ČR | Řadu pravidel, která GDPR obsahuje, již naše právo dlouhou dobu zná a tato pravidla se běžně používají. Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, tedy GDPR) nabývá účinnosti 25. května 2018.
Ze všech informačních kanálů se valí informace o tom, že GDPR obsahuje spoustu nových povinností pro podnikatele a že uvedení chodu společnosti do souladu s nařízením je drahé a náročné. Velká část informačního šumu však pochází z toho, že mnozí novopečení odborníci na ochranu osobních údajů se snaží čerpat z obecné neznalosti GDPR a ze strachu, který z ní vychází.
Krůček po krůčku – od směrnice k nařízení
GDPR je v podstatě přímým nástupcem evropské směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nové nařízení sdílí s původní směrnicí většinu principů a terminologii ochrany osobních údajů. Směrnice byla do českého práva zavedena prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů. Řadu pravidel, která GDPR obsahuje, tak již naše právo dlouhou dobu zná a tato pravidla se běžně používají.
Jedním z hlavních důvodů pro přijetí nařízení bylo sjednocení úpravy ochrany osobních údajů v rámci celé Evropské unie. Směrnice totiž vyžaduje, aby ji každý členský stát nějakým způsobem převedl do svého právního řádu, čímž mohou vznikat větší či menší odchylky. Jedno nařízení, jež je přímo aplikovatelné v každém členském státu, se snaží tento nevhodný stav napravit. GDPR dále zpřesňuje a zpřehledňuje některé principy, které nejsou v dosavadní úpravě zcela jasně stanoveny, což mnohdy způsobuje výkladové problémy. Není tedy třeba mít obavy z toho, že přichází něco zcela nového, co naprosto mění dosavadní pojetí ochrany osobních údajů.
Asi nejčastěji omílaným pojmem v souvislosti s osobními údaji je souhlas s jejich zpracováním. Vzniká dojem, že jej správce potřebuje k jakémukoliv nakládání s údaji. Ve skutečnosti však jde pouze o jeden z důvodů, který umožňuje zpracovávat osobní údaje. Dalším neméně důležitým důvodem je plnění smlouvy. Například u kupní smlouvy uzavřené prostřednictvím e-shopu tak lze zpracovat jméno, příjmení, adresu, kontaktní a platební údaje zákazníka bez nutnosti získávat od něj souhlas. Pokud by však údaje měly být použity k dalším marketingovým účelům, získání souhlasu již nutné je.
Zdroj: dTest