Ochrana osobních údajů – Quo vadis Evropská unie?

Květen roku 2017 pomalu končí. To z pohledu ochrany osobních údajů znamená zejména to, že do nabytí účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) zbývá méně než rok.

Pokud se čtenáři s pojmem GDPR doposud nesetkali, dá se ve zkratce říci, že se jedná o snahu Evropské unie (dále jen „EU“) o sjednocení pravidel ochrany osobních údajů. Ta se uplatní nejen na území členských států, ale i na území třetích států v případech, kdy zde dochází ke zpracování osobních údajů občanů EU. Přestože je v dnešní době nastavení minimálních standardů při nakládání s osobními údaji nepochybně nutností, je zapotřebí si položit otázku, zda EU ve své bezmezné víře v sebe samu vyřešila tuto situaci legislativně vhodným způsobem.

GDPR jakožto evropský předpis má dle ustálené judikatury SD EU aplikační předost před vnitrostátními předpisy členských států a jako nařízení je i přímo aplikovatelné (práva a povinnosti v něm obsažená nemusí být pro jejich vymahatelnost transponována do vnitrostátního předpisu). EU ale k tomuto kroku přistupuje několik let poté, co největší „boom“ tvorby a přijímání právních norem na ochranu osobních údajů v jednotlivých členských státech proběhl. Fakticky tedy dojde ke změně fungujících a zažitých právních předpisů. Celá situace je o to více zvláštní, že přestože EU při své legislativní tvorbě v tomto případě shledala jako nejvhodnějším právním předpisem pro dosažení jednotné regulace nařízení, ponechává na členských státech, aby se od nařízení odchýlili vnitrostátní úpravou v některých jeho bodech.

Co pro nás GDPR přinese nového? S jistou mírou nadsázky se dá říci, že subjekty, jež nakládaly s osobními údaji doposud v souladu s platnou a účinnou právní úpravou v ČR (zákonem 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů), budou z velké části v souladu i s právní úpravou účinnou od 25. května 2018. GDPR nicméně zavádí některé nové právní instituty.

Pravděpodobně nejvýznamnějším institutem, který GDPR zavádí je tzv. pověřenec pro ochranu osobních údajů. Pověřence pro ochranu osobních údajů budou obligatorně jmenovat mj. orgány veřejné moci, které provádí zpracování osobních údajů s výjimkou soudů, dále subjekty, jejichž hlavní činností spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů a subjekty, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů (dnes citlivých osobních údajů).

Přestože je GDPR co do specifikace pověřence pro ochranu osobních údajů do jisté míry obecné, uvádí, že pověřence musí být jmenován na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v GDPR. Vezmeme-li v potaz že GDPR do jisté míry přenáší ochranu osobních údajů z roviny právní do roviny technické a rovněž úzce souvisí se zákonem 181/2014 Sb., o kybernetické bezpečnosti, bude se muset pověřenec pro ochranu osobních údajů velmi dobře orientovat v širokém spektru oborů. Současné odhady uvádějí, že v Evropě bude zapotřebí jmenovat přibližně 70 000 pověřenců pro ochranu osobních údajů. Vyskytly se už i ironické názory, že se jedná o pokus EU, jak snížit nezaměstnanost v členských státech.

Další novinkou je právo jakékoli osoby domáhat se sdělení, jakým způsobem daný subjekt nakládá s osobními údaji a povinnost subjektu tuto informaci poskytnout. Důsledky tohoto oprávnění si již každý domyslí sám.

V neposlední řadě pak GDPR zavádí možnost pro sdružení subjektů nebo zástupce subjektů zastupující různé kategorie správců nebo zpracovatelů osobních údajů vypracovat tzv. kodexy chování, které podléhají schválení dozorovým orgánem. Tyto kodexy pak obsahují vnitřní politiku nakládání s osobními údaji, která je pro daný subjekt závazná a zároveň může působit i jako exkulpační nástroj, pokud subjekt prokáže, že jednal v souladu se schváleným kodexem chování. Nutno poznamenat, že sankce, které mohou uloženy za nakládání s osobními údaji v rozporu s GDP, jsou astronomické.

Sečteno a podtrženo, EU si opět stanovila za cíl velmi ambiciózní projekt, který dokazuje, že EU je již dávno projektem v první řadě politickým a až následně hospodářským. Otázkou však zůstává, zda nová právní úprava přinese žádoucí efekt nebo vnese do relativně dobře fungujícího oboru práva na ochranu osobních údajů právní nejistotu. Druhou, a možná palčivější otázkou je, zda je skutečně zapotřebí tímto způsobem regulovat ochranu osobních údajů na nadnárodní úrovni nebo se jedná o snahu byrokratického aparátu vyvinout navenek chvályhodnou činnost či jde o další ryze populistické gesto.