Jak to bude s ochranou osobních údajů po příchodu GDPR?
Od příštího roku (přesněji od 25. května 2018) začne být účinné nové nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, které je známé především pod anglických názvem General Data Protection Regulation (dále jen „GDPR“).
Jde o nový předpis, který sjednotí úpravu ochrany osobních údajů napříč Evropskou unií, v reakci na velice rychlý technologický vývoj v Evropě a ve světě. GDPR zavádí mnoho nových povinností pro správce a zpracovatele osobních údajů, na jejichž dodržování bude u nás dohlížet Úřad pro ochranu osobních údajů (dále jen „Úřad“) a při jejichž porušení budou moci být ukládány vysoké sankce.
Podle GDPR by měli být např. jednotlivci lépe informováni o zpracování osobních údajů, jakož i o jejich případném zveřejnění či zneužití. Dojde rovněž k posílení institutu tzv. “práva být zapomenut”, zpřísnění podmínek pro poskytování souhlasu se zpracováním osobních údajů či k usnadnění převodu osobních údajů navzájem mezi jednotlivými správci. Níže Vám přinášíme přehled hlavních změn, které v této oblasti GDPR od příštího roku přinese.
Souhlas se zpracováním osobních údajů
GDPR přinese přísnější požadavky na souhlas se zpracováním osobních údajů. Bude-li souhlas vyjádřen písemně v prohlášení týkajícím se i jiných skutečností (např. jako součást smlouvy či obchodních podmínek), bude muset být od těchto skutečností jednoznačně odlišitelný. V praxi to bude znamenat, že souhlas bude muset být poskytnut např. na samostatném papíře v rámci obchodních podmínek. Dále v souvislosti s rozsáhlým užíváním informačních technologií nezletilými bude muset být u dětí (převážně mladších 16 let) souhlas se zpracováním poskytnut vždy se souhlasem jejich rodičů nebo zákonných zástupců, což si lze v praxi představit jen s velkými obtížemi.
Pověřenec pro ochranu osobních údajů
Úplnou novinkou je institut tzv. pověřence pro ochranu osobních údajů, který bude muset být v konkrétních případech vymezených v GDPR jmenován (např. orgány veřejné moci či subjekty provádějícími zpracování tzv. citlivých údajů) jakožto odborník na oblast ochrany osobních údajů. Účelem pověřence bude především zajišťování souladu činností správce s GDPR, poskytování odborného poradenství správci v souvislosti s GDPR nebo spolupráce s dozorovým Úřadem.
Kodexy chování a vydávání osvědčení
Úplnou novinkou GDPR bude rovněž umožnění sdružením či obdobným subjektům zastupujícím různé kategorie správců nebo zpracovatelů vydávat tzv. kodexy chování (např. etický kodex advokátů či lékařů). Cílem těchto kodexů by mělo být upřesnění uplatňování GDPR v daném odvětví a jejich dodržování by mělo předpokládat přijetí dostatečných opatření pro zabezpečení osobních údajů. Na základě GDPR bude oprávněn Český institut pro akreditaci také vydávat tzv. osvědčení o ochraně údajů, jakož i tzv. pečeti a známky, které budou (podobně jako kodexy chování) zaručovat soulad s GDPR.
Právo na přenositelnost a na výmaz osobních údajů
GDPR zavádí nové právo subjektů údajů na tzv. přenositelnost údajů. Toto právo bude možné uplatnit jen v případech, kdy bude zpracování osobních údajů opřeno o souhlas subjektu nebo o smlouvu, které bude subjekt údajů smluvní stranou, a současně bude zpracování prováděno automatizovanými prostředky. Pokud subjekt údajů právo na přenositelnost u správce uplatní, bude správce povinen jeho osobní údaje předat ve strukturovaném a strojově čitelném formátu buď jemu samotnému, nebo napřímo novému správci (třeba při změně mobilního operátora).
Správci budou mít také povinnost osobní údaje na žádost subjektu údajů opravit nebo doplnit (např. dojde-li k jejich změně). Nadto budou mít subjekty údajů podle GDPR i nadále právo na výmaz svých osobních údajů (tzv. „právo být zapomenut“), při jehož uplatnění bude mít správce povinnost osobní údaje „bez zbytečného odkladu“ vymazat. Současně budou správci osobních údajů také povinni subjekty údajů o jejich právech náležitě informovat.
Zpracovatelská smlouva, zabezpečení osobních údajů a ohlašovací povinnosti
Pokud bude správce pověřovat zpracováním osobních údajů další subjekty, tzv. zpracovatele osobních údajů (např. pokud pro ukládání osobních údajů bude využívat externích poskytovatelů cloudových úložišť či vzdálených serverů), bude mít podle GDPR povinnost mít s nimi uzavřenou písemnou smlouvu o zpracování. Minimální povinné náležitosti této smlouvy jsou uvedeny přímo v GDPR.
Správce a zpracovatel budou také muset přijmout vhodná technická a organizační opatření, aby zajistili potřebnou úroveň zabezpečení osobních údajů odpovídající danému riziku – mezi tato budou spadat např. pseudonymizace a šifrování osobních údajů, zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů (vč. zálohování dat), antivirová ochrana, autentizační procesy, omezení přístupových práv apod. V případě porušení zabezpečení osobních údajů bude správce také povinen incidenty ohlašovat Úřadu a v případě vysokého rizika i samotným subjektům údajů, to vše bez zbytečného odkladu (Úřadu pokud možno do 72 hodin).
Závěr
GDPR přinese z pohledu ochrany osobních údajů velké změny. Současně stále ještě existuje mnoho výkladových nejasností s ohledem na to, jak bude uplatňování GDPR v praxi vypadat. Na jejich vyjasnění si ale budeme muset ještě nějakou chvíli počkat. Naprosto jasné už teď však je, že povinnosti plynoucí z nového nařízení se v budoucnu rozhodně nevyplatí porušovat, a to kvůli hrozbě značně vysokých sankcí, které se budou moci vyšplhat až do závratné výše 20 000 000 EUR, nebo, půjde-li o podnik, až do výše 4 % jeho celosvětového ročního obratu.
Další články
EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
Evropská databáze zdravotnických prostředků EUDAMED je jednou z nejvýznamnějších novinek, které přináší nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostických zdravotnických prostředcích in vitro (IVDR).
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
