Souhlas se zpracováním osobních údajů

Nařízení jako takové zachovává základní pilíře zpracování osobních údajů, včetně obecného principu nezbytnosti předchozího souhlasu subjektu údajů se zpracováním (s určitými výjimkami z tohoto obecného pravidla).

Co se týče souhlasu se zpracováním osobních údajů, oproti dosavadní právní úpravě nařízení výslovně stanoví podrobnější podmínky upravující způsob vyjádření takového souhlasu, a také informační povinnost správce ohledně práv subjektu údajů.

Práva subjektů údajů

Nově je výslovně zakotveno právo subjektu údajů kdykoliv souhlas odvolat, o čemž musí být subjekt údajů informován. Odvolání souhlasu musí být pro subjekt údajů stejně snadné jako jeho poskytnutí.

Nařízení také zakotvuje nová práva subjektů, například právo „být zapomenut“, právo na omezení zpracování, právo na přenositelnost údajů a právo vznést námitku. Některá z těchto práv budou pro správce znamenat nezbytnost zavedení nových procesů reflektujících tato práva.

Vedení záznamů o činnostech

Správci a zpracovatelé, kteří jsou právnickými osobami zaměstnávajícími alespoň 250 zaměstnanců (a v některých případech i další správci/zpracovatelé), budou povinni vést záznamy o činnostech zpracování, za které odpovídají. Dozorový úřad bude oprávněn si takové záznamy od správce/zpracovatele vyžádat.

Povinnost hlásit incidenty

Další novinkou pro správce osobních údajů bude povinnost ohlašovat orgánu dozoru jakékoli porušení zabezpečení osobních údajů nejpozději do 72 hodin od okamžiku, kdy se správce o porušení zabezpečení dozvěděl. Pokud by případ porušení zabezpečení měl pravděpodobně za následek vysoké riziko pro práva a svobody subjektů údajů, pak správce musí takové porušení oznámit i subjektům údajů.

Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

Pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody subjektů údajů, pak musí správce před zahájením zpracování údajů provést posouzení vlivu zamýšlených operací zpracování. Bude-li z takového posouzení vyplývat, že s daným zpracováním je spojeno zmíněné riziko nepřijme-li správce opatření k jeho zmírnění, pak je správce povinen konzultovat zpracování před jeho zahájením s dozorovým úřadem.

Povinnost mít vlastního pověřence pro ochranu osobních údajů

Někteří správci a zpracovatelé budou nově povinni mít takzvaného pověřence pro ochranu osobních údajů (Data Protection Officer). Konkrétně se jedná o následující typy správců/zpracovatelů:

• orgány veřejné moci či veřejné subjekty, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
• správci/zpracovatelé, jejichž hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, rozsahu nebo svým účelům vyžadují rozsáhle pravidelné a systematické monitorování subjektů údajů; nebo
• hlavní činnosti správce/zpracovatele spočívají v rozsáhlém zpracování i) zvláštních kategoriích údajů (článek 9 nařízení - například údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech; genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby) a ii) osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
  

Dalším typům správců/zpracovatelů může být výše uvedená povinnost uložena právem EU nebo členského státu.

Každý správce/zpracovatel je povinen zveřejnit kontaktní údaje svého pověřence a sdělit je dozorovému úřadu.

Přísnější pokuty

Nařízení oproti stávající české právní úpravě zpřísňuje sankce v oblasti ochrany osobních údajů. Maximální výše pokuty podle českého zákona o ochraně osobních údajů je 10 mil. Kč. Oproti tomu nařízení stanoví maximální výši pokuty do 20 mil. eur nebo 4 % celosvětového ročního obratu, podle toho, která hodnota je vyšší.

Dostatek času?

Na první pohled se může zdát, že s ohledem na účinnost nařízení až v roce 2018 je dostatek času, aby se na něj správci a zpracovatelé připravili. Nicméně doporučujeme začít s přípravami co nejdříve, protože příprava zpravidla může být časově náročná, zejména s ohledem na nezbytnost zavedení nových procesů správců a zpracovatelů.




Mgr. Marek Bednář


Glatzová & Co., s.r.o.

Betlémský palác
Husova 5
110 00  Praha 1
 
Tel.:    +420 224 401 440
Fax:    +420 224 248 701
e-mail:    office@glatzova.com


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz