GDPR čekají novinky – zjistěte, jak se nařízení změní a co to znamená pro podnikání

GDPR legislativa – úvod do problematiky

Od přijetí GDPR do české legislativy uplynulo více než 6 let a za tu dobu se s ním přímo i nepřímo setkal snad každý. Přesto si pojďme pro pořádek uvést, co GDPR je a čím se zabývá. Obecné nařízení o ochraně osobních údajů (GDPR) je komplexní soubor pravidel, která definují, jakým způsobem smějí firmy a organizace shromažďovat, používat a chránit osobní údaje fyzických osob v Evropském hospodářském prostoru (EHP). 

Koho se GDPR týká: 

• Firmy a organizace – bez ohledu na to, zda sídlí v EU, se GDPR vztahuje na všechny firmy a organizace, které zpracovávají osobní údaje fyzických osob v EHP. To zahrnuje i online aktivity, jako je provozování webových stránek a e-shopů. 
• Fyzické osoby – GDPR posiluje práva fyzických osob ohledně jejich osobních údajů. Mají právo na: 
  • Informace o tom, jak jsou jejich osobní údaje používané. 
  • Přístup ke svým osobním údajům a jejich kopiím. 
  • Opravu nesprávných osobních údajů. 
  • Výmaz svých osobních údajů v určitých definovaných případech. 
  • Omezení zpracování svých osobních údajů. 
  • Přenositelnost svých osobních údajů jinému správci údajů. 
  • Námitku proti zpracování svých osobních údajů v určitých případech. 

Firmy a organizace tedy musí proaktivně zavést a udržovat technická a organizační opatření, aby zajistily ochranu osobních údajů a dodržování principů GDPR. V případě porušení GDPR hrozí vysoké pokuty. 

→ Tip: Zjistěte, jaké největší pokuty padly za porušení GDPR v prvních letech od jeho zavedení.

Osobní údaje – co to přesně znamená?

V obecném smyslu jsou osobní údaje informace, které vedou k identifikaci konkrétního jedince. Patří sem běžné údaje jako jméno, příjmení, datum narození, adresa, e-mailová adresa, telefonní číslo, IP adresa, fotografie, ale i informace o věku, pohlaví, rodinném stavu a další. 

V rámci nařízení GDPR se rozlišují dva typy osobních údajů: 

1. Osobní údaje 

Jsou to výše uvedené informace, které samy o sobě vedou k identifikaci osoby. Zahrnují také biometrické údaje (otisky prstů, sken obličeje) a genetické informace a mohou se shromažďovat online i offline. 

2. Citlivé osobní údaje 

Jsou to specifické informace, které vypovídají o intimním a soukromém životě člověka. Patří sem údaje o: 

• rase a etnickém původu, 
• náboženském vyznání a politickém přesvědčení, 
• zdravotním stavu, 
• sexuální orientaci, 
• členství v odborech a specifických organizacích, 
• trestním rejstříku.

Přestože citlivé osobní údaje samy o sobě nemusí vést k identifikaci osoby, ve spojení s jinými informacemi mohou její identitu snadno odhalit a zneužít. Z tohoto důvodu je jejich ochrana prioritou. Zpracování citlivých osobních údajů tedy podléhá přísnějším pravidlům a vyžaduje zvláštní ochranu. 

→ Tip: Mohl by vás zajímat přehled 4 oblastí, které v rámci GDPR musíte ohlídat.

GDPR novinky – co se chystá a proč 

Ačkoliv je podle Rady EU současná úroveň ochrany osobních údajů úspěšná, je potřeba dalších pokynů, které budou reagovat na rozvoj digitalizace a technických nástrojů pro zpracování informací. Evropská komise dokonce vyzvala veřejnost, aby se podělila o své zkušenosti s GDPR z praxe a do 8. února 2024 mohl kdokoliv zaslat k GDPR směrnici EU připomínky či komentáře. Těžko říct, jak moc k nim budou při jednáních přihlížet, ale minimálně tím projevují zájem o názor obyvatel Evropské unie.  

Předsedkyně EDPB (Evropský sbor pro ochranu osobních údajů) Anu Talus k ochraně osobních údajů uvedla: „GDPR posílilo, modernizovalo a harmonizovalo zásady ochrany údajů v celé EU. Pokyny EDPB hrály klíčovou roli při informování jednotlivců a podniků o jejich právech a povinnostech podle GDPR. I nadále budeme podporovat implementaci GDPR zejména ze strany malých a středních podniků a obecně zvyšovat povědomí o GDPR. Spolupráce mezi orgány pro ochranu údajů a prosazování GDPR navíc nabraly na síle. Více než kdy jindy se EDPB zavazuje zajistit účinné a konzistentní vymáhání GDPR.“

Současná revize GDPR legislativy

Už teď se dá odhadnout, že plánované revize GDPR zahrnou několik klíčových oblastí: 

• zjednodušení procesů pro malé a střední podniky, 
• ujasnění pravidel pro věk souhlasu nezletilých v online prostředí, 
• zlepšení nařízení o mezinárodním předávání dat 
• nebo právní úpravy týkající se nových technologií jako umělá inteligence a blockchain.

Revize byl měla proběhnout ještě letos (2024). V době zveřejnění tohoto článku by měla Evropská komise vydat svoji druhou zprávu o hodnocení obecného nařízení o ochraně osobních údajů.

Není to první změna

Už v roce 2020 došlo k prvnímu kolu revizí GDPR legislativy, které byly motivované především roztříštěností implementace mezi jednotlivými členskými státy. Za nesoulad mohly především velké rozdíly v alokovaných zdrojích pro dozorové úřady, které mají na dodržování GDPR dohlížet. EU proto vytvořila soubor nástrojů pro předávání osobních údajů. Stále mezi nimi ale chybí standardizace kodexů chování, závazná podniková pravidla či certifikační mechanismy. Překážkou je pro mnohé firmy také příliš úzký výklad právního titulu „nezbytnosti“ pro splnění smlouvy se zákazníkem.  

→ Tip: Mohl by vás zajímat náš stručný průvodce GDPR a ochranou osobních údajů. 

Jaké konkrétní změny platné legislativy Rada EU požaduje?

Rada žádá Evropskou komisi o přezkoumání současných rozhodnutí o přiměřenosti ochrany dat v dalších státech. Také uznala, že u některých nástrojů pro mezinárodní přenos dat byl příliš složitý přijímací proces, který bránil v jejich využívání, a navrhuje zavedení co nejsrozumitelnější podpory pro jeho usnadnění. Nevyhovující je také mezinárodní přenos dat do třetích zemí. 

Důležitým bodem k doplnění, který byl před 6 lety ještě irelevantní, je kompatibilita s novou legislativou o kyberbezpečnosti a ochraně dat. Stejně tak je potřeba doplnit předpisy pro trénování a testování nových AI, IoT a IT aplikací a systémů (to se týká především softwarů, které pracují se speciálními kategoriemi osobních údajů, jako je třeba zdravotní stav). 

Rada dále požaduje, aby Komise stanovila jasné pokyny, jak ustanovení GDPR uplatňovat v souvislosti s novými právními předpisy jako DSA, DMA, DGA, Data Act, zákon o umělé inteligenci atd. Také chce upřesnit instrukce k anonymizaci a pseudonymizaci údajů, profilování a bodovému hodnocení. Rovněž i pravidla pro přenositelnost tzv. odvozených údajů, což jsou informace, které správci dat neposkytl přímo subjekt údajů. 

Tématem je také vytvoření podrobnějších pokynů pro ochranu nezletilých a zpracování osobních údajů, které jsou určené pro výzkum a archivaci. 

V říjnu loňského roku francouzská a německá vláda vyzvaly k tomu, aby GDPR mělo menší dopad na malé a střední podniky, očekává se tedy, že i toto bude součástí změn platné legislativy. 

→ Tip: Přečtěte si, jak postupovat při GDPR auditu.

Kontrolní plán ÚOOÚ

V únoru 2024 také uveřejnil Úřad pro ochranu osobních údajů plán kontrol dodržování GDPR pro letošní rok. Na svém webu uvádí, že se bude zaměřovat především na využívání dat z registru obyvatel orgány veřejné moci, nahrávání telefonických hovorů, zpracování osobních údajů v informačních systémech v rámci Schengenského prostoru, zpracování osobních údajů Policií ČR a rozesílání nevyžádaných obchodních sdělení.

Nechte to na nás

Chtěli byste mít jistotu, že budete vždy v souladu s platnou GDPR legislativou? Pak není nic jednoduššího, než se obrátit na nás. Poskytujeme služby nezávislého DPO a problematikou GDPR jsme provedli více než 150 klientů. Rádi pomůžeme i vám, ať už se řadíte mezi orgány státní správy nebo soukromé společnosti.