2016.13.1
Nová pravidla zpracovávání osobních údajů
Mgr. Matěj Daněk
Dne 14. dubna 2016 přijal Evropský parlament, po téměř 4letém legislativním procesu, dlouho očekávané nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen "Nařízení"). Tato úprava bude mít značný dopad na všechny právnické i fyzické osoby zpracovávající osobní údaje nejen se sídlem v EU, ale i na osoby, které sice nemají sídlo na území EU, ale poskytují na jejím území služby či nabízejí zboží.
Nařízení bylo již publikováno v oficiálním Věstníku EU dne 4. května 2016 s tím, že nabude účinnosti uplynutím 20 dnů od své publikace. Od okamžiku účinnosti budou mít právnické i fyzické osoby dva roky na to, aby se přizpůsobily této úpravě. Během tohoto dvouletého období se nadále uplatní stávající systém ochrany osobních údajů vycházející ze směrnice 95/46/EC, tedy v rámci ČR zákon o ochraně osobních údajů č. 101/2000 Sb., v platném znění. Počínaje červnem 2018 se však již bude plně aplikovat Nařízení. Právnickým a fyzickým osobám, jejichž zpracování osobních údajů nebude plně v souladu s těmito novými pravidly, budou hrozit zásadní sankce.
Jak již bylo naznačeno, Nařízení nahradí současný systém ochrany osobních údajů EU včetně 28 národních právních úprav ochrany osobních údajů. Nařízení bude přímo aplikovatelné v každém z členských států EU bez nutnosti jeho implementace do národních právních úprav. Nicméně je otázkou, zda v nastávajícím dvouletém období čeští zákonodárci v této souvislosti sáhnou k nějakým implementačním úpravám českého právního řádu, tak jak tomu ostatně bylo i v případě některých dalších přímo aplikovatelných nařízení EU. Praktickým důsledkem v ČR bude pravděpodobně zrušení současného zákona o ochraně osobních údajů, případně jeho zásadní novelizace.
Nařízení obsahuje mnoho klíčových změn v oblasti ochrany osobních údajů s dopadem na administrativu správců a zpracovatelů osobních údajů. Mezi nejzásadnější změny jistě patří:
- Těžší postihy - porušení Nařízení povede k zásadním sankcím. Místní dozorové úřady (Úřad pro ochranu osobních údajů) budou moci ukládat finanční sankce až do výše 20.000.000 EUR nebo v případě společností (právnických osob) až do výše 4% ročního celosvětového obratu společnosti.
- Harmonizace v EU - nařízení je komplexním souborem pravidel týkajících se ochrany osobních údajů. Má přímý účinek v každém z členských států a lze tedy předpovědět, že zmírní současnou fragmentaci národních právních úprav v oblasti ochrany osobních údajů.
- Rozšířená místní působnost - Nařízení se uplatní i na právnické či fyzické osoby se sídlem mimo území EU, které zpracovávají osobní údaje v souvislosti s nabídkou zboží nebo služeb subjektům údajů v EU, nebo v souvislosti s monitorováním jejich chování, pokud k němu dochází v rámci EU.
- Jednotná kontrola – správci osobních údajů působící ve více zemích v rámci EU, tedy například společnosti se sídlem v ČR zaměstnávající zaměstnance i v jiných zemích EU, budou podléhat dohledu jediného…