Zbývá necelý rok do účinnosti Obecného nařízení o ochraně osobních údajů (angl. „GDPR“, zkratka General Data Protection Regulation). Nařízení EU přináší nový právní rámec pro ochranu osobních údajů stejný pro všechny státy EU a zavádí některé nové instituty, které zpřísňují pravidla pro zpracování osobních údajů a posilují tak jejich ochranu. Schváleno bylo GDPR 27. 4. 2017, ale účinnosti nabývá 25. 5. 2018. V médiích bývá toto nařízení přirovnáváno k zákonu o EET, neboť stejně jako on se dotkne téměř všech podnikatelů, ale také například škol a úřadů. Nákladnost přijetí opatření však bude v mnohém vyšší, stejně tak sankce za porušení tohoto nařízení. Je to zbytečná zátěž, nebo výhoda pro Vás?

Na koho bude mít nařízení GDPR dopad?

V oblasti podnikání se nařízení GDPR uplatní na všechny, ať už podnikatel zpracovává údaje zaměstnanců, dodavatelů, klientů či jakýchkoliv jiných občanů EU. Dopad nařízení se pochopitelně projeví nejvíce u podnikatelů, jež zpracovávají velké množství osobních dat, ale projeví se také u všech provozovatelů e-shopů a poskytovatelů služeb na internetu. U těch lze s určitostí říci, že se nevyhnou revizi stávajících obchodních podmínek.

Změny, které přinese Nařízení o ochraně osobních údajů

Nová právní úprava se projeví především požadavkem na zvýšení zabezpečení osobních dat. Pro velké zpracovatele dat (kam spadá například i email retargeting, věrnostní programy atd.) se zavádí například povinnost vést záznamy o zpracováních osobních údajů či povinnost jmenovat pověřence pro ochranu osobních údajů, který bude mít za úkol sledovat soulad zpracování s nařízením.

Nově za osobní údaje budou považovány i tzv. soubory cookies, jež se uplatňují v oblasti cílené reklamy. Bude‑li je chtít provozovatel webu použít, bude nutné si od návštěvníka získat náležitý souhlas. To představuje významnou změnu oproti dnešní situaci, kdy lze cookies používat do té doby, dokud s jejich použitím není vysloven nesouhlas.

Nařízení GDPR dále například stanoví přísnější požadavky ohledně tzv. informovaného souhlasu subjektu údajů se zpracováním osobních údajů. Ten již nadále nebude moci být součástí obchodních podmínek.

Další povinnosti souvisí s výslovným zavedením některých práv, např. tzv. práva být zapomenut. To zjednodušeně řečeno znamená, právo osoby za určitých podmínek požadovat po provozovateli internetových stránek, aby ze stránek vymazal konkrétní informace o této osobě.

Celý název právního předpisu nařízení GDPR

Pokud budete hledat celé znění GDPR, oficiální název zní:

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Proč vlastně EU zavádí nové nařízení?

Poskytování osobních údajů se stalo běžným a stále rozšiřujícím se jevem, ať už při nakupování online, registraci do nejrůznějších emailů či aplikací. Častá bagatelizace problému ze strany správců osobních údajů už v minulosti vedla k mnohým únikům a následnému zneužití těchto údajů.

EU případ Snowden a Schrems způsobily revoluci v ochraně osobních údajů v EU

Asi největším popudem pro Evropskou unii byl však případ Snowden. Pan Snowden jako spolupracovník americké tajné služby NSA předal vybraným novinářům velké množství přísně utajených dokumentů o rozsahu sledování komunikace ze strany amerických úřadů na celém světě. Bylo odhaleno, jak velké množství dat mají americké úřady k dispozici bez vědomí občanů EU. Na tento popud pan Maxmilian Schrems, rakouský občan, požádal Facebook, který sídlí v Irsku, nicméně mateřskou společnost má v USA, aby mu sdělil, jaké údaje o něm zpracovává, a tedy de facto dává ke svévolné dispozici americkým úřadům. Odpovědí na jeho žádost bylo CD s několika tisíci stránkami, které obsahovaly nejen informace o jeho činnosti na Facebooku, ale rovněž informace, které Facebooku neposkytl nebo které již dávno smazal. Evropský soudní dvůr v tomto případě pochopitelně shledal pochybení, ale co bylo nejdůležitější, konstatoval, že ochrana osobních údajů občanů EU není v rámci dohody s USA dostatečná. Právě tyto dvě kauzy Snowden a Schrems bývají označovány za rozbušku k nastávající revoluci v ochraně osobních údajů v EU.

Faktem zůstává, že shromažďování osobních údajů považuje většina podnikatelů za naprostou samozřejmost, ale investice do jejich ochrany nikoliv. To je také jeden z mnoha důvodů, proč bude nařízení takové chování tvrdě trestat.

Sankce za nedodržování nařízení GDPR

Hrozí podnikatelům nějaké sankce ze strany Nařízení o ochraně osobních údajů? Ano, a ne malé. Oproti současnosti, kdy je možné v ČR udělit pokutu max. v řádech desítek milionů korun. Nařízení GDPR umožňuje, aby ten, kdo poruší své povinnosti, dostal pokutu až do výše 20 mil EUR, příp. do výše 4 % celkového čistého obratu.

Co tak lze podnikatelům doporučit?

V podstatě pro všechny podnikatele to znamená nechat si udělat jakýsi „právní audit“ údajů, které zpracovávají. Předtím je však třeba, aby si podnikatel sám sepsal, jaké zpracovává osobní údaje, jakým způsobem a k čemu. Toto je nezbytným podkladem pro každý právní audit. Výsledkem auditu by pak mělo být doporučení co a jak implementovat do chodu společnosti tak, aby toto zpracování bylo v souladu s nařízením. Na dotaz Úřadu pro ochranu osobních údajů by totiž měl být každý schopen říci, jaké údaje zpracovává, zda k nim má náležitý právní titul, tedy zákon, smlouvu nebo souhlas subjektu, a jakým způsobem je zabezpečuje. Jinak řečeno je nutné starat se o osobní údaje ať už v podobě papírové dokumentace, zašifrovaného disku, či uložení dat prostřednictvím zabezpečených cloudových služeb.


Lucie Demeterová
Advokátka

Lucie Demeterová má více než 12-ti letou praxi. Nejprve poskytovala právní poradenství v rámci nadnárodní společnosti Deloitte Advisory s.r.o., poté vystupovala v roli podnikového právníka pro skupinu Home Credit a konečně se rozhodla pro samostatnou advokátní kancelář. Právní služby poskytuje v oblasti IT práva a ochrany osobních údajů, práva obchodního, pracovního a nemovitostí. Advokátní kancelář ve Strakonicích založila v září 2016.

DEMETER LEGAL

Lucie Demeterová, advokátní kancelář

Ev.č. ČAK 16484, IČO: 04437390
Sídlo: Palackého náměstí 113, 386 01 Strakonice
Telefon: (+420) 608 822 771

E-mail: [email protected]

Web: http://www.demeterlegal.cz/

3.5/5 - hodnocení čtenářů