Nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů nabyde účinnosti 25. května 2018. 

Rozšíření chráněných údajů:

Zásady ochrany osobních údajů se vztahují na všechny informace, na základě kterých, lze určitou osobu identifikovat přímo nebo nepřímo. Mezi chráněné osobní údaje tedy budou náležet např. jméno, identifikační číslo, lokační údaje, síťový identifikátor např. IP adresa, cookies nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, kulturní nebo společenské identity fyzické osoby.  

Zvláštní kategorii představují údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci. Při zpracování těchto údajů budou kladeny vyšší nároky na formu a zachycení souhlasu než u zpracování ostatních údajů. Nařízení totiž žádným způsobem nedefinuje „výslovný souhlas“.

Nové povinnosti:

Všechny veřejnoprávní (i soukromoprávní) subjekty, při jejichž činnosti dochází k nakládání s osobními údaji musí do dvou let přizpůsobit svoje informační systémy tak, aby vyhovovaly novým požadavkům na ochranu osobních údajů. Mezi informace, které je subjekt povinen poskytovat patří: identifikační a kontaktní údaje, včetně kontaktu na pověřence pro ochranu osobních údajů, účely zpracování a právní základ pro zpracování údajů, případné příjemce a případný úmysl správce předat osobní údaje do třetí země. Nejdůležitější však je informování subjektu údajů o tom, že svůj souhlas může kdykoli odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním. V případě, kdy si fyzická osoba nepřeje, aby byly její osobní údaje dále zpracovávány, je v nařízení stanoveno, její právo „být zapomenut“, což znamená, že správce, který osobní údaje zveřejnil musí informovat další správce, kteří tyto údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či jejich kopie nebo replikace.Subjekt údajů má také právo být informován o neoprávněném přístupu ke svým údajům. Tato práva budou muset správci nejen zajistit, ale i doložit. Nařízení také ukládá správcům povinnost přijmout vhodná technická a organizační opatření, aby byla zajištěna úroveň ochrany osobních údajů.

Povinná pozice pověřenec pro ochranu osobních údajů:

Pověřenec pro ochranu osobních údajů (dále jen „Pověřenec“) plní funkci koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a současně plní funkci „styčného důstojníka“ pro komunikaci s dozorovými úřady. Nařízení stanoví povinnost jmenovat pověřence. Zpracovatel může toto místo obsadit svým zaměstnancem nebo externě spolupracující osobou. Úkolem pověřence je mj. sledování souladu vnitřní praxe s právní úpravou ochrany osobních údajů. Zpracovateli také vyplývá povinnost zajistit pověřenci zdroje nezbytné k plnění jeho úkolů např. odpovídající finanční ohodnocení. Kvalifikace pověřence není v nařízení blíže specifikována.

Sankce:

Sankce za porušení povinností uložených nařízením je stanovena až do výše 20 000 000 EUR, pokud se bude jednat o podnik až do výše 4% celkového ročního obratu celosvětově za předchozí rozpočtový rok.

Zdroj informací: http://smocr.cz/cz/oblasti-cinnosti/informatika/ochrana-osobnich-udaju-a-informacni-systemy.aspx