Jistě jste již zaregistrovali zmínky o nové, a stále více diskutované právní úpravě ochrany osobních údajů, která vznikla na půdě Evropské unie a která do života podnikatelů přináší nové povinnosti. Hovoříme o Obecném nařízení na ochranu osobních údajů (angl. General Data Protection Regulation) neboli GDPR. Kdy tato revoluce vypukne? Koho a jak se nařízení dotkne? Jaké povinnosti z něj vyplývají pro podnikatelské subjekty? Je to pouze pro ty, kdo podnikají na internetu? Co hrozí při porušení povinností? Přinést Vám alespoň základní odpovědi na tyto otázky má za cíl následující článek.
Kdy?
Nařízení bylo schváleno již na jaře loňského roku. Od té doby běží všem, kteří zpracovávají osobní údaje, dvouletá lhůta na to, aby nová pravidla v rámci své činnosti zohlednili. Nařízení se stane účinným 25. května 2018. Tento den se zdá být relativně vzdálený a řada podnikatelů na promítnutí nové úpravy nijak nespěchá. Avšak s ohledem na podstatné změny nelze než doporučit začít se na tuto změnu připravovat již nyní, a to v duchu hesla, „Kdo jest připraven, není poté (nemile) překvapen.“ Nemilým překvapením v této souvislosti mohou být zejména sankce, které lze bez nadsázky označit za astronomické. Nařízení je přímo aplikovatelné, tzn. není zapotřebí jej do českého právního řádu provádět zákonem a dotčené subjekty se tak budou dnem účinnosti GDPR řídit přímo pravidly v něm stanovenými. Nařízení sjednocuje úpravu v rámci Evropské unie a uplatní se tak ve všech jejích členských státech, za určitých okolností bude mít dopad i na subjekty stojící mimo EU.
Kdo, jak a co?
Na koho bude mít GDPR dopad konkrétně? V oblasti podnikání se toto nařízení uplatní ve všech směrech, ať už podnikatel zpracovává údaje zaměstnanců, dodavatelů či klientů. Obecně nové nařízení přinese pro podnikatele větší administrativní zátěž, a to z důvodu rozsáhlejší evidenční povinnosti, a dále potřebu nových investic souvisejících se zavedením vyhovujících opatření na zabezpečení zpracovávaných údajů. U větších správců/zpracovatelů osobních dat také vznikne povinnost zřídit zvláštní pozici pověřence na ochranu osobních údajů. Ten bude mít za úkol monitorovat stav ochrany osobních údajů v rámci podniku a nastavovat pravidla tak, aby vše bylo v souladu s danou legislativou.
Vzhledem k tomu, že přijetí nařízení reaguje také na enormní nárůst poskytování osobních údajů a jejich zpracování v prostředí internetu, pravidla v něm uvedená se tak významně dotknou rovněž všech internetových zpracovatelů. Nová úprava se projeví např. tím, že za osobní údaje budou považovány i tzv. soubory cookies (soubory automaticky ukládané do počítače návštěvníka webové stránky, obsahující informace o uživateli, o jeho chování a provedených volbách), jež se uplatňují v oblasti cílené reklamy. Bude-li je chtít provozovatel webu použít, bude nutné si od návštěvníka získat náležitý souhlas. To představuje významnou změnu oproti dnešní situaci, kdy je cookies možné užít do té doby, pokud s nimi není vysloven nesouhlas (nejedná-li se o stránky používající některé „Google nástroje“, tyto již zpravidla souhlas vyžadují na základě smluvních podmínek s „Googlem“).
Nařízení dále stanoví přísnější požadavky ohledně tzv. informovaného souhlasu subjektu údajů se zpracováním osobních údajů, je-li jejich souhlas se zpracováním zapotřebí. Informace bude muset být poskytnuta jasně, srozumitelně (ve formě přijatelné – „stravitelné“ pro návštěvníka webu) a odděleně od ostatních sdělení či smluvních podmínek. Tento dopad se projeví např. u provozovatelů e-shopů, poskytovatelů služeb na internetu apod. Ti se jistě nevyhnou revizi stávajících obchodních podmínek.
Další povinnosti souvisí s výslovným zavedením některých práv, např. tzv. práva být zapomenut a práva portability. Právo být zapomenut je, zjednodušeně řečeno, právo osoby za určitých podmínek požadovat po provozovateli internetových stránek, aby ze stránek vymazal konkrétní informace vztahující se k této osobě. Právo portability pak přináší poskytovateli služby povinnost předat osobní údaje určité osoby (požádá-li o to tato osoba) jinému poskytovateli.
Nařízení řeší rovněž otázku tzv. „Velkých dat“ (angl. Big data) a s tím související problematiku tzv. profilování. Co to znamená? Velmi jednoduše podáno se jedná o sběr velkého a různorodého množství informací, zahrnující rovněž naše osobní údaje (avšak nejen ty). Tyto informace jsou následně zpracovány. Výsledkem zpracování je v podstatě rekonstrukce našeho všedního života. Na základě těchto dat je možné získat informace o tom, jak žijeme, co se nám líbí, nelíbí, a dokonce předvídat naše budoucí rozhodnutí. Vzhledem k tomu, že informace jsou již nějakou dobu tím nejcennějším artiklem, lze očekávat, že právě obchod s „Velkými daty“ bude v budoucnu tím nejvýnosnějším byznysem. S ohledem na nebezpečí, která s sebou tento fenomén nese, jsou pravidla v nařízení zaměřena rovněž tímto směrem. S ohledem na komplexnost tohoto tématu se však problematice „Velkých dat“ a profilování budeme více věnovat v některém z našich příštích příspěvků.
Hrozí nějaké sankce?
Ano, a ne malé. Oproti současnosti, kdy je možné v ČR udělit pokutu max. v řádech desítek milionu korun (přičemž takto vysoké pokuty nejsou zpravidla využívány) nařízení umožňuje, aby ten, kdo poruší své povinnosti, dostal pokutu až do výše 20 mil EUR, příp. do výše 4 % celkového čistého obratu.
Co tak lze podnikatelům doporučit?
Povinností, které nařízení ukládá, je celá řada a nelze je zde všechny náležitě obsáhnout a rozebrat. Lze tak jen doporučit následující: Nechte si provést analýzu současného stavu ochrany osobních údajů v rámci svého podnikání a zjistěte, kde by mohly být shledány nedostatky. Realizujte doporučení a příslušná opatření. Vyhnete se tak riziku výše zmíněných pokut, které by svou výší mohly být i likvidační. Naše advokátní kancelář se v současné době touto problematikou intenzivně zabývá a je tak připravena svým klientům v této oblasti poskytnout veškerou právní podporu a poradenství.
Kateřina Hakrová
advokátní koncipient
DEMETER LEGAL, Lucie Demeterová, advokátní kancelář