Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (General Data Protection Regulation - GDPR) je považováno za prostředek posílení ochrany osobních údajů fyzických osob na území Evropské unie (EU). Ačkoli platí v celé EU od 25. května 2018, stále je pro mnoho lidí velkou neznámou.
Hlavním cílem GDPR je primárně posílení ochrany osobních údajů fyzických osob (subjektů údajů), a to nejen v digitálním prostředí, ale také v případě fyzických „papírových“ databází. Díky GDPR dále dochází ke sjednocení dříve rozdílných národních úprav členských států, čímž je posílena právní jistota a transparence na území EU.
GDPR zavádí množství principů a zásad. Jedním z nejvýznamnějších je tzv. princip zodpovědnosti správců (ti, kteří určují účel zpracování údajů) a zpracovatelů (ti, kteří zpracovávají údaje jménem správce). Správci a zpracovatelé mají za povinnost zavést technická, organizační a procesní opatření za účelem ochrany osobních údajů a zajištění, že jejich zpracování je prováděno v souladu s GDPR.
Zpracování osobních údajů a povinnosti správce
Zpracování osobních údajů, tedy informací o identifikované nebo identifikovatelné fyzické osobě, musí být prováděno zákonným a transparentním způsobem, pouze za konkrétním výslovně vyjádřeným účelem a pouze po stanovenou dobu. Po naplnění účelu zpracování musí být osobní údaje zlikvidovány. Takovéto zpracování osobních údajů je povinen správce dodržet a musí být schopen toto dodržení též doložit.
V případě, že chce správce zpracovávat osobní údaje, měl by si nejprve uvědomit, proč údaje potřebuje nebo chce získávat, aby o osobách nezaznamenával informace, které vůbec nepotřebuje. Rozsah údajů by měl být tedy jen minimální k dosažení cíle. Správce mimo jiné dbá na to, aby údaje byly přesné, a jejich přesnost ověřuje. Údaje by správce měl uchovávat pouze tak dlouho, dokud je to nezbytně nutné k naplnění účelu.
Správce může zákonně zpracovávat osobní údaje pouze na základě taxativně vymezených důvodů. GDPR upravuje šest důvodů, které zpracování údajů ospravedlňují. Pravděpodobně nejčastěji využívaným důvodem je souhlas subjektu údajů se zpracováním údajů o jeho osobě. Za souhlas je považován svobodný, konkrétní, informovaný a ničím nepodmíněný projev vůle člověka, jehož osobní údaje mají být zpracovávány. Souhlas je nutné vždy oddělit od ostatních sdělení a jeho poskytnutí není možné podmiňovat neposkytnutím služeb či produktu. V souhlasu musí být vedle účelu, pro který budou informace zpracovávány, uvedena také veškerá práva, kterými fyzická osoba disponuje, zejména pak právo na odvolání souhlasu. Nedílnou součástí souhlasu jsou pak kontaktní údaje správce, u kterého může osoba svá práva uplatnit. Správce musí být schopen udělení souhlasu doložit.
Dalšími zákonnými důvody pro zpracování osobních údajů jsou: plnění smlouvy, jejíž smluvní stranou je dotčená fyzická osoba, splnění právní povinnosti, ochrana životně důležitých zájmů fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci a oprávněný zájem správce, který se prokazuje tzv. balančním testem, v němž jsou porovnávány oprávněné zájmy správce a zájmy dotčené osoby. Bez ohledu na způsob získávání a důvod zpracování osobních údajů fyzických osob, musí být správce schopen doložit původ osobních údajů a oprávněnost jejich zpracování.
Pro naplnění povinností plynoucích z GDPR je správce (s určitými výjimkami) nucen vést záznamy o činnostech zpracování, které se s osobními údaji provádějí. Tyto záznamy je správce popř. zpracovatel povinen předložit na požádání dozorovému úřadu. K dozorovému úřadu je vázána i další významná povinnost, kterou je nutnost ohlásit dozorovému úřadu porušení zabezpečení osobních údajů do 72 hodin od okamžiku, kdy se o něm dozvěděl. Za určitých okolností vzniká tato oznamovací povinnost správce i vůči subjektu údajů.
Vedle uvedených povinností plynou z GDPR pro některé správce další obligatorní povinnosti např. jmenování pověřence, posouzení vlivu na ochranu osobních údajů. Mimo tyto uvedené povinnosti pak GDPR upravuje fakultativní postupy správců např. vypracování kodexů chování, žádost o vydání osvědčení.
S řadou povinností zejména pro správce a zpracovatele zavádí GDPR mimo jiné vysoké pokuty a sankce za jeho porušení. Sankce, jejichž horní hranice je stanovena na 10.000.000 EUR, resp. 2% z ročního globálního obratu u podniku, mají zajistit, aby této legislativě byla ze stran správců a zpracovatelů věnována maximální pozornost.
Na dodržování GDPR dohlíží dozorové úřady, v České republice je tímto úřadem Úřad pro ochranu osobních údajů.
Práva fyzických osob
GDPR posiluje postavení subjektů údajů a přiznává jim množství práv. Již při získávání údajů je třeba fyzické osoby informovat, proč své osobní informace poskytují, co se s nimi bude dít, i jaká práva ohledně svých údajů mají. Právo na poskytnutí informací mají subjekty údajů po celou dobu zpracování údajů o jejich osobě. Za určitých podmínek jsou oprávněny požadovat i kopii svých údajů, které má správce k dispozici. K dalším právům patří právo na opravu údajů, právo na omezení zpracování právo na výmaz resp. právo být zapomenut, právo vznést námitku či právo na přenositelnost údajů.
Postup správců
Každý správce osobních údajů by měl v souvislosti s GDPR provést právní posouzení postupů při zpracování osobních údajů (jaké údaje zpracovává, jakým způsobem, na základě jakého právního titulu atd.) a poté vypracovat návrh nutných změn pro zajištění souladu s GDPR. Téměř vždy je nutné revidovat smlouvy s fyzickými osobami zejména z důvodu uvedení účelu zpracování a informování subjektů o jejich právech. Dále je nutné stanovit vnitřní pravidla pro zpracování údajů a jejich zabezpečení a proškolit odpovědné osoby.
Pozice členských států
Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech, přesto GDPR poskytuje členským státům prostor pro vlastní pravidla, zejména pro pravidla týkající se zpracování zvláštních kategorií osobních údajů (citlivé osobní údaje). Členské státy též mohou stanovit výjimky z některých ustanovení např. pro audiovizuální oblast, zpravodajské a tiskové archivy, je-li to nutné za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu a informací.
Česká republika zatím této možnosti nevyužila, resp. dosud nepřijala adaptační zákon k GDPR, jehož návrh počítá s omezením některých povinností správců a oslabením některých práv subjektů např. pro žurnalisty.
ePrivacy
Nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, nazýváno též ePrivacy, má být doplňkem k GDPR. Ačkoli měla obě tato nařízení být účinná od 25. května 2018, ePrivacy se stále nachází v legislativním procesu. Smyslem ePrivacy je právně ošetřit komunikační systém on-line technologií, které nakládají s osobními údaji, tedy zajistit ochranu soukromí v elektronických komunikacích. Hlavní odlišnost oproti GDPR lze spatřovat v aplikovatelnosti. Nové nařízení mělo cílit nejen na ochranu fyzických osob, ale též osob právnických. Vedle jiného by ePrivacy mělo upravovat problematiku cookies, newsletterů, ale i aplikací typu Skype, Whatsapp aj. Kdy budou správci nuceni přijmout další opatření k ochraně osobních údajů v souvislosti s ePrivacy je zatím nejasné.