Obecné nařízení o ochraně osobních údajů je přímo použitelným právním předpisem (práva a povinnosti plynou přímo z nařízení). Nehledě na to si však jeho správné fungování z řady důvodů žádá odpovídající uzpůsobení národní legislativy národními právními předpisy.
Po téměř roce od nabytí platnosti obecného nařízení se českému zákonodárci podařilo ukončit zavádění obecného nařízení o ochraně osobních údajů (GDPR) do právního řádu České republiky zdárným završením legislativního procesu zákona č. 110/2019 Sb., o zpracování osobních údajů, a souvisejícího změnového právního předpisu (zákona č. 111/2019 Sb.). Oba jmenované předpisy nabyly účinnosti dne 24. dubna 2019.
Zákon o zpracování osobních údajů:
-
adaptuje do právního řádu České republiky obecné nařízení o ochraně osobních údajů (hlava č. I., II.),
-
odpovídajícím způsobem ukotvuje Úřad pro ochranu osobních údajů jako instituci vykonávající dohled nad dodržováním pravidel plynoucích z obecného nařízení a
-
vymezuje skutkové podstaty přestupů na úseku ochrany osobních údajů (hlava VI.), tzn. zavádí plnohodnotný a jistý podklad pro postih porušení povinností podle obecného nařízení
-
reaguje i na související evropskou legislativu (např. na směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV).
Z hlediska jednotlivých práv a povinností podle obecného nařízení zákon o zpracování osobních údajů zejména:
-
konkretizuje právní tituly pro zpracování osobních údajů;
-
rozvádí a upřesňuje povinnost posuzování slučitelnosti účelů;
-
určuje věk dítěte pro udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (odchylně od základního pravidla v obecném nařízení) na 15 let,
-
nabízí možné způsoby plnění informační povinnosti podle obecného nařízení v případech zpracování osobních údajů realizovaných pro splnění právní povinnosti nebo pro provádění veřejného zájmu,
-
řeší oznamování oprav, změn a omezení zpracování zpracovávaných údajů pro případy zpracování ve společných evidencích,
-
zakládá výjimku z posouzení vlivu zpracování osobních údajů na ochranu údajů pro případy zpracování osobních údajů založených správci osobních údajů právním předpisem,
-
vymezuje některé případy omezení práv subjektů údajů,
-
stanoví výjimku z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů,
-
konkretizuje možnosti nakládání s osobními údaji, jejichž zpracování bylo omezeno ve smyslu obecného nařízení,
-
vymezuje pojem veřejný subjekt a tím i upřesňuje povinnost jmenovat pověřence pro ochranu osobních údajů,