Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů – obecné informace

V poslední době je možné se ve sdělovacích prostředcích i jinde setkat s množstvím příspěvků, které se v nejrůznější podobě věnují novému Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“). Vzhledem k tomu, že některé subjekty prezentuje nařízení jako revoluční změnu v oblasti ochrany osobních údajů, která vyžaduje okamžitou pozornost správců osobních údajů (internetových obchodníků) a rozsáhlé investice na jejich straně, rozhodli jsme se věnovat této problematice také v rámci tohoto právního oběžníku. Navazujeme tímto na právní oběžník č. 10/2015, kde jsme informovali o navrhované podobě nařízení.

Nařízení nabývá účinnosti od 25. května 2018 a má tzv. přímou účinnost. To znamená, že bude přímo zavazovat subjekty na území Evropské unie, což je rozdíl oproti směrnici , která musí být zásadně implementována do národních právních řádů členských zemí. Nicméně v tomto případě nařízení předpokládá následné dopracování řady otázek národní legislativou. Nařízení tedy nepřináší úplnou harmonizaci problematiky ochrany osobních údajů v rámci EU, nýbrž harmonizaci „pouze“ částečnou. Znění doplňující české legislativy není v tuto chvíli bohužel ještě známo, přičemž tato budoucí legislativa může mít podstatný vliv na rozsah povinností správců a zpracovatelů osobních údajů.

Z pohledu správců osobních údajů dle našeho názoru nepřináší nařízení radikální změny v koncepci ochrany osobních údajů. Povinnosti správce osobních údajů se s účinností nařízení ve vztahu k zásadám zpracování osobních údajů výrazně nezmění, přičemž většina povinností prezentovaných jako zásadní novinky je v České republice již v současné době dovozována Úřadem pro ochranu osobních údajů v rámci jeho interpretačních stanovisek. Nicméně určitě nelze tvrdit, že vše zůstává při starém.

Za jednu z nejdůležitějších změn bychom považovali přechod důkazního břemena na správce osobních údajů v tom smyslu, že bude povinen prokázat, že provádí zpracování osobních údajů v souladu s regulací: „S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.“ Připomínáme, že i za současné právní úpravy musí být správce schopen prokázat po celou dobu zpracování souhlas subjektu údajů se zpracováním osobních údajů. Nicméně nyní se důkazní břemeno bude vztahovat na celý proces zpracování osobních údajů (nikoliv pouze na prokazování získání souhlasu se zpracováním osobních údajů). Druhou stranou mince je, že dojde ke zrušení oznamovací povinnosti správce osobních údajů dle ustanovení § 16 zákona o ochraně osobních údajů.

Správce osobních údajů bude nově mimo jiné povinen vést písemné záznamy o zpracování osobních údajů (včetně elektronické formy) a zajistit dostatečné technické zabezpečení při zpracování osobních údajů. Jako důležitá změna je obvykle prezentována i skutečnost, že dojde k podstatnému navýšení maximálních sankcí, jež bude možné za porušení povinností v oblasti zpracování osobních údajů udělit. Nicméně s ohledem na rozsah případů zpracovávání osobních údajů v současné společnosti a na reálné možnosti orgánů veřejné moci lze předpokládat, že budou postihována pouze ty nejflagrantnější či medializovaná porušení či ty případy, kdy vyjde najevo, že došlo k rozsáhlejšímu úniku osobních údajů.

Dalším podrobnostem souvisejícím s novou regulací v oblasti ochrany osobních údajů se budeme věnovat v některém z příštích právních oběžníků.

Josef Aujezdský

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 2/2017 určený členům tohoto spolku.

05.04.2017
autor: Josef Aujezdský