Novinky v obecném nařízení o ochraně osobních údajů (General Data Protection Regulation)
publikováno: 23.03.2017
Za posledních 10 let došlo k zásadnímu rozdílu v rozvoji a užívání moderních technologií v běžném životě. S tím souvisí i otázka ochrany osobních dat a otázky spojené s obecným nařízením o ochraně osobních údajů (GDPR). Praktická aplikace GDPR se blíží, protože nařízení začne být účinné 25. května 2018. Již nyní je ale třeba se připravit.
Právo na přenositelnost dat z pohledu subjektu (fyzických osob) dat
Kromě jiného přináší GDPR fyzickým osobám výslovně garantované právo na přenositelnost dat. Jde o právo zcela nové, vytvořené EU k podpoře konkurence na digitálním trhu. Přenositelnost dat znamená, že fyzická osoba má právo získat bezplatně své osobní údaje, které poskytla správci, a také právo tyto údaje bez omezení předat správci jinému (vč. přímého předání mezi správci). Správce má za povinnost poskytnout vyžádané osobní údaje subjektu ve strukturovaném, běžně používaném a strojově čitelném formátu a tak umožnit přenos těchto dat a jejich další použití. Volba konkrétního technického řešení je na správci, ideálně však s možností přímého stažení dat.
Při splnění následujících podmínek nabývá fyzická osoba právo na přenositelnost dat:
a) jedná se o osobní údaje;
b) osobní údaje poskytla správci o sobě sama fyzická osoba;
c) tyto osobní údaje jsou zpracovávány automatizovaně;
d) ke zpracování těchto osobních údajů dochází pro konkrétní účely;
- fyzická osoba údajů, která osobní údaje poskytuje, musí s jejich zpracováním předem udělit souhlas nebo musí jít o zpracování nezbytné pro splnění smlouvy, jejíž je subjekt údajů smluvní stranou;
- výkonem práva na získání osobních údajů nesmí být negativně ovlivněny práva a svobody třetích stran (jiných subjektů údajů).
Fyzická osoba bude od příštího roku moci toto své právo prakticky využít k přenosu dat mezi nejrůznějšími aplikacemi, jako jsou např. aplikace monitorující sportovní výkony, sdílené kalendáře, elektronická pošta, vyhledávače zaměstnání, aplikace shromažďující informace o zdravotním stavu, úložiště fotografií apod. Konkrétní možnosti komerčního využití však přinese až faktická aplikace tohoto práva provázená jeho praktickým naplněním.
Právo na výmaz
Fyzická osoba má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se dané osoby týkají, pokud je dán jeden z těchto důvodů:
- odvolá souhlas a neexistuje žádný další právní důvod pro zpracování;
- vznese námitky proti zpracování;
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- osobní údaje byly zpracovány protiprávně;
- osobní údaje musí být vymazány ke splnění právní povinnosti;
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti přímo dítěti.
Právo být zapomenut je v zásadě konkrétní aplikací práva na výmaz, a to v prostředí internetu. Jeho podstatou je ochrana osobnosti před negativními následky publicity. Každý může požádat internetové vyhledávače o odstranění výsledků vyhledávání obsahujících jeho jméno. Právo jednotlivce na výmaz je však omezeno právem na svobodu projevu a právem veřejnosti na informace. Určením toho, které z práv má přednost se zabývají odborní pracovníci společnosti provozující internetový vyhledávač.
Právo na výmaz se vztahuje i na povinnost správce osobních údajů informovat další správce. Jestliže správce osobní údaje zveřejnil, je povinen s ohledem na dostupnou technologii a náklady na provedení přijmout přiměřené kroky, včetně technických opatření, aby informoval další správce, kteří tyto osobní údaje zpracovávají, že je fyzická osoba žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace. Dále je správce povinnen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
Pokud bude tento nástroj efektivně využit, měl by pomoci zmírnit např. důsledky neuvážlivého chování osoby na sociálních sítích.
Ochrana práv dítěte
V souvislosti s nabídkou služeb informační společnosti přímo dítěti je zpracování osobních údajů dítěte zákonné, má-li dítě nejméně 16 let. Je-li dítě mladší 16 let, musí souhlas se zpracováním osobních údajů udělit nebo schválit zákonný zástupce (rodič). Správce má povinnost toto ověřit s ohledem na dostupnou technologii. Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let (Česká republika zatím žádnou takovou úpravu nepřipravuje).
Bohužel v dnešní době děti až příliš brzy vstupují do sociálních sítí, dokonce se souhlasem rodičů, aniž by si rodiče přečetli podmínky užívání. Některé sociální sítě/aplikace mají výslovně v podmínkách uvedeno, že nejsou určeny pro děti do 13 let, apod. Přesto na nich zveřejňují svá videa i děti 7leté a mladší!
Pověřenec na ochranu osobních údajů
Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě,kdy hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování citlivých údajů. Kritériem tedy není velikost správce, počet zaměstnanců apod. Pověřenec musí mít znalosti práva a praxe v oblasti ochrany údajů; může být zaměstnancem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.
Kodexy chování a osvědčení
V budoucnu nařízení předpokládá, že vniknou kodexy chování podle jednotlivých odvětví byznysu. Dá se očekávat, že vzniknou nevládní organizace, certifikační autority, které budou vydávat „certifikáty naplnění požadavků ochrany osobních údajů“.
Správní pokuty
Pokuty mají být účinné, přiměřené a odrazující. Za porušení lze uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
Zdroj: Taylor Wessing