Jaké byly důvody pro modernizaci právního rámce zpracování osobních údajů?
Prvním byla zastaralost právní úpravy, která vycházela z reality osmdesátých let minulého století a obtížně se aplikovala na nové technologie, nástroje a postupy pro zpracování osobních údajů, jako jsou služby cloud computingu, on-line aplikace či prvky chytrého měření (smartmetering). Evropský zákonodárce se úpravou legislativy snaží přiblížit rozmanitosti a rychlosti vývoje praxe zpracování osobních údajů.
GDPR je technologicky neutrální, použije se pro zpracování osobních údajů bez ohledu na zvolenou technologii, ale některé povinnosti vyplývající z GDPR závisí na míře rizika, jakou dané zpracování ve svém kontextu pro dotčené osoby představuje. Snahu po větší pružnosti nové právní úpravy můžeme vidět také v zavádění nových povinností správců a zpracovatelů, které jsou natolik obecně a technologicky neutrálně formulovány, že je správci musí plnit bez ohledu na případné nové prostředky či prostředí, ve kterých zpracování dat provádějí. Jmenovat můžeme nové koncepty Privacy by Design a Privacy by Default, povinnost vést záznamy o zpracování, reportovat případy porušení zabezpečení osobních údajů a další.
Druhým důvodem pro modernizaci byla roztříštěnost současné právní úpravy zpracování osobních údajů v členských státech Unie. Každý členský stát směrnici 95/46 do národního práva převedl s mírnými odchylkami, lišil se i výklad různých národních dozorových úřadů. Zejména pro ty společnosti, které působí na území více členských států Evropské unie, proto bylo problematické a nákladné provádět přeshraniční zpracování osobních údajů, protože jedno a totéž zpracování dat například v České republice podléhalo souhlasu dotčené osoby, zatímco dle výkladu polského dozorového úřadu takového souhlasu zapotřebí nebylo, a naopak podle praxe v Německu bylo nezbytné toto zpracování tamnímu dozorovému úřadu předem oznámit, nicméně v České republice bylo možné aplikovat některou z výjimek z oznamovací povinnosti.
Nařízení má proto za účel odstranit, anebo alespoň výrazně snížit tuto roztříštěnost. Je přímo aplikovatelné, uplatní se přímo na každý subjekt, který na území EU zpracovává osobní údaje nebo kdekoliv na světě zpracovává osobní údajů obyvatel EU. Členské státy zruší své národní zákony o ochraně osobních údajů, v případě České republiky zákon č. 101/2000 Sb., a případně je nahradí novými předpisy, které upraví jen některé aspekty, kde to GDPR umožňuje. Ta největší část pravidel však je upravena přímo a jednotně v GDPR.
Dalším krokem ke sjednocení praxe je zavádění tzv. mechanismu jednotnosti dozoru, který spočívá především v možnosti, resp. povinnosti dozorových úřadů spolupracovat v případě prošetřování přeshraničních zpracování osobních údajů, a také vytvoření nové evropské instituce, Evropského sboru pro ochranu osobních údajů. Sbor je složen ze zástupců dozorových úřadů z jednotlivých států a mezi jeho úkoly patří sjednocování praxe a rozhodování sporů při výkladu nařízení jednotlivými dozorovými úřady např. při společné kontrole.
Třetím důvodem, který Komise při zveřejnění prvního návrhu GDPR v roce 2012 pro novou regulaci uváděla, byl záměr snížit administrativní zátěž spojenou se zpracováním osobních údajů. GDPR většině správců a zpracovatelů naopak řadu nových administrativních či procesních povinností ukládá, takže deklarovaný záměr Komise, zdá se, nebyl zcela naplněn.
Cílem nově vydané audio příručky je být praktickým a srozumitelným průvodcem pro denní využití a pomoci s výkladem a aplikací práva a zajištěním všech nezbytných úkolů pověřencům pro ochranu osobních údajů působících především v soukromých společnostech, ve státní správě, samosprávě a dalších veřejných institucích.
