25. května příštího roku vstoupí v účinnost nové nařízení EU týkající se ochrany osobních údajů („General Data Protection Regulation“ neboli zkráceně „GDPR“).
Bez ohledu na to, zda GDPR budeme považovat za revoluci, evoluci, nebo jen další úpravu dané oblasti, musíme mít na paměti, že GDPR s sebou přináší kromě nových práv na straně subjektu údajů a povinností na straně správce nebo zpracovatele osobních údajů i výrazné navýšení pokut za nesoulad s uvedeným nařízením. Proto i z tohoto důvodu je třeba nařízení věnovat značnou pozornost.
Co je GDPR?
GDPR je nařízením Evropské unie, tedy přímo závazným právním předpisem bez nutnosti jeho další implementace do národního právního řádu ze strany členských států. GDPR tak nabyde účinnosti ve všech státech EU ve stejný okamžik a nahradí evropskou směrnici z roku 1995, která již nestačila regulovat technologický pokrok, který byl před více než dvaceti lety těžko představitelný.
V českém právním prostředím to bude znamenat, že se práva a povinnosti v oblasti ochrany osobních údajů budou primárně řídit GDPR a nikoli zákonem o ochraně osobních údajů.
Vzhledem k přímé aplikovatelnosti nařízení ve všech členských státech EU má GDPR ambici sjednotit právní úpravu napříč EU a přispět tak k unifikaci práv a povinností při nakládání s osobními údaji mezi členskými státy.
GDPR přináší největší legislativní změnu v oblasti ochrany osobních údajů za poslední dvě dekády. Pozornost této problematice je třeba věnovat zejména proto, že ochrana osobních údajů přímo souvisí i s dalšími právními odvětvími jako je například pracovní, mediální či smluvní právo a v neposlední řadě dopadá na nejrůznější klientské a marketingové databáze.
Na co se GDPR vztahuje?
GDPR se vztahuje na všechna zpracování osobních údajů v souvislosti s činnostmi správce nebo zpracovatele či jejich provozoven v EU bez ohledu na to, zda faktické zpracování osobních údajů probíhá v Evropské unii či mimo ni. Dále se vztahuje na zpracování osobních údajů, která probíhají kdekoli na světě, jedná-li se o osobní údaje osob z EU a souvisí-li toto zpracování s nabízením zboží nebo služeb či případně s monitorováním chování těchto osob.
Kromě retailového sektoru se tak dotkne např. také bankovních institucí, telekomunikačních operátorů, provozovatelů e-shopů, poskytovatelů nejrůznějších služeb, personálních agentur, ale i zaměstnavatelů, a to dokonce i ve fázi náboru prvních zaměstnanců, např. při přijímaní životopisů.
Základní pojmy
Pro výklad GDPR jsou tak zásadní především čtyři pojmy: správce, zpracovatel, subjekt osobních údajů a osobní údaj.
Správcem osobních údajů je ten, kdo sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem shromažďování osobních údajů, jejich zpracování a uchování. Zpracovatel je pak ten, kdo zpracovává osobní údaje pro správce. Konečně, subjektem osobních údajů je osoba, jejíž osobní údaje jsou zpracovávány.
Zatímco správcem a zpracovatelem může být jak fyzická osoba, tak právnická osoba, případně orgán veřejné moci, subjektem údajů dle GDPR může být jen fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý osobní údaj.
Osobním údajem je například jméno, email, identifikační číslo, lokační údaje, síťový identifikátor (IP adresa) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Napsat komentář