GDPR přináší? Je nutné zdůraznit, že základní principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly v Obecném nařízení pouze detailněji rozpracovány a zpřesněny (např. nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů apod.). Obecné nařízení tyto již existující povinnosti doplňuje o dodatečné nové povinnosti správců osobních údajů, jako např. povinnost vést záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů, předchozí konzultace, ohlašování případu porušení zabezpečení osobních údajů subjektu údajů, ustanovení pověřence pro ochranu osobních údajů.

Většina povinností dle Obecného nařízení se však bude týkat pouze těch správců (subjektů), které mají více než 250 zaměstnanců nebo pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, účelům zpracování, bude představovat vysoké riziko pro práva a povinnosti fyzických osob, dále pokud toto zpracovávání není příležitostné nebo pokud toto zpracovávání zahrnuje tzv. zvláštní kategorii osobních údajů - tzv. citlivé údaje.

GDPR se tedy dotkne zejména bankovních institucí, nemocnic, subjektů veřejné správy nebo e-shopů či větších firem, které budou muset upravit způsob zpracovávání osobních údajů. V případě závažného porušení povinností v oblasti ochrany osobních údajů, které stanoví Obecné nařízení, pak budou těmto subjektům jakožto správcům osobních údajů hrozit vysoké pokuty.