Ochrana osobních údajů je v České republice regulována právním předpisem, a to zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a dalšími právními předpisy. V českém ústavním právu je ochrana osobních údajů a soukromí zakotvena i v Listině základních práv a svobod.
Právo ochrany osobních údajů je taky regulováno nadzákonnými právními instrumenty. Základním nadzákonním právním předpisem je úmluva Rady Evropy č. 108 ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat, vyhlášená pod č. 115/2001 Sb., která pro Českou republiku nabyla účinnosti dne 1. listopadu 2001. Tuto úmluvu doplňuje dodatkový protokol Rady Evropy z 8. listopadu 2001 č. 181 k úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice, vyhlášený pod č. 29/2005 Sb., který pro Českou republiku nabyl účinnosti dne 1. července 2004.
Z hlediska Evropské unie je základem v ochraně osob smlouva o fungování Evropské unie ve znění Lisabonské smlouvy a Charta základních práv Evropské unie. Základem zákonné regulace je směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která bude od 25. května 2018 nahrazena obecným nařízením o ochraně osobních údajů (dále jen „GDPR”), protože nedrží krok s technologickým vývojem. A taktéž český zákon o ochraně osobních údajů bude nahrazený GDPR a českým adaptačním zákonem.
GDPR představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.
Od 25. května 2018 přidává obecné nařízení o ochraně osobních údajů (GDPR) nové povinnosti:
Záznamy o činnostech – všichni – bude třeba vést záznamy o činnostech, které se s osobními údaji provádějí.
Ohlašování případů porušení zabezpečení – všichni – druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů do 72 hodin od zjištění takového incidentu. Hlásit je třeba závažné incidenty s předpokládanými závažnými důsledky. Pokud dojde k úniku dat, např. v bance, kde máte uloženy peníze, a hrozilo by, že o ně můžete v důsledku toho přijít, bude mít banka povinnost oznámit to i vám, v krajním případě i veřejným oznámením takového závažného incidentu.
Kodexy a osvědčení – dobrovolně – Pokud v některých odvětvích, např. při podnikání, dochází ke stejným nebo velmi podobným činnostem s osobními údaji, může pro to být, např. profesním sdružením, vypracován kodex chování.
Pověřenec pro ochranu osobních údajů – jen někdo – Úřady a jiné orgány, které rozhodují o právech občanů, a patří k nim i školy, budou muset jmenovat pověřence pro ochranu osobních údajů, osobu, která se bude této problematice věnovat a upozorňovat na případné nedostatky. Předpokládá se, že bude problematice ochrany osobních údajů v příslušném odvětví rozumět. Pověřencem může být jak vlastní zaměstnanec, tak externista. Poměrně široce tak lze využít možnosti, že jeden pověřenec bude moci takovou činnost vykonávat pro více úřadů, škol, ale i nemocnic, protože ty také budou mít povinnost pověřence jmenovat z hlediska velkého množství údajů o zdravotním stavu pacientů v informačním systému nemocnice. Pověřencem ale nemůže být šéf organizace nebo oddělení informatiky, protože by byl ve střetu zájmů.
Posouzení vlivu a konzultace s Úřadem – jen někdo – Stejně jako jmenování pověřence není ani posouzení vlivu na ochranu osobních údajů a předchozí konzultace s Úřadem pro ochranu osobních údajů povinností obecně platnou, týká se těch, kdo hodlají provádět s osobními údaji rozsáhlé rizikové operace, spočívající například v rozsáhlém profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě, nebo rizikovost spočívá ve využití nových technologií používaných, např. na velké množství údajů o zdravotním stavu pacientů. Seznam těchto operací bude Úřadem pro ochranu osobních údajů zveřejněn.
Sankce – vždy přiměřené – porušení obecným nařízením stanovených povinností při takových rizikových operacích prováděných ve velkém objemu dat, zpravidla velkými nadnárodními společnosti, se mohou týkat maximální, obecným nařízením stanovené sankce, dosahující značných částek. Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační.
Ochrana osobních údajů je v České republice regulována právním předpisem, a to zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a dalšími právními předpisy. V českém ústavním právu je ochrana osobních údajů a soukromí zakotvena i v Listině základních práv a svobod.
Právo ochrany osobních údajů je taky regulováno nadzákonnými právními instrumenty. Základním nadzákonním právním předpisem je úmluva Rady Evropy č. 108 ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat, vyhlášená pod č. 115/2001 Sb., která pro Českou republiku nabyla účinnosti dne 1. listopadu 2001. Tuto úmluvu doplňuje dodatkový protokol Rady Evropy z 8. listopadu 2001 č. 181 k úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice, vyhlášený pod č. 29/2005 Sb., který pro Českou republiku nabyl účinnosti dne 1. července 2004.
Z hlediska Evropské unie je základem v ochraně osob smlouva o fungování Evropské unie ve znění Lisabonské smlouvy a Charta základních práv Evropské unie. Základem zákonné regulace je směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která bude od 25. května 2018 nahrazena obecným nařízením o ochraně osobních údajů (dále jen „GDPR”), protože nedrží krok s technologickým vývojem. A taktéž český zákon o ochraně osobních údajů bude nahrazený GDPR a českým adaptačním zákonem.
GDPR představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.
Od 25. května 2018 přidává obecné nařízení o ochraně osobních údajů (GDPR) nové povinnosti:
Záznamy o činnostech – všichni – bude třeba vést záznamy o činnostech, které se s osobními údaji provádějí.
Ohlašování případů porušení zabezpečení – všichni – druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů do 72 hodin od zjištění takového incidentu. Hlásit je třeba závažné incidenty s předpokládanými závažnými důsledky. Pokud dojde k úniku dat, např. v bance, kde máte uloženy peníze, a hrozilo by, že o ně můžete v důsledku toho přijít, bude mít banka povinnost oznámit to i vám, v krajním případě i veřejným oznámením takového závažného incidentu.
Kodexy a osvědčení – dobrovolně – Pokud v některých odvětvích, např. při podnikání, dochází ke stejným nebo velmi podobným činnostem s osobními údaji, může pro to být, např. profesním sdružením, vypracován kodex chování.
Pověřenec pro ochranu osobních údajů – jen někdo – Úřady a jiné orgány, které rozhodují o právech občanů, a patří k nim i školy, budou muset jmenovat pověřence pro ochranu osobních údajů, osobu, která se bude této problematice věnovat a upozorňovat na případné nedostatky. Předpokládá se, že bude problematice ochrany osobních údajů v příslušném odvětví rozumět. Pověřencem může být jak vlastní zaměstnanec, tak externista. Poměrně široce tak lze využít možnosti, že jeden pověřenec bude moci takovou činnost vykonávat pro více úřadů, škol, ale i nemocnic, protože ty také budou mít povinnost pověřence jmenovat z hlediska velkého množství údajů o zdravotním stavu pacientů v informačním systému nemocnice. Pověřencem ale nemůže být šéf organizace nebo oddělení informatiky, protože by byl ve střetu zájmů.
Posouzení vlivu a konzultace s Úřadem – jen někdo – Stejně jako jmenování pověřence není ani posouzení vlivu na ochranu osobních údajů a předchozí konzultace s Úřadem pro ochranu osobních údajů povinností obecně platnou, týká se těch, kdo hodlají provádět s osobními údaji rozsáhlé rizikové operace, spočívající například v rozsáhlém profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě, nebo rizikovost spočívá ve využití nových technologií používaných, např. na velké množství údajů o zdravotním stavu pacientů. Seznam těchto operací bude Úřadem pro ochranu osobních údajů zveřejněn.
Sankce – vždy přiměřené – porušení obecným nařízením stanovených povinností při takových rizikových operacích prováděných ve velkém objemu dat, zpravidla velkými nadnárodními společnosti, se mohou týkat maximální, obecným nařízením stanovené sankce, dosahující značných částek. Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační.