GDPR - co jsou osobní údaje?
Osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné osobě, tj. osobě, kterou lze přímo nebo nepřímo identifikovat pomocí identifikátoru, jako je například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity. Za osobní údaj se považuje jméno, adresa, telefonní číslo. Nově jsou za osobní údaj považovány síťové identifikátory, mezi které patří např. cookies nebo IP adresa.
Dále se rozlišuje citlivý údaj, což je osobní údaj, který vypovídá o rasovém či etnickém původu, politických postojích, členství v politických organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů či genetický údaj. Citlivé osobní údaje se zpracovávají pod mnohem přísnějším režimem, než jak je tomu u osobních údajů.
Nařízení obsahuje definici zpracování. Zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů. Tyto operace jsou prováděny buď bez pomoci nebo s pomocí automatizovaných postupů (shromáždění, zaznamenávání nebo pozměnění či vyhledávání).
Zákon na ochranu osobních údajů
Nakládání s osobními údaji řeší Zákon č. 101/2000 Sb., o ochraně osobních údajů. Smyslem zákona o ochraně osobních údajů je chránit Listinou základních práv a svobod zaručené právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života a neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů. V současné společnosti je vlivem rozvoje informačních technologií toto právo stále více narušováno.
Nařízení, jelikož je přímo aplikovatelné, nahradí v převážné části hmotné úpravy stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Do nabytí účinnosti GDPR by měla být v České republice přijata novela zákona o ochraně osobních údajů, která upřesní více než 50 bodů, jež GDPR svěřuje do pravomoci členským státům.
Úřad na ochranu osobních údajů
Úřad na ochranu osobních údajů (dále jen „Úřad“ nebo „ÚOOÚ) je nezávislý orgán, jehož působnost vymezuje zákon o ochraně osobních údajů. Provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů, vede registr zpracování osobních údajů, přijímá podněty a stížnosti občanů na porušení zákona, poskytuje konzultace v oblasti ochrany osobních údajů. GDPR Úřad zachovává a upravuje jej jako nezávislý dozorový úřad. Účinnost obecného nařízení s sebou přinese také nové dozorové agendy, které se odrazí v personální i organizační struktuře ÚOOÚ.
Dozorový úřad monitoruje a vymáhá uplatňování nařízení, provádí šetření. Dozorový úřad také vydává výroční zprávy o své činnosti.
Pokuty a sankce
Rozlišují se pokuty a sankce správní, trestněprávní a soukromoprávní, které vymezuje občanský zákoník.
Správním deliktem je např. nestanovení účelu, prostředků nebo způsobů zpracování nebo neoprávněné zveřejnění osobních údajů a další. Pokuty upravuje jak zákon na ochranu osobních údajů, tak GDPR. Zákon na ochranu osobních údajů stanovuje nejvyšší možnou pokutu 10 milionů Kč , GDPR ukládá pokutu do 10 milionů EUR nebo 2 % celkového celosvětového ročního obratu za předchozí finanční rok u méně závažného porušení, do 20 milionů EUR nebo 4 % celkového celosvětového ročního obratu za předchozí finanční rok u závažnějšího porušení, přičemž pokuta se udělí podle toho, která hodnota je vyšší.
Trestněprávní sankce obsahuje zákon č. 40/2009 Sb., trestní zákon a zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob. V trestním zákoníku je upravena např. skutková podstata neoprávněné nakládání s osobními údaji (trest odnětí osobní svobody až na tři roky nebo zákaz činnosti), poškození cizích práv, porušení tajemství dopravovaných zpráv nebo porušení autorského práva a práv souvisejících s právem autorským (peněžitý trest, zákaz činnosti nebo podmíněný, nepodmíněný trest odnětí svobody). V zákoně o trestní odpovědnosti právnických nalezneme tresty jako zrušení právnické osoby, propadnutí majetku nebo zákaz přijímání dotací a subvencí.