Nová definice osobních údajů přidělá firmám vrásky, počítat musí s vyššími náklady

Zdroj: shutterstock.com; autor: Mathias Rosenthal

Reformní balíček ochrany osobních údajů, který byl navržen v roce 2012 a který v současnosti schvalují instituce EU, podle Komise reaguje na potřebu dnešního digitálního světa posílit právo na soukromí uživatelů internetu. Změny přinese například nová definice osobního údaje, která je podle podniků potřebná, může ale znamenat další náklady, a proto se některým evropským firmám příliš nezamlouvá. Nejedná se však o všechny podniky, některým totiž vůbec nevadí.

Upravit unijní pravidla týkající se ochrany osobních údajů je podle Evropské komise skutečně potřeba. Legislativa EU, která se této problematice věnuje, totiž pochází z roku 1995. Od té doby však svět zaznamenal obrovský technologický pokrok, na který bylo nutné reagovat. Evropská komise proto v roce 2012 navrhla reformní balíček ochrany osobních dat, který má být schválen do konce roku.

Rozporuplné reakce vyvolává hlavně návrh nařízení, který má stanovit obecný unijní rámec ochrany osobních údajů a který se zabývá i změnou jejich definice.

Současný zákon ČR o ochraně osobních údajů říká, že subjektem ochrany údajů je fyzická osoba, ke které se tyto údaje vztahují, a následně se dlouze věnuje tomu, co osobní údaj vlastně je. Konkrétně se podle zákona jedná například o jméno, adresu nebo e-mail, může to však být i informace, která dopomáhá osobu identifikovat, například částka její výplaty.

Firmy jako Facebook, Microsoft, Google nebo Seznam musí systémů zanalyzovat a přeprogramovat mnohem více, proto jsou náklady vyšší.

Návrh nařízení však definici obrací a zaměřuje se především na to, co je fyzická osoba a jak ji lze identifikovat. To je podle advokátky zabývající se právem v IT technologiích Hany Gawlasové způsob, jak definici rozšířit.

Nově se totiž zaměřuje především na to, co je fyzická osoba a jak ji lze identifikovat, osobním údajem je pak míněna jakákoliv informace, která se vztahuje k dané osobě.  Definice proto zahrnuje například i tzv. ‚location data‘, tedy souřadnice, nebo další identifikátory. Pokud se tato data poskládají vedle sebe, mohou určit konkrétní osobu.

Do nové definice mají podle návrhu spadat i některé typy tzv. cookies, což se nelíbí především online obchodům, které je využívají pro cílenou reklamu. Proti zahrnutí cookies do definice osobního údaje je například i nejvýznamnější český vyhledavač Seznam.cz (EurActiv 26.3.2014).

Nebylo to optimální

Přestože mohou firmy s nařízením mnoha ohledech nesouhlasit, uvědomují si, že je změna potřeba, zdůrazňuje advokátka. „Řekla bych, že z části novou úpravu zpracovatelé dat vítají, protože ta stará opravdu není na jejich způsob fungování optimální,“ říká Gawlasová.

Jedním dechem ale upozorňuje na to, že rozšířená definice bude mít na firmy podnikající na území EU, které s osobními daty nakládají, velký dopad. Kvůli změně budou totiž nuceny upravit fungování vlastních systémů, které zpracovávají osobní údaje zákazníků a zaměstnanců. To s sebou přinese další náklady.

Gawlasová je přesvědčená, že nejvíce to bude stát velké mezinárodní korporace, jejichž systémy zabývající se osobními daty jsou z 99 % zautomatizované. Budou proto muset zaplatit vývojářům a dodavatelům softwaru, aby tyto systémy upravili, říká.

„Když jste zaměstnavatel 500 lidí, je to samozřejmě nákladově mnohem nižší udělat analýzu a systém předělat. Avšak firmy jako Facebook, Microsoft, Google nebo Seznam musí systémů zanalyzovat a přeprogramovat mnohem více, proto jsou náklady vyšší,“ myslí si advokátka.

Nová definice by zvýšila náklady nejen velkým mezinárodním firmám, ale i online obchodníkům, což potvrzuje i výkonný ředitel Asociace pro elektronickou komerci (APEK) Jan Vetyška.

„Pokud k rozšíření definice opravdu dojde, bude to samozřejmě pro internetové prodejce znamenat další náklady,“ řekl pro EurActiv Vetyška.

Manažerka regulace společnosti T-Mobile Alice Selby, která se v rámci své agendy zabývá i ochranou osobních údajů, však změnu vnitřních systémů jako finančně náročnou nevnímá a nařízení považuje za velmi potřebné.

„Přestože v důsledku nového nařízení budeme muset změnit vnitřní procesy, vnímáme jako globální operátor působící v mnoha evropských zemích velké přínosy přímé harmonizace režimu nakládání s osobními údaji v rámci EU,“ řekla redakci.

Opětovné přepracování dokumentů

Rozšířená definice osobního údaje bude pro podniky v EU znamenat i více povinností. Firmy budou muset další zpracování osobních dat nahlásit jak spotřebitelům a zaměstnancům, tak jednotlivým regionálním úřadům. Zároveň budou muset přepsat obchodní podmínky, smlouvy se zákazníky nebo marketingová prohlášení.

„Obecně z nařízení vyplývají povinnosti pro obchodníky, které budou znamenat další administrativní zatížení a možné komplikace, přičemž úpravu všeobecných obchodních podmínek můžeme považovat za jednu z těch méně náročných – nedojde-li ovšem na další speciální požadavky,“ uvedl pro EurActiv výkonný ředitel APEK s tím, že jakékoli další administrativní nařízení odvádí obchodníky od jejich hlavní činnosti – prodeje zboží či služeb

Jak připomíná advokátka Gawlasová, české subjekty absolvovaly velkou změnu dokumentů nedávno, a to v souvislosti s novým občanským zákoníkem, který je v platnosti od ledna loňského roku. Po přijetí reformního balíčku ochrany osobních dat, který chce Evropská komise schválit do konce roku, budou muset k přepracování vlastních dokumentů přistoupit znovu.

Starosti pro spotřebitele

Návrh nařízení podle Evropské komise cílí zejména na uživatele internetu, kterým má zajistit větší ochranu jejich osobních dat. Starosti především ve formě větší administrativní zátěže se však nevyhnou ani jim.

Například zákazníci bank, telekomunikačních operátorů nebo online obchodů budou muset prostudovat či podepsat nové všeobecné obchodní podmínky, dát nový souhlas s nakládáním s údaji, nebo se budou muset online identifikovat. Některé firmy navíc tvrdí, že náklady s tím spojené budou muset přenést i na spotřebitele. Tím pádem by se zvedly ceny třeba při nákupu na internetu.

„Otázkou je, jak moc to podniky budou chtít pro spotřebitele udělat uživatelsky přátelské. Věřím, že se budou snažit, aby to bylo pro zákazníky náročné co nejmíň,“ uvedla Gawlasová.

Autor: Eliška Kubátová