Evropská Unie se blíží ke schválení nového nařízení o ochraně osobních údajů, které by mělo vstoupit v platnost na jaře roku 2018. Nařízení bude závazné a bude mít přímou účinnost ve všech členských státech EU.
Podle zástupců advokátní kanceláře Taylor Wessing Praha novela obsahuje jednoznačně pozitivní body k ochraně osobních údajů, ale najdou se v ní i kontroverzní a riziková místa. Firmy se musejí připravit na to, že je čeká povinnost splnit rozsáhlý soubor požadavků.
Nařízení stanovuje, jaká práva a povinnosti náleží fyzickým osobám, jejichž osobní údaje jsou zpracovávány, a subjektům, které údaje zpracovávají nebo za jejich zpracování odpovídají.
Do jisté míry sjednotí a harmonizuje metody, jejichž účelem je zajistit ochranu soukromí a základních práv a zároveň zavede mnohem přísnější sankce za porušení pravidel, než tomu bylo dosud.
„V případě porušení pravidel pro ochranu údajů mohou správci nebo zpracovatelé nově čelit pokutám do výše 20 milionů eur nebo 4 % z celkového ročního obratu,“ uvedla Karin Pomaizlová, partnerka právnické kanceláře Taylor Wessing Praha.
Právo být zapomenut a povinný inspektor ochrany
Nařízení obecně posiluje práva fyzických osob, jejichž osobní údaje jsou zpracovávány, klade důraz na to, aby subjekty zpracovávající osobní údaje zpracovávali pouze data, která skutečně potřebují, aby vynaložili veškerou odbornou péči na eliminaci rizik spojených se zneužitím, neoprávněným přístupem nebo neoprávněným zveřejněním osobních údajů.
Fyzickým osobám dává například právo být zapomenut, zejména pokud zpracovávané údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo pokud subjekt údajů odvolal svůj souhlas se zpracováním svých osobních údajů.
Dále má subjekt údajů nad rámec současného zákona právo na přenositelnost svých osobních údajů, tj. pokud se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, má subjekt údajů právo získat od správce kopii ve stejném formátu.
Pokud osoba poskytla své údaje a zpracování je založené na souhlasu nebo smlouvě, má právo přenést tyto osobní údaje, aniž by tomu správce bránil.
„Nařízení přináší několik významných změn. Jednou z nich je povinnost zaměstnavatelů s více než 250 zaměstnanci nebo subjektů, jejichž hlavní činnost správce nebo zpracovatele spočívá ve zpracování osobních údajů (vztahuje se i na pouhá úložiště dat), mít vlastního inspektora ochrany údajů,“ uvedla Karin Pomaizlová.
Důležité změny podle právníku spočívají i v povinnosti vést dokumentaci o zpracovávaných údajích a tuto předložit na požádání kontrolnímu orgánu nebo v povinnosti provádět posouzení dopadu na ochranu údajů z hlediska práv a svobod subjektů údajů
Největší slabinu evropského obecného nařízení o ochraně údajů kancelář vidí v poskytnutí přílišných pravomocí Evropské komisi při stanovování prováděcích aktů a standardizaci formulářů, což může zvýšit administrativní zátěž a náklady spojené se zpracováním dat.
Určité problémy se mohou objevit i při interpretaci a nepřesném výkladu abstraktních právních termínů, varuje Taylor Wessing. Za zásadní zatížení správců osobních údajů dále právníci považují celý článek 33 o posouzení dopadů na ochranu údajů, protože podle nich zvyšuje riziko odpovědnosti na straně správců a inspektorů ochrany údajů.
Zdroj: Taylor Wessing Praha
