GDPR – navazující předpisy jsou na spadnutí

JUDr. Tomáš Nielsen, magazín epravo.cz

Obecné nařízení o ochraně osobních údajů (GDPR) je v posledních letech nesporně ústředním tématem v oblasti ochrany osobních údajů. Důvodů je hned několik – vedle obrovských sankcí, které toto nařízení zavádí (za některé správní delikty lze uložit sankci až do výše 20 milionů eur, příp. 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší), se až překvapivě rychle blíží okamžik, kdy jím stanovené povinnosti začnou vyvolávat přímé účinky pro všechny osoby v Evropské unii. Nařízení zavádí řadu nových povinností a institutů, přičemž každý správce i zpracovatel osobních údajů se musí těmto povinnostem podřídit již do 25. 5. 2018.

Samotné nařízení je však pouze součástí celkové regulace, na kterou se budou muset subjekty údajů připravit. Každý stát má totiž uloženu povinnost provést vnitrostátními předpisy některé části GDPR, například v souvislosti s technikou řízení o správních pokutách apod. Vedle toho Evropská komise již více než rok pracuje na dalším nařízení – tentokrát o e-soukromí (tzv. ePrivacy Regulation). V lednu 2017 pak zveřejnila (po několikaměsíčních konzultacích) návrh tohoto nařízení.  

Jeho cílem je, jak alespoň tvrdí zástupci Komise, reagovat na rozvoj IT služeb. Nový předpis by tak měl upravit stávající předpisy do souladu s GDPR i aktuálním stavem trhu. Nařízení o e-soukromí by nově mělo přímo zasahovat subjekty na trhu, které se dosud pohybují v poměrně mlžném prostředí a jež tedy existující právo EU ovlivňuje spíše nesystémově. Jde výslovně o takové hráče, jako jsou provozovatelé aplikací WhatsApp, Facebook Messenger, Skype apod. Jejich pozice (a zejména jejich povinnosti při ochraně informací) by se měla srovnat s podmínkami, za nichž v EU podnikají tradiční telekomunikační operátoři. Elektronické komunikace by tak nadále měly požívat stejné ochrany bez ohledu na to, zda probíhají tradičními sítěmi, prostřednictvím klasických veřejných služeb elektronických komunikací, nebo prostřednictvím nových aplikací. Zpřísnění regulace by mohlo přinést jednu výhodu, a tou je sjednocení podmínek na trhu. Zatímco v tuto chvíli je většina sporů o aplikaci předpisového rámce elektronických komunikací na provozovatele online komunikačních nástrojů řešena až ex post, na úrovni Soudního dvora EU, nové nařízení by mělo odstranit nejasnosti a vnést tak do právního prostředí větší transparentnost. Nakolik bude tento cíl splněn, uvidíme v blízké budoucnosti.

Zajímavá je snaha poskytnout zvýšenou ochranu nejen samotnému obsahu komunikace, ale i tzv. metadatům, tedy typicky informacím o čase a době hovoru a jeho místě. Úroveň ochrany metadat se totiž dosud v členských zemích EU liší, a to dokonce i na úrovni tradičních telekomunikací (viz česká úprava tzv. provozních a lokalizačních údajů, která je pravidelně měněna v důsledku zásahů Ústavního soudu, jenž postupně sám poskytuje větší a větší ochranu i tomuto typu dat). Nařízení by mělo zavést povinnost anonymizovat nebo odstranit metadata, pokud provozovatel nebude mít souhlas s jejich zpracováním od uživatele nebo pokud je nebude potřebovat pro účely účtování.

Podle informací Evropské komise by nové nařízení mělo přinést jistotu i do oblasti nových služeb, které již dnes mobilní operátoři umějí nabídnout, neexistuje však jistota v tom, zda tak smí učinit.

Pozitivním deklarovaným cílem nařízení je zjednodušení pravidel týkajících se tzv. cookies. Mělo by tak dojít k omezení žádostí o souhlas, jimiž jsou uživatelé internetu v poslední době zahlcováni na každém kroku. Zpracování některých druhů cookies by dokonce nemělo vyžadovat souhlas vůbec (typicky cookies pro určování návštěvnosti stránek nebo pro zapamatování si nákupní historie zákazníků e-shopů apod.).

Nařízení by mělo rozšířit ochranu proti spamům, včetně marketingových hovorů. Nastaví nová pravidla, vyžadující například to, aby volající vždy zobrazili vlastní číslo nebo používali zvláštní předvolby, z nichž bude volanému na první pohled zřejmé, že jde o volání za účelem poskytnutí obchodního sdělení.

ePrivacy nařízení sjednotí rovněž postupy pro vymáhání pravidel ochrany informací. Pravomoc by v této oblasti měly převzít stejné orgány pro dozor nad ochranou osobních údajů, které budou pravomocné i k řešení sporů a porušení povinností z GDPR.

Další novinkou je zveřejnění jakýchsi nezávazných pravidel (Guidelines), upřesňujících některé nové instituty GDPR. Nedávno zveřejnila některá tato pravidla Pracovní skupina WP29. V tuto chvíli jde o vodítka upřesňující zejména problematiku pověřence pro ochranu osobních údajů, právo na přenositelnost údajů (čl. 20 GDPR) a dále určení tzv. vedoucího dozorového úřadu, tedy orgánu, který bude rozhodujícím při řešení otázek souvisejících s přeshraničním zpracováním osobních údajů (jak je tento institut upraven zejména v čl. 44-50 GDPR). Ačkoliv tyto Guidelines nejsou právními akty, tj. mají doporučující charakter, jde o zajímavý nástroj, který by alespoň částečně mohl omezit řadu výkladových nejasností, s nimiž se již nyní firmy i jednotlivci v EU v souvislosti se zavedením GDPR potýkají. WP29 v tuto chvíli zveřejňuje i další vodítka k otázkám posouzení vlivu na ochranu osobních údajů (tzv. impact assessment dle čl. 35 GDPR).

V souvislosti s GDPR je tak i nadále nutné sledovat řadu dalších aktivit na evropské i národní úrovni. Nová pravidla ochrany osobních údajů totiž budou upravena i v řadě předpisů navazujících na GDPR, ať již půjde o další nařízení či směrnice, nebo o zákony na národní úrovni. 

JUDr. Tomáš Nielsen

(Autor je partnerem kanceláře NIELSEN MEINL a dlouhodobě se specializuje na IT právo a ochranu osobních údajů.)

publikováno v magazínu e-pravo