Strana 95

BBH

epravo.cz

z právní praxe

Nařízení GDPR: zásadní změny v právní úpravě ochrany osobních údajů Rozvoj informačních technologií, neustále rostoucí objem dat přenášených prostřednictvím internetu a shromažďovaných informací, rozmach digitální ekonomiky a nejednotná právní úprava ochrany osobních údajů v členských státech Evropské unie. Především z těchto důvodů bylo dlouho a s napětím očekáváno sjednocení právní úpravy ochrany osobních údajů prostřednictvím tzv. obecného nařízení o ochraně osobních údajů, které bylo přijato v dubnu roku 2016 (dále jen „Nařízení GDPR“).[1]

osavadní úprava ochrany osobních údajů vycházející ze směrnice o ochraně osobních údajů[2] sice formulovala dodnes platné cíle, avšak pro zajištění účinné ochrany osobních údajů v kontextu současného dynamického rozvoje hospodářství a společnosti vůbec již dále nepostačovala. Význam nového Nařízení GDPR tak lze spatřovat, jak v jednotné úpravě ochrany osobních údajů v rámci Evropské unie, tak především v modernizaci právní úpravy

odrážející vývoj společnosti a současných technologií, které s sebou přináší potřebu rozšíření práv subjektů údajů a úpravu některých povinností správců a zpracovatelů osobních údajů, jak ve vztahu k subjektům údajů, tak i k dozorovým úřadům. Přestože Nařízení GDPR vstoupí v účinnost až dne 25. května 2018, rozsah změn, které přináší, je natolik významný, že je potřebné se s jeho obsahem seznámit v dostatečném předstihu a zahájit příslušnou přípravu.

Působnost Nařízení GDPR Nařízení GDPR se primárně vztahuje na zpracování osobních údajů v souvislosti s činností všech správců a zpracovatelů s provozovnou v Evropské unii i v případech, kdy by samotné zpracování osobních údajů fakticky probíhalo mimo Evropskou unii. Rozsah územní působnosti je však ve srovnání se stávající právní úpravou rozšířen a bude se nově vztahovat nejen na správce a zpracovatele osobních údajů usazených v Evropské unii, ale také na subjekty usazené mimo ni, pokud tyto subjekty zpracovávají údaje v souvislosti s nabídkou zboží nebo slu-

žeb spotřebitelům na území Evropské unie (bez ohledu na úplatnost takového plnění) anebo v souvislosti se sledováním chování subjektů údajů v rámci Evropské unie. Takovým osobám je navíc Nařízením GDPR stanovena povinnost jmenovat svého zástupce v Evropské unii, na kterého se budou moci v souvislosti se zpracováním osobních údajů obracet dozorové úřady i subjekty údajů.

Nová práva subjektů osobních údajů Ve srovnání se stávající právní úpravou byla rozšířena práva subjektů údajů. Jedním z nejvíce diskutovaných práv je tzv. právo na výmaz („právo být zapomenut“), které umožňuje subjektu údajů požadovat, aby správce vymazal jeho osobní údaje. Správce má povinnost takové osobní údaje bez zbytečného odkladu vymazat, pokud je splněna jedna ze stanovených podmínek (např. údaje již nejsou pro daný účel potřebné, subjekt odvolal svůj souhlas se zpracováním nebo údaje byly zpracovány protiprávně). Pokud již ze strany správce navíc došlo k uveřejnění údajů, má tento správce povinnost informovat