Zbývá necelý rok do účinnosti Obecného nařízení o ochraně osobních údajů (angl. zkratka „GDPR“). Nařízení přináší nový právní rámec pro ochranu osobních údajů stejný pro všechny státy EU a zavádí některé nové instituty, které zpřísňují pravidla pro zpracování osobních údajů a posilují tak jejich ochranu. V médiích bývá toto nařízení přirovnáváno k zákonu o EET, neboť stejně jako on se dotkne téměř všech podnikatelů, ale také například škol a úřadů. Nákladnost přijetí opatření však bude v mnohém vyšší, stejně tak sankce za porušení tohoto nařízení. Je to zbytečná zátěž, nebo výhoda pro Vás?
Na koho bude mít nařízení dopad?
V oblasti podnikání se toto nařízení uplatní na všechny, ať už podnikatel zpracovává údaje zaměstnanců, dodavatelů, klientů či jakýchkoliv jiných občanů EU. Dopad nařízení se pochopitelně projeví nejvíce u podnikatelů, jež zpracovávají velké množství osobních dat, ale projeví se také u všech provozovatelů e-shopů a poskytovatelů služeb na internetu. U těch lze s určitostí říci, že se nevyhnou revizi stávajících obchodních podmínek.
Jaké změny přinese?
Nová úprava se projeví především požadavkem na zvýšení zabezpečení osobních dat. Pro velké zpracovatele dat (kam spadá například i email retargeting, věrnostní programy atd.) se zavádí například povinnost vést záznamy o zpracováních osobních údajů či povinnost jmenovat pověřence pro ochranu osobních údajů, který bude mít za úkol sledovat soulad zpracování s nařízením. Nově za osobní údaje budou považovány i tzv. soubory cookies, jež se uplatňují v oblasti cílené reklamy. Bude‑li je chtít provozovatel webu použít, bude nutné si od návštěvníka získat náležitý souhlas. To představuje významnou změnu oproti dnešní situaci, kdy lze cookies používat do té doby, dokud s jejich použitím není vysloven nesouhlas. Nařízení dále například stanoví přísnější požadavky ohledně tzv. informovaného souhlasu subjektu údajů se zpracováním osobních údajů. Ten již nadále nebude moci být součástí obchodních podmínek. Další povinnosti souvisí s výslovným zavedením některých práv, např. tzv. práva být zapomenut. To zjednodušeně řečeno znamená, právo osoby za určitých podmínek požadovat po provozovateli internetových stránek, aby ze stránek vymazal konkrétní informace o této osobě.
Proč vlastně EU zavádí nové nařízení?
Poskytování osobních údajů se stalo běžným a stále rozšiřujícím se jevem, ať už při nakupování online, registraci do nejrůznějších emailů či aplikací. Častá bagatelizace problému ze strany správců osobních údajů už v minulosti vedla k mnohým únikům a následnému zneužití těchto údajů.
Asi největším popudem pro EU byl však případ Snowden. Pan Snowden jako spolupracovník americké tajné služby NSA předal vybraným novinářům velké množství přísně utajených dokumentů o rozsahu sledování komunikace ze strany amerických úřadů na celém světě. Bylo odhaleno, jak velké množství dat mají americké úřady k dispozici bez vědomí občanů EU. Na tento popud pan Maxmilian Schrems, rakouský občan, požádal Facebook, který sídlí v Irsku, nicméně mateřskou společnost má v USA, aby mu sdělil, jaké údaje o něm zpracovává, a tedy de facto dává ke svévolné dispozici americkým úřadům. Odpovědí na jeho žádost bylo CD s několika tisíci stránkami, které obsahovaly nejen informace o jeho činnosti na Facebooku, ale rovněž informace, které Facebooku neposkytl nebo které již dávno smazal. Evropský soudní dvůr v tomto případě pochopitelně shledal pochybení, ale co bylo nejdůležitější, konstatoval, že ochrana osobních údajů občanů EU není v rámci dohody s USA dostatečná. Právě tyto dvě kauzy Snowden a Schrems bývají označovány za rozbušku k nastávající revoluci v ochraně osobních údajů v EU.
Faktem zůstává, že shromažďování osobních údajů považuje většina podnikatelů za naprostou samozřejmost, ale investice do jejich ochrany nikoliv. To je také jeden z mnoha důvodů, proč bude nařízení takové chování tvrdě trestat.
Hrozí nějaké sankce?
Ano, a ne malé. Oproti současnosti, kdy je možné v ČR udělit pokutu max. v řádech desítek milionů korun. Nařízení umožňuje, aby ten, kdo poruší své povinnosti, dostal pokutu až do výše 20 mil EUR, příp. do výše 4 % celkového čistého obratu.
Co tak lze podnikatelům doporučit?
V podstatě pro všechny podnikatele to znamená nechat si udělat jakýsi „právní audit“ údajů, které zpracovávají. Předtím je však třeba, aby si podnikatel sám sepsal, jaké zpracovává osobní údaje, jakým způsobem a k čemu. Toto je nezbytným podkladem pro každý právní audit. Výsledkem auditu by pak mělo být doporučení co a jak implementovat do chodu společnosti tak, aby toto zpracování bylo v souladu s nařízením. Na dotaz Úřadu pro ochranu osobních údajů by totiž měl být každý schopen říci, jaké údaje zpracovává, zda k nim má náležitý právní titul, tedy zákon, smlouvu nebo souhlas subjektu, a jakým způsobem je zabezpečuje. Jinak řečeno je nutné starat se o osobní údaje ať už v podobě papírové dokumentace, zašifrovaného disku, či uložení dat prostřednictvím zabezpečených cloudových služeb.
Lucie Demeterová
advokátka
DEMETER LEGAL, Lucie Demeterová, advokátní kancelář