Změny, které GDPR přináší
Co nám vlastně Nařízení přináší nového? Vysloveně úplných novinek není mnoho. Navzdory všemu, co bylo v mediích uvedeno, čím strašili právníci, obchodní zástupci a různí vykutálenci, většina pravidel, která GDPR zavádí, u nás již byla zakotvena v zákoně č. 101/2000 Sb., o ochraně osobních údajů. To, že existence tohoto zákona byla brána na vědomí, ale realizace v praxi se poněkud podcenila, je už věc druhá.
Podstatným rysem Nařízení je plošná a hlavně rovnocenná vymahatelnost v rámci celé EU a s tím spojené sjednocení dozoru a úzká spolupráce jednotlivých národních dozorových orgánů. Nařízení se týká i nadnárodních společností, které v EU sídlo nemají, ale provozují zde své aktivity. Takže konečně budeme mít páku na některé výtečníky, kteří si dosud s našimi osobními údaji příliš hlavu nelámali, protože převážně kvůli nim je zaveden tak vysoký strop pokut.
GDPR pro nás znamená vyšší administrativní zátěž z důvodu požadavku vedení dokumentace. O každém zpracování osobních údajů musíme povinně vést záznamy o zpracování. Zpracovávat smíme pouze ty osobní údaje, které jsou pro daný účel nezbytné. Před zahájením zpracování, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob (zejména při využití nových technologií) je nezbytné provést posouzení vlivu na ochranu osobních údajů. Jedná se o dokument, ve kterém jsou posouzena rizika, hodnoceny dopady a popsány přijatá technicko-organizační opatření k zajištění ochrany osobních údajů. A další administrativa bude spojena s vedením agendy požadavků subjektů údajů a s oznamovací povinností.
Oznamovací povinnost v případě narušení bezpečnosti údajů je pro mnohé velikým strašákem. Nově bude potřeba ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od zjištění incidentu. Pokud případné zneužití ohrožených dat znamená pro subjekty údajů riziko, bude potřeba tyto osoby rovněž informovat.
GDPR rozšiřuje definici osobních údajů, kam nově řadí také technické parametry jako e-mail, IP adresu, lokační údaje dle GPS, soubory cookie v zařízení uživatele a citlivé osobní údaje se rozšiřují o osobní údaje dětí, genetické a biometrické údaje, jejichž zpracování bude možné za přísnějších podmínek.
V médiích jsme se mohli dočíst, že největší novinkou jsou nová práva subjektů údajů. Kdyby se autoři seznámili se zákonem č. 101/2000 Sb., zjistili by, že z těch šesti práv je nové pouze právo na přenositelnost osobních údajů. Právo na přístup k osobním údajům, právo na opravu, na výmaz, na omezení zpracování i právo vznést námitku již v nějaké podobě v českém právním řádu zakotveno bylo.
Z našeho pohledu jediná opravdová novinka, kterou GDPR zavádí je role pověřence, kterého budou muset povinně jmenovat orgány veřejné moci, veřejné subjekty, organizace, které osobní údaje zpracovávají v rámci své hlavní činnosti a organizace provádějící rozsáhlé, pravidelné či systematické zpracování osobních údajů.