GDPR straší velké firmy i drobné podnikatele. Na jaké změny se musí připravit?
Jméno, bydliště, telefonní číslo anebo e-mail. To všechno jsou podle nového evropského nařízení takzvané osobní údaje. A ty mají být od 25. května letošního roku pod důkladnější ochranou. Konkrétní pravidla přináší evropské nařízení o ochraně osobních údajů, které je známé pod zkratkou GDPR. Jak se termín účinnosti zákona blíží, setkáváme se s ní stále častěji. Koho se nařízení vlastně týká a jaké změny máme očekávat?
Co je to GDPR?
General Data Protection Regulation je obecné nařízení Evropského parlamentu a Rady o ochraně osobních údajů. Bylo přijato v dubnu 2016 po čtyřletém vyjednávání. Platí už od 24. května 2016, účinné ale bude teprve od 25. května 2018. Od tohoto data budou pravidla závazná na celém území Evropské unie – ve 28 členských státech a také na území EFTA, tedy Norska, Islandu a Lichtenštejnska.
GDPR má za úkol výrazně zvýšit ochranu osobních údajů občanů. Zpřísňuje požadavky na souhlas se zpracováním osobních údajů, v dokumentech skončí třeba předvyplněná políčka. „Nařízení vyžaduje robustnější technická, organizační a bezpečnostní opatření u správců údajů, tedy těch, kteří osobní údaje zpracovávají, a posiluje práva fyzických osob, například zavádí právo na kopii zpracovávaných údajů,“ říká právník Zonky Roman Loučka. Za nedodržení pravidel navíc umožňuje uložit mnohem vyšší sankce. Pokuty mohou dosahovat až 20 milionů eur nebo 4 % celosvětového obratu podniku. „Právě tyto vysoké sankce přilákaly k ochraně osobních údajů obrovskou pozornost a bohužel také mohou za někdy až hysterické a iracionální reakce,“ dodává Loučka ze Zonky.
Nové povinnosti pro zaměstnavatele i podnikatele
Společnostem, které zpracovávají osobní data svých zaměstnanců, zákazníků nebo pacientů, přibude nemálo nových povinností. Budou muset lépe komunikovat se subjekty údajů. Zároveň budou muset mít pečlivěji zmapované, s jakými údaji, jakým způsobem, jak dlouho a na jakém právním základě s nimi zacházejí. K tomu bude sloužit i tzv. záznam o činnostech zpracování. Záznam bude obsahovat název a kontaktní údaje společnosti, důvod zpracování údajů, popis kategorií subjektů, osobních údajů a organizací, které údaje obdrží, případně přenos dat třetím stranám, lhůtu pro jejich odstranění a popis bezpečnostních opatření.
Nejistotu ale vyvolává už základní otázka – co je to vlastně osobní údaj? Osobním údajem totiž není pouze jméno, příjmení a rodné číslo a další základní identifikační údaje. Osobním údajem je prakticky všechno, co ke konkrétnímu člověku (i nepřímo identifikovatelnému například prostřednictvím IP adresy) máme: například výše příjmu, výpis z účtu, vzdělání, údaj o prohlížení internetových stránek, životopis zaměstnance apod.).
Tyto povinnosti platí i pro podnikatele a OSVČ, kteří pracují s osobními daty lidí. A nemusí to být pouze velké firmy se zaměstnanci! Změny musí například zapracovat i malé e-shopy. Osobní údaje totiž často obsahují jejich objednávkové dotazníky, nezbytné pak jsou na fakturách.
Dubnové údaje obchodní platformy Shoptet přitom ukazují, že na zavedení GDPR není připraveno až 85 procent českých elektronických obchodů, které nechávají vše na poslední chvíli.
Povinnost zpracovávat řádně osobní údaje se bude aplikovat i na údaje zaměstnanců. I zde bude muset zaměstnavatel dbát na jejich ochranu, bude muset hledat tzv. právní základ pro jejich zpracování a hlavně bude muset své zaměstnance o zpracování osobních údajů informovat.
Dobrou zprávou pro správce je, že k většině zpracování nebude třeba souhlas. Souhlas se například nemusí sbírat, pokud konkrétní činnost, při které dochází ke zpracování osobních údajů, nařizuje zákon. Nebo pokud je zpracování osobních údajů nezbytné pro jednání o uzavření smlouvy nebo pro její plnění. Správce také nemusí mít souhlas pro zpracování, které je nezbytné pro ochranu jeho oprávněného zájmu, avšak za předpokladu, že takové zpracování je očekávatelné, nemá nepříznivý dopad na subjekt údajů a ten je o něm informován – jedná se například o přímý marketing.
Nejasné právo na výjimku
Udržovat podrobné rejstříky může stát víc energie a času než samotné podnikání. Nařízení proto počítá s některými výjimkami.
Pokud například podnikatel osobní údaje zpracovává nahodile, pro osobní potřebu nebo jsou data zcela anonymizovaná, GDPR se na něj nevztahuje. Další výjimka zbavuje povinnosti vést záznamy o činnostech zpracování. Vztahuje se ale pouze na firmy s méně než 250 zaměstnanci, které nepracují s rizikovými a v GDPR definovanými citlivými údaji nebo zpracování není příležitostné.
Jenže právě tady vzniká prostor pro zmatky. Výklad totiž není jednoznačný, a tak se zdá, že na výjimky jen tak někdo nedosáhne.
Výjimka se třeba neuplatní, pokud není zpracování dat jen příležitostné. Již zmíněný e-shop ale usiluje o pravidelný prodej a i malé firmy musí pravidelně zpracovávat údaje o svých zaměstnancích.
Málokoho zřejmě mine i povinnost vést záznamy o zpracování. Neexistuje totiž přesná definice toho, co znamená „rizikové zpracování“. „Obecně jde o případy, kdy může být způsobena nezanedbatelná újma dotčeným osobám. Jenže na základě úniku osobních údajů z e-shopů by si třeba mohl někdo sjednat úvěr. A to jistě závažný zásah do osobních práv a svobod je,“ doplňuje právník společnosti Zonky Roman Loučka.
Neznalost neomlouvá
Nejbezpečnější tedy bude nad uplatněním výjimky zatím dopředu nepřemýšlet. Chyba – byť z nevědomosti – by totiž mohla předznamenat i nemalou sankci.
Na druhou stranu, byť má GDPR jasně stanovené datum účinnosti, nelze předpokládat, že hned 25. 5. 2018 začnou padat vysoké pokuty. I Úřad pro ochranu osobních údajů se snaží mírnit obavy. Z hlediska dalšího vývoje doporučujeme sledovat jak internetové stránky ÚOOÚ, tak stránky pracovní skupiny WP 29, kde budou uveřejňována výkladová stanoviska k vybraným článkům GDPR.
|
15.5.2018
PředchozíDalší
| | |