V polovině dubna tohoto roku Evropský parlament schválil finální podobu nových pravidel v oblasti ochrany osobních údajů. Čtyřleté vyjednávání vyústilo v přijetí dvou předpisů - obecného nařízení o ochraně osobních údajů a směrnice, která zakotvuje standardy zacházení s osobními daty ze strany orgánů činných v trestním řízení. Závaznosti nabudou oba předpisy za dva roky; směrnici musí členské země do 6. května 2018 převést do vnitrostátní legislativy, nařízení začne platit od 25. května 2018 bez dalšího. Směrnice bude mít značně specifické uplatnění, níže proto zmiňujeme jen hlavní rysy nařízení.
Díky formě úpravy přímo závazným nařízením má být naplněn jeden z hlavních záměrů reformy, a sice jednotná úroveň ochrany soukromí i jejího vymáhání ve všech 28 členských státech. Regulace nebude omezena pouze na nakládání s údaji na území Unie, ale bude dopadat i na firmy zde neusazené, budou-li zpracovávat osobní údaje fyzických osob, které se nacházejí v EU. Typicky půjde o nabízení zboží a služeb v členských státech nebo monitorování chování osob na jejich území (včetně např. formou cookies).
I když je výsledné znění kompromisem rozdílných zájmů dotčených stran (včetně např. zájmu na volném pohybu osobních údajů, které si nařízení vytklo jako jeden ze svých cílů), pro firmy bude často představovat výrazně přísnější úpravu vzhledem k řadě nových povinností i jejich větší odpovědnosti při zpracování osobních údajů, jakož i k některým nově zakotveným právům subjektů údajů, tedy fyzických osob.
Z pohledu subjektů údajů je hlavním mottem nové úpravy navrácení kontroly nad jejich soukromím zpět do jejich rukou. To se odráží již i v důrazu kladeném na základní požadavky na souhlas se zpracováním osobních údajů – ten musí být, tak jako doposud, nejen svobodný, konkrétní, informovaný a jednoznačný, ale nově se bude vyžadovat, aby správci osobních údajů navrhovali subjektům údajů jasné a jednoduché souhlasy.
V podstatně širším rozsahu jsou garantována práva subjektu údajů vůči správci, zejména právo na informace, přístup ke zpracovávaným údajům a jejich kopii, na jejich opravu, výmaz, omezení zpracování či přenesení k jinému správci.
Subjekt údajů musí být výslovně upozorněn na právo vznést námitku proti zpracování svých údajů pro účely přímého marketingu, jejímž důsledkem je povinnost ukončit toto zpracování.
Správci a zpracovatelé osobních údajů budou povinni přijmout taková technická a organizační opatření, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s nařízením. Na řadu firem dopadne povinnost vést detailní záznamy o zpracování údajů, bez výjimky pak na podniky s alespoň 250 zaměstnanci. Orgány veřejné moci s výjimkou soudů, podniky, které zpracovávají ve velkém rozsahu citlivé údaje nebo provádějí rozsáhlé pravidelné a systematické monitorování subjektů údajů, musí ustanovit osobu zodpovědnou za tuto agendu – svého inspektora ochrany osobních údajů. Pokud bude hrozit, že zpracování osobních údajů bude představovat riziko pro práva a svobody fyzických osob, bude správce před jeho započetím povinen vypracovat posouzení vlivu na ochranu osobních údajů, v určitých případech i konzultovat rizika s dozorovým úřadem, tj. v ČR s Úřadem pro ochranu osobních údajů.
Zvláštní ochrana se týká dětí. Zpracování osobních údajů souvisejících s nabídkou služeb informační společnosti může odsouhlasit samo dítě až od 16 let věku, do této hranice bude třeba souhlasu rodičů. Správce údajů má „vyvinout přiměřené úsilí“ k ověření, zda se tak skutečně stalo. Pro tento případ stanoví nařízení jednu z nemnohých výjimek, kdy členské státy mohou přijmout odchylnou úpravu; věková hranice však musí činit nejméně 13 let.
Konečně značný rozdíl jak proti stávající úpravě, tak i původnímu návrhu nařízení, nastává ve výši možných sankcí za porušení povinností v oblasti ochrany osobních údajů. Pokuta v případě nejzávažnějších deliktů může být uložena až do výše 20 mil. EUR nebo 4 % celkového celosvětového ročního obratu podniku; uplatní se přitom vyšší z uvedených limitů.