KOMENTÁŘ: Česko přistoupilo k GDPR po svém

,Někdy se používá jako výmluva, že něco nejde.‘ GDPR přineslo hysterii a mýty

Koncem dubna nabyl účinnosti nový zákon o zpracování osobních údajů, který byl přijat jakožto prováděcí zákon k nařízení Evropského parlamentu a Rady o ochraně osobních údajů, známého pod zkratkou GDPR. Přijetí nového tuzemského zákona však nemá vliv na skutečnost, že právní úprava ochrany osobních údajů se i nadále převážně řídí nařízením GDPR. V některých ohledech však tento adaptační zákon právní úpravu nařízení zpřesňuje. Právní úpravu zpracování a ochrany osobních údajů je tak nyní potřeba hledat buď přímo v nařízení GDPR, nebo v novém Zákoně o zpracování osobních údajů.

Úleva státním orgánům

Zákonem o zpracování osobních údajů zákonodárce využil možnosti upravit výše sankcí ve vztahu k orgánům veřejné moci, což nařízení členským státům výslovně umožňovalo. Zákon jednak zavedl zcela nové skutkové podstaty přestupků a stanovil za ně samostatné sankce. Současně i podstatně snížil pokuty, které lze za přestupky uložit orgánům veřejné moci nebo veřejným subjektům.

Těmto subjektům je podle nové právní úpravy možné za přestupky uložit pokutu maximálně do výše deseti milionů korun. Pro ostatní správce a zpracovatele, kteří osobní údaje zpracovávají v souladu s nařízením GDPR, však Zákon o zpracování osobních údajů žádné změny nepřináší. Nadále tak pro ně platí úprava evropského nařízení, podle níž je možné uložit pokutu až ve výši 20 milionů eur nebo v případě podniku až do výše čtyř procent jeho celkového ročního obratu.

Další důležitou změnou, která sice ze samotného textu adaptačního zákona výslovně nevyplývá, přesto je však zcela zásadní, je vypuštění zákonné povinnosti mlčenlivosti všech zaměstnanců či smluvních partnerů správce, která byla v předchozím (dnes již zrušeném) zákoně o ochraně osobních údajů zakotvena. Podle předchozí právní úpravy platilo, že kdokoliv, kdo přišel při své činnosti do styku s osobními údaji nebo s bezpečnostními opatřeními správců či zpracovatelů, byl ze zákona povinen o těchto skutečnostech zachovávat mlčenlivost.

Ani po účinnosti prováděcího zákona o zpracování osobních údajů však žádná podobná zákonná povinnost zaměstnanců nebo smluvních partnerů správců či zpracovatelů zachovávat mlčenlivost o osobních údajích, s nimiž přišli v rámci své činnosti do styku, není nikde výslovně zakotvena, což je poněkud překvapivé. Pokud tedy nyní správci chtějí, aby i nadále jejich zaměstnance či smluvní partnery povinnost mlčenlivosti zavazovala, musí si ji ošetřit smluvně, jelikož samotný zákon jim povinnost mlčenlivosti už neukládá.

Sociální sítě a souhlas dětí

Další novinkou, kterou uvítají zejména zaměstnavatelé, pokud zpracovávají osobní údaje z důvodu plnění povinností uložených jim zákonem, je výjimka z povinnosti správce vypracovávat posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením. Pokud tedy existuje povinnost provádět zpracování osobních údajů přímo ze zákona, nejsou správci v takových případech povinni posouzení vlivu vypracovávat.

Zákon o zpracování osobních údajů také nově umožní správcům poskytovat informace o zpracování osobních údajů subjektům údajů způsobem umožňujícím dálkový přístup (tedy například prostřednictvím internetu), což nepochybně bude pro mnohé z nich velmi praktickým řešením.

Co se týče pověřence pro ochranu osobních údajů, ukládá Zákon o zpracování osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů kromě orgánů veřejné moci také dalším orgánům zřízeným zákonem. A to, pokud plní zákonem stanovené úkoly ve veřejném zájmu.

Další důležitou změnou, kterou nový adaptační zákon přináší – avšak z poněkud jiného soudku –, je zakotvení způsobilosti dítěte udělit souhlas se zpracováním osobních údajů v souvislosti s nabídkou informační společnosti (jedná se například o souhlas souvislosti s účastí dítěte na sociálních sítích) již dovršením věku 15 let. Proti nařízení GDPR tak došlo adaptačním zákonem ke snížení této věkové hranice o jeden rok.

 Autor je advokát.