Revoluce v ochraně osobních údajů se blíží, velkým firmám budou hrozit větší pokuty

GDPR

© Shutterstock / Sergey Nivens

V EU se radikálně změní pravidla pro ochranu osobních údajů. Nové nařízení začne sice platit až v květnu příštího roku, podnikatelé ale mají plné ruce práce už teď. Na nová pravidla se totiž musí řádně připravit. V opačném případě jim budou hrozit pokuty do výše 20 milionů eur nebo do 4 % jejich globálního ročního obratu.

Evropskou unii čeká v příštím roce revoluce v oblasti ochrany osobních údajů. V květnu totiž vejde v platnost nové obecné nařízení o ochraně dat (General Data Protection Regulation, GDPR), které výrazně zpřísní požadavky na jejich zpracovávání. Jelikož se jedná o nařízení, pravidla budou od 25. května 2018 bezprostředně vynutitelná ve všech členských státech bez ohledu na znění národních předpisů. Pozor si tak musejí dát všechny fyzické a právnické osoby, které uchovávají a zpracovávají jakékoli osobní údaje. V extrémním případě jim hrozí pokuty až do výše 20 milionů eur či 4 % globálního ročního obratu firmy. Doposud bylo přitom možné udělit pokutu do výše 10 milionů korun. Menší subjekty nebo obce se však takových částek obávat nemusí.

V dnešním digitálním věku je zpracovávání osobních údajů běžnou součástí obchodních a pracovních vztahů, nařízení bude mít proto dopad na velký počet podnikatelů. S daty svých zaměstnanců pracuje 93 % podnikatelů, 67 % z nich pak zpracovává údaje o svých obchodních partnerech.

Havlíček: Nařízení se bude týkat několikanásobně více subjektů než například EET

Firmy se náležitě připravují, jde totiž o hodně

Podle průzkumu Asociace malých a středních podniků a živnostníků ČR (AMSP ČR) se v reakci na nařízení chystá provést změny zabezpečení dat na 64 % menších a středních firem. A dokonce 74 % firem se chystá na GDPR proškolit své zaměstnance. Z důvodu obrovského dopadu nařízení na české firmy Asociace nedávno spustila i speciální internetové stránky www.gdprbezobav.cz.

„Proaktivní přístup našich členů vítáme a svědčí to o jejich velmi dobrém právním povědomí a přijímání odpovědnosti za své podnikání. GDPR je třeba brát velmi vážně. AMSP se proto malým a středním podnikatelům snaží maximálně pomoci a zřízením portálu „GDPR bez obav“ průběžně otevírat nejen aktuální témata implementace, ale v případě zájmu i poradit v konkrétních případech,“ uvádí Zdeněk Tomíček, člen představenstva AMSP ČR, který je za problematiku GDPR odpovědný.

„Vycházíme-li z toho, že je u nás 450 tisíc aktivních právnických subjektů a další milion osob samostatně výdělečně činných, potom je zřejmé, že se nové evropské nařízení bude týkat několikanásobně více subjektů než například EET. Proto již nyní začínáme s masivním informačním servisem a připravujeme firmy na změny,“ doplňuje předseda AMSP ČR Karel Havlíček.

A podobný zájem projevuje i Hospodářská komora, která v souvislosti s blížící se platností nařízení vydala příručku s informacemi pro podnikatele, jak mají při změnách postupovat. Pod její záštitou v Praze 23. listopadu proběhne i celodenní konference, která se na GDPR zaměří.

„Nová regulace zacházení s osobními údaji souvisí přímo s nástroji, které dnes a denně podnikatelé používají. Ať už to jsou fakturační systémy, HR systémy s údaji o zaměstnancích, nebo CRM systémy pro řízení vztahů se zákazníky, uchovávání kontaktů a informací o probíhajících obchodních procesech,“ uvádí prezident Hospodářské komory Vladimír Dlouhý.

„Dodržování GDPR bude muset přitom každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím samozřejmě velká administrativní zátěž,“ dodává.

Dlouhý: Dodržování GDPR bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování

Právo být zapomenut a povinný pověřenec

A co nového GDPR vlastně přináší? K povolenému zpracování osobních údajů už nebude stačit pouze souhlas dotyčné osoby. Zpracování bude muset nově sloužit ke konkrétnímu účelu, který musí být jednoznačně specifikován a nesmí odporovat zákonu.

Další novinkou bude tzv. právo být zapomenut. Podle tohoto pravidla musí poskytovatel internetových služeb, konkrétně internetový vyhledávač, smazat nechtěné informace o uživateli, pokud o to požádá a pokud k jejich zachování není žádný legitimní důvod. EU tak reaguje na rozsudek Evropského soudního dvora, který dal před několika lety zapravdu španělskému občanovi, který v Lucemburku zažaloval společnost Google. Domáhal se toho, aby světově známá firma smazala jeho osobní údaje, které už neměly být při vyhledávání jeho osoby viděny.

Nařízení toho však přináší mnohem více. Někteří správci a zpracovatelé budou mít nově povinnost jmenovat pověřence pro ochranu osobních údajů. Upraví se také pravidla jejich přenositelnosti a zavádí se i nová povinnost posouzení vlivu na ochranu údajů. Povinné bude i vedení záznamů o činnostech zpracování a fyzické osoby získají právo na potvrzení o zpracovávání dat, přístup ke svým údajům či právo na opravu chyb. Případné porušení ochrany dat pak musí být podle nových pravidel oznámeno do 72 hodin, a to jak fyzické osobě, tak Úřadu na ochranu osobních údajů.

Pokud jde o zmíněné pověřence, tato povinnost se bude týkat všech orgánů veřejné moci a veřejných subjektů, a to bez ohledu na to, jaká data zpracovávají. Pověřence ale budou muset jmenovat i další organizace, které „jako hlavní činnost systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů“, stojí ve stanovisku týkajícím se nařízení.

GDPR ale zpřesňuje i samotné udělování souhlasu se zpracováním údajů, a to tím, že zakazuje předvyplňování políček a řádků v příslušných dokumentech. Samotný pojem osobních údajů pak nová pravidla rozšiřují třeba i na biometrické prvky jako je sken oční sítnice. Pod pojem se totiž nově zařadí „veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě“.

GDPR zpřesňuje i udělování souhlasu se zpracováním údajů, a to tím, že zakazuje předvyplňování políček

GDPR není vše, navázat na něj má ještě e-privacy

Na GDPR by v příštím roce mělo navázat ještě jedno nařízení s názvem e-privacy, které se týká ochrany soukromí při využívání telekomunikačních služeb.

Jeho návrh navazuje na osm let starou směrnici a Komise jej předložila na počátku roku 2017. Základním cílem e-privacy je to, aby se povinnosti v oblasti ochrany soukromí týkaly i nových internetových služeb typu WhatsApp, Skype, Facetime apod. Poskytovatelé telekomunikačních služeb – ať klasických, či internetových – tak budou mít v oblasti ochrany osobních dat stejné povinnosti.

Operátoři a poskytovatelé služeb mohou podle nového návrhu data svých uživatelů analyzovat a zpracovávat pouze v případě, kdy je to nutné k zajištění bezpečnosti takové komunikace. Pokud jde o uchovávání a zpracovávání metadat, to je podle navrženého nařízení možné pouze v případě nutnosti zaručit kvalitu služeb nebo z důvodů fakturačních. Samozřejmostí je i možnost takového zpracovávání osobních údajů po souhlasu samotného spotřebitele. V takovém případě je však třeba souhlas každých šest měsíců obnovovat.

Škorničková: GDPR by mělo obsahovat mnohem více konkrétních a jednoznačných ustanovení, protože jeho obecná povaha vyvolává v současné době značné rozpaky

Nařízení e-privacy je ve vztahu k GDPR tzv. lex specialis, obecné nařízení tedy v určitých aspektech specifikuje a konkretizuje. „Jde zejména o tzv. cookies, dále OTT (Over the Top) služby, jakými jsou Whatsapp, Facetime,Viber, Skype, atd.,“ upřesnila pro server EurActiv Eva Škorničková, právní konzultantka pro ochranu dat a GDPR.

Obě nařízení by měla nabýt účinnosti ve stejný den, tedy 25. května 2018. V případě e-privacy je ale toto datum značně nejisté. Jen v Evropském parlamentu k němu bylo předloženo na 800 pozměňovacích návrhů.

„Určitě nedojde k žádné úpravě GDPR, které je ve vztahu k e-privacy nadřazeným předpisem, tudíž cokoliv nebude explicitně upraveno v e-privacy, tak se bude řídit GDPR. Obě nařízení by měla být v souladu, tj. specifická úprava v e-privacy nesmí být v přímém rozporu s GDPR. A to bude právě ten největší oříšek pro Evropský parlament, aby tento princip dodržel,“ dodává Škorničková.

„Já si myslím, že obě normy je třeba přijmout právě s ohledem na fakt, že technologický vývoj je obrovský a současná právní úprava v oblasti ochrany dat je z roku 1995. Na druhou stranu se ale domnívám, že by GDPR mělo obsahovat mnohem více konkrétních a jednoznačných ustanovení, protože jeho obecná povaha vyvolává v současné době značné rozpaky a to jak na straně všech organizací, které jsou povinny se jím řídit, tak i na straně dozorových orgánů,“ uzavírá.