Návrh nařízení EU o ochraně osobních údajů (GDPR)

Dne 15. června 2015 Rada EU přijala tzv. obecný přístup k návrhu Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Návrh tohoto nařízení byl Komisí (EU) představen již v roce 2012. Avšak teprve přijetím obecného přístupu k návrhu nařízení ze strany Rady EU bylo dosaženo politické dohody napříč všemi členskými státy EU a byly napevno stanoveny jeho klíčové body. Na základě této dohody Rada EU zahájila jednání s Evropským parlamentem. S ohledem na podstatu obecného přístupu však lze očekávat, že základní koncepce by se již ani po tomto jednání neměla výrazněji měnit. Samotné schválení a použitelnost (tj. právní závaznost) nařízení se pak předpokládá nejdříve až k roku 2017.

V tomto právním oběžníku jsme připravili stručné shrnutí nejpodstatnějších změn a dopadů v oblasti ochrany osobních údajů, které návrh nařízení ve smyslu výše uvedené dohody přináší.

Změna územní působnosti nařízení

Dle nařízení se povinnosti ve vztahu k zpracování osobních údajů nově budou vztahovat i na zpracování osobních údajů ve vztahu k občanům EU, a to za podmínky, že činnosti zpracování souvisejí s nabídkou zboží nebo služeb či se sledováním jejich chování. Oproti současnému stavu se tedy nařízení bude vztahovat jak na zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele osobních údajů v EU, tak na zpracování osobních údajů subjektů, které mají bydliště v EU, a to bez ohledu na otázku, zda se jedná o správce se sídlem v EU či nikoli. Jednotliví správci osobních údajů by přitom v rámci výkonu dohledu nad dodržováním obecně závazných předpisů v oblasti ochrany osobních údajů měli podléhat úřadu pro ochranu osobních údajů toho státu, ve kterém mají své hlavní sídlo.

Udělování souhlasu se zpracováním osobních údajů

Návrh nařízení počítá s nemožností poskytnutí souhlasu se zpracováním osobních údajů konkludentně. Nadále tedy nebude možné posuzovat za poskytnutí souhlasu např. již samotné poskytnutí osobních údajů. Souhlas se zpracováním osobních údajů bude subjekt zpracování osobních údajů naopak muset poskytnout v kvalifikované formě – tj. souhlas bude muset být poskytnutý výslovně či jednoznačně. O přesné formě udělování souhlasu však není doposud rozhodnuto.

Cookies jako osobní údaj

Návrh nařízení podrobněji vymezuje pojmy „fyzická osoba“ (tedy subjekt zpracování osobních údajů) a „osobní údaje“. Osobní údaje vymezuje jako jakoukoli informaci, která se k dané osobě vztahuje, a to včetně veškerých informací, které mohou vést ve svém souhrnu k přímé či nepřímé identifikaci dané osoby. Za takové informace lze dle návrhu považovat kupříkladu i tzv. cookies, informace o poloze osoby či jiné obdobné informace, avšak pouze v případě, že danou osobu skutečně činí identifikovatelnou.

Právo na výmaz osobních údajů

Návrh nařízení subjektům údajů přiznává právo na bezodkladné odstranění jakýchkoli a všech informací, které o nich správce osobních údajů eviduje. Zpřístupnil-li správce tyto údaje třetí osobě, mohla by se na něj vztahovat povinnost zajistit odstranění těchto údajů i ve vztahu k těmto třetím osobám. Uvedené se nebude vztahovat na osobní údaje zpracované (uveřejněné) ve veřejném zájmu apod.

Výše sankcí

Návrh nařízení počítá s razantním zvýšením sankcí za porušení právních předpisů v oblasti zpracování osobních údajů. Za porušení zákonných povinností při zpracování osobních údajů by nově mohla být uložena pokuta až 1 milion EUR nebo 2% obratu správce osobních údajů.

Další změny:

• Povinnost informovat příslušný úřad pro ochranu osobních údajů a dotčené osoby v případě, že dojde k narušení bezpečnosti při zpracování osobních údajů, a to co nejdříve, počítáno s doporučenou lhůtou 24 hodin.

• Zvláštní povinnosti pro správce osobních údajů s více než 250 zaměstnanci.

• Zjednodušení procesu předání osobních údajů od jednoho poskytovatele služeb či zboží ke druhému.

David Svoboda

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 10/2015 určený členům tohoto spolku.

20.11.2015
autor: David Svoboda