Nařízení GDPR – zásadní přelom v ochraně osobních údajů?


Petr Pospíšil, Euroskop, 24.5.2018

REPORTÁŽ – Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, zkráceně GDPR) vstoupí v platnost v pátek 25. května. Eurocentrum Praha při té příležitosti uspořádalo seminář, který měl objasnit nejasnosti panující v souvislosti s novou úpravou. Semináře nazvaného „Dokáže EU ochránit naše osobní údaje?“ se zúčastnili odbornice ze Zastoupení Evropské komise, Úřadu pro ochranu osobních údajů i soukromé sféry.

Pavlína Žáková ze Zastoupení Evropské komise v ČR připomněla, že již nyní je problematiku ochrany osobních údajů právně ošetřena. V Česku ji upravuje zákon č. 101/2000 Sb. Účelem nařízení GDPR je modernizace legislativní úpravy pro digitální dobu a sjednocení pravidel ochrany osobních údajů napříč Unií.

Novelizovat svoji právní úpravu v souvislosti s přijetím nařízení GDPR zatím stihlo pouze šest členských zemí Unie. Potřeba účinné ochrany osobních údajů v digitálním prostředí je přitom zřejmá – důkazem je nedávný únik dat ze sociální sítě Facebook, kterým byly postiženy přibližně dva miliony uživatelů včetně 60 tisíc Čechů.

Technologie a globalizace změnily zacházení s osobními údaji

Soňa Matochová, vedoucí analytického oddělení Úřadu pro ochranu osobních údajů, zrekapitulovala přípravy nařízení i důvody, které stály za jeho vznikem. Technologická změna a globalizace změnily způsoby nakládání s osobními údaji. Potřebu posílení jejich ochrany potvrdily i průzkumy veřejného mínění, realizované v letech 2012 a 2015.

Ochrana soukromí resp. osobních údajů představují hodnoty chráněné ústavním právem – a na jeho základě jsou přijímány příslušné zákonné normy. Článek 10 české Listiny základních práv a svobod zavádí to, co se mezi odborníky označuje jako „právo na informační sebeurčení“ – ochranu před shromažďováním, zveřejňováním nebo zneužíváním údajů o fyzické osobě.

V Německu je ochrana osobních údajů tématem již od 70. let

Český zákon č. 101 byl sice přijat až v roce 2000, v sousedním Německu však podobný zákon existuje již od 70. let 20. století. Podle Matochové to ukazuje na fakt, že v tuzemsku chybí výraznější povědomí o právech na ochranu osobních údajů.

Nařízení GDPR podle Matochové jednak dopadá na všechny fyzické osoby, kterým poskytuje ochranu, jednak na subjekty zpracovávající osobní údaje, jimž nařízení ukládá povinnosti. Základní zásady, z nichž ochrana osobních údajů vychází, jsou zákonnost, účelové omezení, minimalizace shromažďovaných údajů, omezení doby uložení údajů, přesnost osobních údajů a odpovědnost. Speciální ochrany se dostává nezletilým, u nichž nařízení například vyžaduje souhlas rodiče s přítomností dítěte na sociálních sítích.

Facebook se kvůli aféře zaměří na ochranu dat více než dosud

Eva Škorničková, konzultantka právní ochrany osobních údajů, konstatovala, že na západ od českých hranic je ochrana osobních údajů na vyšší úrovni. Právě z toho podle ní pramení značná část kritiky nařízení GDPR, neboť pro členské země s méně propracovanou právní úpravou představuje nařízení velký posun. Škorničková osobně považuje GDPR za velmi povedený právní předpis. Za svým způsobem přínosnou pokládá i nedávnou aféru ohledně úniku dat ze sociální sítě Facebook, poněvadž Facebook podle ní dosud věnoval ochraně osobních údajů nedostatečnou pozornost, což se nyní změní.

Nařízení GDPR přináší větší transparentnost při nakládání s osobními údaji – zpracovatelé budou muset specifikovat, jaké údaje, o kom a proč zpracovávají. Na závěr Škorničková předpověděla, že nařízení GDPR je pouze jednou z řady právních norem, které budou přijímány za účelem regulace „internetu věcí“. V dohledné době například můžeme očekávat zavedení norem, které upraví pravidla o sběru dat o chování jednotlivců na internetu.

Autor: Petr Pospíšil, Euroskop

Sdílet tento příspěvek