S rozvojem internetu, GPS, elektronizace a chytrých výrobků je spojen i nebývalý nárůst informací, které lze prostřednictvím těchto nástrojů shromáždit o fyzických osobách a firmách a použít je pro profilování a cílený marketing. Významně narůstá množství tzv. “datakopeckých“ firem, které v této oblasti podnikají.
Tato situace vyvolala potřebu zvýšené ochrany osobních údajů, na které zareagovala EU schválením nařízení č. 2016/679 tzv. Obecného nařízení o ochraně osobních údajů (GDPR). Toto Obecné nařízení platí ve všech zemích EU, účinnosti nabude ke dni 25.5.2018.
GDPR představuje jednotnou celoevropskou úpravu ochrany osobních údajů a v České republice plně nahradí stávající z. č. 101/2000 Sb. o ochraně osobních údajů. Jak je zvykem v EU, GDPR necílí pouze na oblast internetu, ale pro jistotu stanoví povinnosti všem podnikatelům, kteří při obchodním styku získávají osobní údaje fyzických osob nepodnikatelů i podnikatelů (ať už se jedná o zákazníky, zaměstnance či obchodní partnery podnikatele) a dále s nimi nakládají (uchovávají je v účetnictví, v softwarových aplikacích své firmy či s nimi dále marketingově pracují). Takové podnikatelské subjekty jsou z pohledu GDPR správci osobních údajů a jsou povinny splnit všechny povinnosti stanovené GDPR pro jejich způsob nakládaní s osobními údaji. (Na údaje právnických osob se GDPR nevztahuje.)
Je stanovena široká škála povinností správce: od povinnosti fyzické osoby informovat o způsobu nakládání s osobními údaji, získat souhlas k nakládání s osobními údaji, vést záznamy o činnostech zpracování, až po povinnost vypracování posouzení vlivu na ochranu osobních údajů a jmenování pověřence pro ochranu osobních údajů.
Rozsah povinností jednotlivých správců se liší dle více ukazatelů – velikosti firmy, počtu zaměstnanců, druhu osobních údajů, které se zpracovávají (osobním údajem je i IP adresa) a množství zpracovávaných údajů. GDPR klade důraz na to, že je možné zákonně zpracovávat data pouze v nezbytně nutném rozsahu (zvláštní ochrana je věnována rodným číslům, fotografiím fyzických osob, ochraně nezletilých, občanským průkazům). To, že dodržuje GDPR, bude muset být každý správce schopen doložit po celou dobu zpracovávání osobních údajů patřičnou dokumentací.
Novinkou jsou i astronomické sankce za neplnění GDPR (daň za to, že nařízení platí v celé EU), jejich maximální výše je stanovena na 10,000 000 EUR nebo 2% celkového ročního obratu – podle toho, který ukazatel je vyšší. Přitom GDPR nedělá rozdíl mezi nadnárodními firmami a firmami malého či středního rozsahu!
Již nyní se na GDPR připravuje většina podnikatelů, protože přechod na novou úpravu si vyžádá několik kroků. Buďte i Vy o krok napřed a nenechte se zaskočit Úřadem pro ochranu osobních údajů, že i Vás se tato právní úprava SKUTEČNĚ TÝKÁ!