Vybrané nové instituty v oblasti ochrany osobních údajů dle GDPR

Dne 25. 5. 2018 vstoupilo v účinnost nařízení, o kterém již jistě slyšel snad každý z nás, a to Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) označované též jen jako „GDPR“ (z angl. General Data Protection Regulation).

Dané nařízení z hlediska ochrany osobních údajů přineslo nové instituty, jedná se zejména o právo vznést námitku proti zpracování, právo na výmaz a jeho rozšíření na právo být zapomenut. Dále došlo k rozšíření definice osobních údajů a stanovení oznamovací povinnosti, kdy zpracovatel již musí ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl.

Právo vznést námitku je obsaženo v čl. 21 GDPR a dává subjektu údajů možnost vznést kdykoliv námitku proti zpracování jeho osobních údajů. Může tak učinit z důvodů týkajících se jeho konkrétní situace, kdy se zpracovávají osobní údaje, které se jej týkají a to pokud podle čl. 6 písm. e) „zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“ nebo pokud podle písm. f) „zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“, a to včetně profilování založeného na těchto dvou ustanoveních. Správce tak osobní údaje dále nezpracovává, pokud ovšem neprokáže závažné oprávněné důvody pro zpracování, které by převažovaly nad zájmy či právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Právo vznést kdykoliv námitku má subjekt údajů i proti zpracování osobních údajů, které se ho týkají, pro účely přímého marketingu, to zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Po podání námitky proti zpracování pro účely přímého marketingu, nebudou osobní údaje dále pro tyto účely zpracovávány.

Právo na výmaz (neboli právo být zapomenut) opravňuje subjekt údajů požadovat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se daného subjektů týkají a správce má povinnost takové údaje bez zbytečného odkladu vymazat, ale pouze za předpokladu, že je dán jeden z důvodů, které obsahuje čl. 17 příslušného nařízení a to:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje pro zákonné zpracování pro jeden nebo více konkrétních účelů zpracovány nebo na jehož základě subjekt údajů udělil výslovný souhlas se zpracováním zvláštních kategorií osobních údajů podle čl. 9 GDPR s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz zpracování zvláštních kategorií osobních údajů nemůže být subjektem údajů zrušen, a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2 GDPR,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti přímo dítěti podle čl. 8 odst. 1 GDPR („Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti“).

Podle čl. 17 odst. 2 GDPR: „Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.“ Dané ustanovení se nejvíce týká osobních informací, které byly zveřejněny online. Subjekt údajů tak musí nejdříve podat žádost o výmaz, kdy předmětná žádost podlehne posouzení odbornými pracovníky, kteří budou o žádosti subjektu údajů rozhodovat, zda bude žádosti vyhověno či nikoliv. Posuzovat se především bude, zda převažuje právo jednotlivce být zapomenut nad právem veřejnosti na informace.

Výjimkami, kdy nelze uplatnit právo na výmaz jsou skutečnosti, pro které je zpracování nezbytné. Konkrétně se bude jednat o tyto výjimky: pro výkon práva na svobodu projevu a informace, pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, dále z důvodů v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9. odst. 3 GDPR, také pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 GDPR, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování a v neposlední řadě pro určení, výkon nebo obhajobu právních nároků.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 se snaží reagovat na technologický a společenský vývoj, díky kterému se předchozí evropská právní úprava v oblasti ochrany osobních údajů obsažená ve směrnici 95/45/ES stala zastaralou a neadekvátní požadavkům dnešní doby. Podle nového nařízení je osobní údaj definován v čl. 4 odst. 1 jako: „veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby.“