Před 14 dny vyšlo v Úředním věstníku EU Obecné nařízení EU 2016/679 o ochraně osobních údajů (General Data Protection Regulation – GDPR). Platnosti sice nabude už za pár dní, uplatňovat se však začne ve všech členských zemích až za dva roky, konkrétně od 25. května 2018. Nařízení přináší velkou reformu celoevropských pravidel na ochranu osobních údajů. Schvalování nové úpravy rozhodně nebylo jednoduché, vyjednávání trvalo čtyři roky a výsledná podoba je nakonec do značné míry kompromisem.
Práva fyzických osob posílí
Nařízení každopádně upravuje práva a povinnosti fyzických osob, jejichž osobní údaje jsou zpracovávány, a subjektů, které údaje zpracovávají nebo za jejich zpracování odpovídají. Práva fyzických osob nařízení posiluje a subjekty, které jejich osobní údaje zpracovávají, budou muset vynaložit veškerou odbornou péči na eliminaci rizik spojených se zneužitím, neoprávněným přístupem nebo neoprávněným zveřejněním osobních údajů.
Nařízení též taxativně dává fyzickým osobám právo být zapomenut, především v případě, že zpracovávané údaje už nejsou potřebné pro účely, pro které byly shromážděny, nebo pokud sám občan odvolal svůj souhlas se zpracováním svých osobních údajů. Fyzické osoby navíc budou muset být vysloveně upozorněny, že mohou vznést námitku proti zpracování svých údajů pro účely přímého marketingu a podnikatel bude muset zpracování jejich údajů ukončit.
Čtěte také na Lupa.cz: Ochrání nám EU osobní údaje na internetu?
Firmy čeká řada novinek
Nové nařízení se ovšem dotkne i podnikatelů, kteří by se již na ně měli pomalu začít připravovat. Správci a zpracovatelé osobních údajů budou muset přijmout taková technická a organizační opatření, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s nařízením. Velké firmy k tomu budou muset vést detailní záznamy o zpracování údajů. Podniky, které zpracovávají ve velkém rozsahu citlivé údaje nebo provádějí rozsáhlé pravidelné a systematické monitorování subjektů údajů, budou muset najmout nového pracovníka – pověřence pro ochranu osobních údajů. Původně hrozilo, že jej budou muset mít všechny větší firmy, finální verze nařízení však hovoří jen o podnicích, které se zabývají citlivými údaji nebo pracují s big daty.
Pověřenec pro ochranu osobních údajů totiž bude mít ve firmách výsadní postavení. Jak uvádí čl. 38 nařízení, správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele,
doplňuje se v odstavci 3.
Nařízení by mělo firmám přinést i některá pozitiva. Vzhledem k tomu, že se zharmonizují datové režimy všech států EU, usnadní se firmám orientace v legislativě a obchodování na zahraničních trzích. Součást harmonizace rovněž tvoří koncept one-stop-shop (jednotného kontaktního místa pro ochranu údajů). Společnosti by ale měly myslet i na to, že nařízení zavádí přísnější sankce za porušení pravidel. Pokuta může v případě nejzávažnějších porušení předpisů činit až 20 milionů eur nebo 4 % celkového celosvětového ročního obratu firmy.
Na jaké oblasti si dát pozor
Přípravu na novou směrnici by neměly podcenit hlavně malé a střední firmy, které zpravidla žádné specialisty na problematiku ochrany osobních údajů nemají. Při výkladu nových pravidel GDPR se lze často setkat s názorem, že i když mnohé firmy nemají povinnost ustanovit člověka, který se bude zabývat touto tématikou, ten, kdo si chce být jistý, by si specialistu na ochranu údajů pořídit měl,
upozornila na serveru Lupa.cz Daniela Havlíková, nezávislá expertka na ochranu osobních údajů.
Na jaké oblasti si dát podle Havlíkové pozor?
- Definice osobních údajů – nově i cookies
- Nakládání s online identifikátory
- Souhlas
- Profilování
- Přenositelnost dat
- Pseudonymizace
- Pravomoci a možné střety regulátorů
Čtěte více na Lupa.cz: Máte právo být zapomenuti. Co změní reforma ochrany osobních dat?
Ustanovení je třeba konkretizovat
Přestože nařízení již vyšlo ve věstníku, obsahuje několik nejasností, které bude muset vysvětlit a upravit tuzemský regulátor (ÚOOÚ) ve svých pokynech. Český regulátor ale navíc bude podléhat novému celoevropskému orgánu European Data Protection Board (EDPB), který bude brzy zřízen. Jak doplnila na serveru Lupa.cz Daniela Havlíková, nejdůležitější bude získat právě co nejpřesnější výklad jednotlivých pojmů. Ve spolupráci s regulátory by pak měly firmy vypracovat seznam co nejvíce situací, které mohou nastat, a nastínit možná řešení. Všechny zúčastněné čeká mnoho práce a to, že čas kvapí, je nutno brát v potaz,
uvedla Havlíková.
Na některé problémy navíc odborníci upozorňují již nyní. Jsme znepokojeni odpovědností uloženou správcům údajů podle článku 7 paragrafu 4 tohoto nařízení, kde souhlas nevytváří právní základ ke zpracování údajů, panuje-li mezi osobou poskytující své údaje a jejich správcem významná nerovnováha. To představuje nejistotu v praxi a znamená to, že správci si nemohou být jisti, že konají v souladu s právními předpisy pro zpracování dat, a to dokonce i přesto, že jim k tomu dotyčná osoba udělila souhlas,
uzavřela Karin Pomaizlová, partnerka právnické kanceláře Taylor Wessing Praha.