Ke dni 27. května 2018, tedy již za méně než rok, nastane účinnost obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.4.2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), kterému se v odborných kruzích přezdívá krátce „GDPR“ (angl. General Data Protection Regulation).
GDPR zcela nahradí současnou právní úpravu ochrany osobních údajů zakotvenou především v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a současně sebou přinese zvýšení nároků na zajištění povinností při ochraně osobních údajů. Jeho přijetí má současně sjednocující účinek pravidel pro všechny státy Evropské unie (včetně Islandu, Norska a Lichtenštejnska).
GDPR se vztahuje na všechny společnosti působící v EU, ať sídlí kdekoliv. Tyto společnosti budou muset upravit vlastní koncepce zpracovávání osobních údajů a v některých případech do nich promítnout následující oblasti nové právní úpravy obsažené v obecném nařízení:
- Práva na přenositelnost osobních údajů a jejich poskytnutí jiné společnosti, právo být zapomenut, právo na bezplatnou kopii osobních údajů, právo na omezení zpracování osobních údajů.
- Povinnost předvídat a posuzovat dopady na ochranu osobních údajů a ve složitějších případech je konzultovat s Úřadem pro ochranu osobních údajů.
- Podrobnější požadavky na podobu a jednoznačnost souhlasu se zpracováním osobních údajů včetně informační povinnosti správce při získávání tohoto souhlasu a důraz na srozumitelnost veškerých sdělení vůči subjektům údajů.
- Detailnější povinnosti k vedení interních záznamů o zpracování osobních údajů ve vztahu k Úřadu pro ochranu osobních údajů.
- Povinnost v některých případech jmenovat uvnitř společnosti osobu „pověřence pro ochranu osobních údajů“, nebo takovou osobu zajistit externě.
- Povinnost ohlašovat případy narušení bezpečnosti osobních údajů Úřadu pro ochranu osobních údajů a dotčeným subjektům.
- Při přenášení osobních údajů mimo EU se budou právní vztahy muset upravit takovým způsobem, aby i nadále bylo v zahraničí zajištěno dosažení odpovídající ochrany obdobně jako podle obecného nařízení.
- V případech profilování zákazníků při zpracovávání žádostí vedoucích k uzavření právně závazné smlouvy (např. půjčky, úvěry apod.) povinnost informovat o tomto postupu své zákazníky, a pokud dojde k zamítnutí žádostí, zajistit, aby celý postup kontroloval člověk, nikoliv přístroj, včetně práva žadatele zamítavé rozhodnutí napadnout.
Při uvedení příkladného výčtu výše uvedených povinností je nutné upozornit i na podstatné navýšení sankcí v podobě pokut, které mohou dosahovat až 20 mil. EUR anebo výše 4% celosvětového obratu, podle toho, která z těchto hodnot bude vyšší. Pokuty nicméně musí být v souladu se zásadou správního trestání vždy v každém jednotlivém případě účinné, přiměřené a odrazující.
Závěrem lze shrnout, že sjednocující právní úprava obsažená v GDPR na jednu stranu představuje podstatný rozvoj a posílení ochrany práv jednotlivců, na druhou stranu vyžaduje od osob odpovědných za zpracovávání osobních údajů výrazně aktivnější a odpovědnější přístup, na který se budou muset zpracovatelé a správci osobních údajů připravit nejpozději do 27. května 2018, kdy obecné nařízení o ochraně osobních údajů (GDPR) vstoupí v účinnost.