Obecné nařízení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů, zkráceně ONOOÚ (anglicky GDPR, General Data Protection Regulation), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.

Stanovit pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.

Nařízení se vztahuje na automatizované zpracování osobních údajů i na neautomatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být zařazeny do evidence. Nařízení se nevztahuje na zpracování osobních údajů prováděné:

• při výkonu činností, které nespadají do oblasti působnosti práva Unie;
• členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
• fyzickou osobou v průběhu výlučně osobních či domácích činností;
• příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Zpracování osobních údajů orgány, institucemi a jinými subjekty Unie je upraveno mimo jiné nařízením (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98. Nařízením není dotčeno uplatňování směrnice 2000/31/ES.

Nařízení zpřesňuje a rozšiřuje okruh a definici osobních údajů. Osobní údaje jsou jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem proto nejsou např. údaje o právnické osobě (o jejích zaměstnancích už ale ano), údaje o osobách zemřelých, nejsou to údaje, které konkrétní osobu neztotožňují (např. pouhé běžné jméno a příjmení) a mezi osobní údaje nepatří údaje anonymizované, tedy takové, které původně možnost identifikace osoby obsahovaly, ale takový identifikátor z nich byl odstraněn. Už směrnice (č. 95/46/ES, předcházející nařízení) naopak mezi osobní údaje zařadila i dynamické IP adresy či jiné virtuální identifikátory. Osobním údajem může být např. i způsob vystupování advokáta v soudním řízení.

Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech. Facebook a Google jsou první, kteří čelí žalobě z porušování nařízení. Studie ukazuje, že dané společnosti nadále omezují práva uživatelů.

Vybraná práva subjektu údajů

Mimo dalších, má subjekt údajů následující práva:

• na opravu
• na výmaz (tzv. právo být zapomenut)
• na omezení zpracování

Vybrané povinnosti správce osobních údajů

Ohlašovací povinnost správce vůči dozorovému úřadu (čl. 33 GDPR) 

Správce má podle čl. 33 odst. 1 GDPR povinnost ohlásit jakékoliv porušení zabezpečení osobních údajů dozorovému úřadu (v ČR Úřadu pro ochranu osobních údajů), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl (Pokud není ohlášení učiněno do 72 hodin, ale až později, musí být současně s ním uvedeny důvody zpoždění.). Správce tak nemusí učinit, jen pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (např. v případě používání pseudonymizace či šifrování, které v některých případech mohou riziko pro práva a svobody fyzických osob zcela eliminovat).

Ohlášení porušení zabezpečení osobních údajů musí podle čl. 33 odst. 3 GDPR přinejmenším obsahovat:

• popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
• jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
• popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
• popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Úřad pro ochranu osobních údajů zveřejnil formulář Archivováno 10. 7. 2020 na Wayback Machine, který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu.

Oznamovací povinnost správce vůči subjektům údajů (čl. 34 GDPR) 

Pokud je pravděpodobné, že konkrétní případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce musí podle čl. 34 GDPR toto porušení bez zbytečného odkladu oznámit i přímo subjektům údajů. V oznámení určeném subjektu údajů musí správce podle čl. 34 odst. 2 GDPR popsat povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším:

• jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
• popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
• popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Všechny výše uvedené informace je nutné vysvětlit tak, aby byly pro subjekt údajů pochopitelné (tedy za použití jasných a jednoduchých jazykových prostředků). Vhodné zároveň je subjekty údajů poučit i o způsobu, jak mohou samy následky porušení zabezpečení osobních údajů minimalizovat (např. pokud unikla databáze přihlašovacích jmen a hesel, tak je žádoucí subjekty údajů poučit o tom, že by si měly heslo co nejrychleji změnit).

Správce nemusí podle čl. 34 odst. 3 GDPR oznámit porušení zabezpečení osobních údajů subjektům údajů v případě, že je splněna kterákoli z těchto podmínek:

• správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování,
• správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,
• vyžadovalo by to nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.