Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR)
Dne 27.4.2016 bylo na půdě Evropského Parlamentu přijato nařízení, které zavádí nová, jednotná pravidla ochrany osobních údajů s platností ve všech státech Evropské Unie, tzv. GDPR (2016/679). Současně byla schválena Směrnice Evropského parlamentu a Rady (EU) 2016/680, která nařízení doplňuje na úseku prevence, vyšetřování, odhalování či stíhání trestných činů týkajících se zpracování osobních údajů.
Ve srovnání se současnou právní úpravou obsaženou v zákoně o ochraně osobních údajů zavádí GDPR celou řadu nových pravidel. Správcům i zpracovatelům osobních údajů v této souvislosti sice přibude jistá administrativní zátěž, avšak za velký přínos nové úpravy obsažené v GDPR lze považovat zavedení jednotného pojmosloví, postupů a výkladů, včetně sjednocení povinností správců či zpracovatelů osobních údajů. Tato jednotnost by se měla projevit v následné jednodušší aplikaci i ve snadnější vymahatelnosti dodržování povinností zpracovatelů osobních údajů.
Subjektům údajů také přibude celá řada nových oprávnění. Kromě toho, že budou muset být o všech svých právech ze strany správců důkladně informováni, budou nově oprávněni například vznést námitku proti zpracování, kdy zpracovatel po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody, případně budou moci požádat správce o vysvětlení v souvislosti se zpracováním osobních údajů. Další novinkou, kterou GDPR zavádí, je právo na tzv. přenositelnost osobních údajů od jednoho správce k druhému.
Orgánem dozoru nad dodržováním povinností v oblasti ochrany osobních údajů v České republice bude i nadále Úřad na ochranu osobních údajů.
Předmětné nařízení i směrnice vstoupí v účinnost 25. 5. 2018, přičemž oba dokumenty jsou členské státy povinny včlenit do právní úpravy do konce května 2018. Během přechodného období by měly všichny subjekty, kterých se nařízení týká, zrevidovat své informační systémy a prověřit správnost postupů nakládání s osobními údaji, případně tyto postupy přizpůsobit novým požadavkům. Rozhodně lze doporučit, aby byla revizi stávajících mechanismů věnovaná dostatečná pozornost, neboť GDPR zavádí možnost udělit subjektům za porušení povinnosti na úseku ochrany osobních údajů pokutu až do výše 20.000.000 eur.
Pokud se jedná o aplikaci nařízení a směrnice v českém právním prostředí, není dosud zřejmé, zda se zákonodárce nakonec přikloní ke zrušení stávajícího zákona o ochraně osobních údajů jako celku, případně zda se přikloní k tomu, že budou zrušeny a nahrazeny pouze jeho části.
Zdroj: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES; Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů; zákon č. 101/2000 Sb. o ochraně osobních údajů, a další související předpisy