Menu

Německý parlament schválil nový zákon o ochraně osobních údajů

Přestože je GDPR nařízením, nikoliv směrnicí a tudíž je automaticky platné ve stejném znění ve všech státech EU bez nutnosti jeho transpozice do lokálních legislativ, obsahuje v sobě zhruba 50 článků, které umožňují specifičtější a detailnější úpravu některých atributů GDPR formou národního zákona. Němci s ohledem na blížící se podzimní parlamentní volby tudíž přistoupili s důsledností sobě vlastní k přípravě a přijetí národního zákona a vydefinovali si tak některé povinnosti ještě přísněji než určuje GDPR.

Jednou z oblastí, kterou Němci pojali přísněji než stanoví GDPR, je povinnost jmenovat DPO neboli pověřence pro ochranu osobních údajů pro všechny společnosti s více než 10 zaměstnanci, pokud je zpracování osobních údajů jejich trvalou a hlavní činností. Dále mají povinnost jmenovat DPO všichni správci, kteří jsou povinni vést “DPIA neboli posouzení vlivu na ochranu osobních údajů nebo pokud komerčně zpracovávají osobní údaje pro účely jejich převodu, průzkumu trhu nebo výzkumu veřejného mínění a to bez ohledu na to, kolik mají zaměstnanců.

Další oblastí, která je dotčena přísnější úpravou podle německého zákona, je zpracování osobních údajů zaměstnanců. V případě, kdy je ke zpracování údajů vyžadován souhlas dotčené osoby, musí mít písemnou formu. Takový souhlas je považován za svobodně udělený, pokud je určen ke zpracování osobních údajů za účelem finančního benefitu pro zaměstnance a v rámci tohoto zpracování zaměstnavatel sdílí se zaměstnancem obdobný zájem.

Německo bylo kritizováno Evropskou komisí za přísnější úpravu případů, kdy osoba nemůže uplatnit právo přístupu, opravy a výmazu svých osobních údajů.

Kromě vysokých pokut, které GDPR nově zavádí, si mohou členské státy EU stanovit  ještě další postihy za porušení pravidel a povinností vyplývajících z nařízení. Německý zákon tak stanovil nový trestněprávní delikt, kterým je vědomý převod nebo zpřístupnění osobních údajů velkého množství osob. Musí se jednat o osobní údaje, které nejsou veřejně dostupné pro obchodní účely. Za tento delikt může být udělen trest odnětí svobody až ve výši 3 let.

Německo je prozatím jedinou zemí, která výrazným způsobem zpřísnila některé již tak tvrdé povinnosti vyplývající z GDPR, což rozhodně není trend, který by Evropská komise chtěla podporovat. Smyslem GDPR jakožto nařízení je udržet jednotnou právní úpravu ochrany osobních údajů v celé EU a zamezit tak přílišným odchylkám, které si mohou členské země v některých ohledech sami zvolit. Opačnou cestou se vydalo například Slovensko, které svoji novelu zákona o ochraně osobních údajů drží v mezích GDPR a plánuje její schválení na podzim tohoto roku. Česká republika se bohužel svojí novely zákona č. 101/2000 Sb. v tomto roce nedočká právě s ohledem na blížící se podzimní parlamentní volby.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v platnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018