E-shopy, věrnostní programy, personalizovaná reklama a s nimi spojené osobní údaje představují v éře internetového podnikání bez nadsázky zlatý důl. Zdánlivě bezplatné využívání sociálních sítí je vykoupeno cenným artiklem, totiž lidským soukromím a rozličnými údaji nejen o online aktivitě. Na základě zpracování těchto údajů se pak může rozhodovat o tom, zda vás přijmou do zaměstnání nebo zda dostanete v bance úvěr, případně s jakou sazbou.

Ze strany správců, zpracovatelů i uživatelů se v posledních letech ozývají stížnosti, že harmonizace oblasti ochrany osobních údajů prostřednictvím evropské směrnice je nedostatečná. Považme, že předmětná směrnice byla přijata již v roce 1995. Od té doby se technologické možnosti rozšířily tehdy těžko představitelným způsobem. A tak budou směrnice i český zákon č. 101/2000 Sb., o ochraně osobních údajů, s účinností nového nařízení zrušeny a nahrazeny jednotnými pravidly platnými pro celou EU.

Obecné nařízení o ochraně osobních údajů, pro které už se vžila zkratka anglického názvu „General Data Protection Regulation“, tedy GDPR, má za cíl významným způsobem přispět k fungování jednotného digitálního trhu v rámci EU. Toho má být dosaženo tím, že poskytne subjektům údajů (tedy nám, fyzickým osobám, uživatelům) efektivní práva domoci se ochrany našeho soukromí. Naopak správcům a zpracovatelům dodá GDPR právní jistotu, že spravují data řádně a v souladu s právem ve všech zemích Evropské unie. Nařízení může za určitých okolností dopadat také na subjekty ze třetích zemí, pokud nabízí své zboží či služby na území EU nebo v těchto státech monitorují chování svých zákazníků.

Základy a novinky aneb co vymazat a přenést

Přestože novinky, které GDPR přináší, jsou na první pohled spíše dílčího charakteru, neubírá jim to na významu. Na obecných základech či principech ochrany osobních údajů nařízení nic nemění. Zůstává tak zachován koncept, že primárním právním důvodem ke zpracování by měl být informovaný a svobodný souhlas uživatele, případně některá z již dnes známých výjimek, kdy se pro zpracování souhlas subjektu údajů nevyžaduje. Zůstává rovněž zachována definice osobního údaje jako takového. Výslovně nám do ní sice přibývají kategorie genetických a biometrických údajů, jde však o změnu čistě formální, neboť je zjevné, že takové údaje je možné považovat za osobní již v současném režimu.

Zřejmě v důsledku současné tržní praxe, kdy většina souhlasů neobsahuje zákonem vyžadované údaje (účel je zpravidla velmi vágní, často chybí určení doby, na kterou je souhlas udělován apod.), se však dále rozšiřuje informační povinnost správce vůči subjektům údajů. Je otázkou, zda toto opatření nebude spíše kontraproduktivní. Podobný vývoj regulace můžeme vidět např. v oblasti poskytování finančních služeb, kdy extenzivní informační povinnost vůči zákazníkovi vede k jeho zahlcení celou řadou dokumentů, kterým ve výsledku zákazník bude věnovat méně pozornosti, než jednoduššímu a stručnějšímu poučení. 

Významná a často diskutovaná jsou nová práva, která budou svědčit uživatelům. Jedná se zejména o právo na výmaz (nazývané také jako právo být zapomenut) a právo na přenos údajů. Právo na výmaz je motivováno technologickým charakterem internetu, který na rozdíl od lidí nezapomíná. I po letech jsou na něm k nalezení nežádoucí údaje o soukromí uživatelů (není např. ve veřejném zájmu, aby se po mnoha letech objevovaly u řadového občana ve výsledcích internetového vyhledávání nevýznamné poklesky z mládí). Obdobné právo dovodil ve své rozhodovací praxi Soudní dvůr Evropské unie (případ Gonzalez proti Google). Celý koncept práva být zapomenut přináší řadu zajímavých aspektů. Jedná se zejména o střet s právem na informace, kdy může být naopak společensky žádoucí možnost dohledání všech dostupných informací o osobách veřejného života, zejména politicích, nebo osobách společensky nebezpečných, tedy typicky pachatelích závažných trestných činů. Právo na přenositelnost údajů pak umožní subjektům údajů za určitých podmínek volně přenášet osobní údaje například z jedné sociální sítě na jinou. Zásadní však bude především technická proveditelnost opatření zajišťujících praktickou realizaci uvedeného práva být zapomenut a práva na přenos údajů.

Práva a povinnosti správců a proč je dobré je dodržovat

Nařízení klade důraz na zajištění ochrany osobních údajů již ve fázi přípravy samotného zpracování. Český ekvivalent tohoto principu by byl v překladu poněkud kostrbatý, v angličtině se tento přístup nazývá „privacy by design“. Prakticky jde o vypracování a uchovávání relevantní dokumentace (především k prokázání udělení souhlasu se zpracováním), zavedení vhodných technických a organizačních opatření (např. automatické hlášení bezpečnostních incidentů, proces eskalace) nebo zajištění zpracování pouze těch osobních údajů, jež jsou pro konkrétní účel nezbytné.

GDPR odstraňuje plošnou povinnost oznamovat zpracování osobních údajů národním regulátorům. To je však nahrazeno povinností správce provést analýzu dopadů zpracování (tzv. privacy impact assessment) a výsledná opatření v případě zvýšených rizik projednat s orgánem dohledu. Zavádí se rovněž povinnost bezodkladně, pokud možno do 72 hodin, oznamovat bezpečnostní incidenty, a to dohledovému orgánu, nebo v určitých případech také přímo dotčeným subjektům údajů. Vybrané organizace budou muset jmenovat pověřence pro ochranu osobních údajů, který bude na tuto činnost dohlížet. Jeho postavení v rámci organizační struktury by mělo připomínat např. oddělení compliance nebo interního auditu. Pověřenec musí být při výkonu své činnosti nezávislý. Nařízení klade také zvýšený důraz na ochranu zpracování osobních údajů dětí, nebo na opatření proti nežádoucímu profilování (tedy činnosti, která je typicky prováděna v současnosti ve velmi populární oblasti big data).

Deklarovanou výhodou je sjednocení dohledu. Správci a zpracovatelé budou moci napříště komunikovat primárně s tzv. vedoucím orgánem dohledu, který bude typicky v zemi, kde se nachází nejvýznamnější aktivity správce (princip „one-stop-shop“). Ten pak bude svou činnost koordinovat s dalšími národními regulátory. GDPR obsahuje obsáhlá pravidla pro výkon pravomocí a způsoby spolupráce mezi těmito dohledovými orgány. Dojde také ke vzniku Evropského sboru pro ochranu osobních údajů, který bude sdružovat jednotlivé národní regulátory a nahradí současné neformální sdružení Pracovní skupiny podle článku 29 směrnice („Article 29 Working Party“). Sbor má v budoucnu poskytovat metodickou podporu formou stanovisek k best practice apod.

Ačkoliv je text nařízení již nyní známý, budou se v příštích měsících nepochybně objevovat výkladové problémy. Národní státy budou vydávat prováděcí předpisy v předepsaných oblastech (např. specifické výjimky pro zpravodajské či statistické účely), naopak sdružení správců budou usilovat o vypracování jednotných metodik. Zkrátka kolem předpisu bude nepochybně velmi živo. Výrazně zvýšené sankce za porušení ochrany osobních údajů (až 20 milionů EUR nebo 4 % z celosvětového ročního obratu) naznačují, že GDPR nelze brát na lehkou váhu. Správci a zpracovatelé by měli zavčasu podnikat kroky, aby byli v roce 2018 na účinnost nařízení a tuto malou revoluci dobře připraveni.

	Věra Kočicová Autorka článku působí jako advokátka ve společnosti KPMG Legal, která se zaměřuje na korporátní právo, transakce, regulatorní problematiku, pracovní právo a litigace.
	Filip Horák Autor článku působí jako advokátní koncipient ve stejné společnosti.