Srovnání nařízení GDPR a zákona o ochraně osobních údajů
Koncepce GDPR je z pohledu správce poněkud jiná než ZOOU. ZOOU stanovoval poměrně explicitně nejrůznější povinnosti správce a rovněž obecnou ohlašovací povinnost ÚOOÚ. Směrnice 95/46/ES, ze které vycházel ZOOÚ, stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto byla tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob.(odst. 89 úvodních ustanovení GDPR).
GDPR je poněkud obecnější, když v podstatě stanovuje zásady zpracování osobních údajů a pak jednu hlavní povinnost správce a to zpracovávat osobní údaje v souladu s těmito zásadami. Dílčím způsobem pak stanovuje, jak v určitých případech postupovat. ZOOU se tak zaměřoval spíše na formální stránku věci, GDPR pak spíše na materiální stránku věci.
V odst. 39 úvodních ustanoveních GDPR lze najít krásné shrnutí zásad, na základě kterých by mělo být prováděno zpracování osobních údajů.
Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití.
O to je posouzení řádného zpracování osobních údajů dle GDPR složitější než při posuzování zpracování dle ZOOU. GDPR stanovuje obecné mantinely, ale způsob řešení (postup správce při zpracování osobních údajů) spíše naznačuje, než striktně přikazuje. Každopádně tím dociluje efektu, že správce musí o zpracování osobních údajů přemýšlet právě v intencích základních zásad a vymyslet, jak je naplnit. To s sebou mimo jiné nese potřebu určitého auditu zpracování osobních údajů v tom smyslu, že je třeba agendy, při kterých se osobní údaje zpracovávají roztřídit podle účelu zpracování a nad každým účelem zpracování se zamyslet samostatně.
Zákon o ochraně osobních údajů zaváděl obecnou povinnost zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Z ní pak existovaly nejrůznější výjimky. GDPR zavádí trochu jinou koncepci. Povinnost zpracovávat osobní údaje pouze se souhlasem subjektu údajů výslovně nestanovuje. Stanovuje povinnost zpracovávat osobní údaje pouze ze zákonných důvodů, přičemž jedním ze zákonných důvodů je právě souhlas subjektů se zpracováním jejich osobních údajů. V rámci GDPR je tak vyžadována zákonnost zpracování, kdy souhlas je jedním z těchto způsobů. Ostatní zákonné důvody zpracování v podstatě korespondují s tím, co ZOOU stanovoval jako výjimku z povinnosti zpracovávat osobní údaje pouze se souhlasem subjektu údajů.
GDPR používá terminologii zvláštní kategorie údajů. Z obsahu je však zřejmé, že pojmenováním zvláštní kategorie údajů se myslí citlivé údaje. V čl. 10 úvodních ustanovení GDPR je to zmíněno výslovně, že zvláštní kategorií osobních údajů jsou citlivé osobní údaje.
Pokud jde o pojmenování tak ona citlivost znamená, že se jedná o kategorie osobních údajů, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody. (odst. 51 úvodních ustanovení GDPR). Zvláštními kategorie osobních údajů definuje GDPR tak, že jde o údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. (čl. 9 odst. 1 GDPR). V rámci porovnání se zákonem o ochraně osobních údajů je zřejmé, že dle GDPR není citlivým údajem údaj o národnostním původu. Rovněž není citlivým údajem údaj odsouzení za trestný čin, nicméně GDPR stanovuje přísnější režim při zpracování těchto údajů, takže se přibližuje k citlivým osobním údajům.
GDPR koncepci citlivých údajů rozvádí následovně: Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov "rasový původ" v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod. (odst. 51 úvodních ustanovení GDPR).
Rozdíly mezi GDPR a zákonem o ochraně osobních údajů je rovněž v právech subjektů údajů, která GDPR značně rozšiřuje.