Ochrana osobních údajů – GDPR

S rozvojem internetu, GPS, elektronizace a chytrých výrobků je spojen i nebývalý nárůst informací, které lze prostřednictvím těchto nástrojů shromáždit o fyzických osobách a firmách a použít je pro profilování a cílený marketing. Významně narůstá množství tzv. “datakopeckých“ firem, které v této oblasti podnikají.

Tato situace vyvolala potřebu zvýšené ochrany osobních údajů, na které zareagovala EU schválením nařízení č. 2016/679 tzv. Obecného nařízení o ochraně osobních údajů (GDPR). Toto Obecné nařízení platí ve všech zemích EU, účinnosti nabude ke dni 25.5.2018.

GDPR představuje jednotnou celoevropskou úpravu ochrany osobních údajů a v České republice plně nahradí stávající z. č. 101/2000 Sb. o ochraně osobních údajů. Jak je zvykem v EU, GDPR necílí pouze na oblast internetu, ale pro jistotu stanoví povinnosti všem podnikatelům, kteří při obchodním styku získávají osobní údaje fyzických osob nepodnikatelů i podnikatelů (ať už se jedná o zákazníky, zaměstnance či obchodní partnery podnikatele) a dále s nimi nakládají (uchovávají je v účetnictví, v softwarových aplikacích své firmy či s nimi dále marketingově pracují). Takové podnikatelské subjekty jsou z pohledu GDPR správci osobních údajů a jsou povinny splnit všechny povinnosti stanovené GDPR pro jejich způsob nakládaní s osobními údaji. (Na údaje právnických osob se GDPR nevztahuje.)

Je stanovena široká škála povinností správce: od povinnosti fyzické osoby informovat o způsobu nakládání s osobními údaji, získat souhlas k nakládání s osobními údaji, vést záznamy o činnostech zpracování, až po povinnost vypracování posouzení vlivu na ochranu osobních údajů a jmenování pověřence pro ochranu osobních údajů.

Rozsah povinností jednotlivých správců se liší dle více ukazatelů – velikosti firmy, počtu zaměstnanců, druhu osobních údajů, které se zpracovávají (osobním údajem je i IP adresa) a množství zpracovávaných údajů. GDPR klade důraz na to, že je možné zákonně zpracovávat data pouze v nezbytně nutném rozsahu (zvláštní ochrana je věnována rodným číslům, fotografiím fyzických osob, ochraně nezletilých, občanským průkazům). To, že dodržuje GDPR, bude muset být každý správce schopen doložit po celou dobu zpracovávání osobních údajů patřičnou dokumentací.

Novinkou jsou i astronomické sankce za neplnění GDPR (daň za to, že nařízení platí v celé EU), jejich maximální výše je stanovena na 10,000 000 EUR nebo 2% celkového ročního obratu – podle toho, který ukazatel je vyšší. Přitom GDPR nedělá rozdíl mezi nadnárodními firmami a firmami malého či středního rozsahu!

Již nyní se na GDPR připravuje většina podnikatelů, protože přechod na novou úpravu si vyžádá několik kroků. Buďte i Vy o krok napřed a nenechte se zaskočit Úřadem pro ochranu osobních údajů, že i Vás se tato právní úprava SKUTEČNĚ TÝKÁ!

Dovolujeme si upozornit, že pouze provedení všech výše uvedených kroků jako celku zaručuje soulad postupů podnikatele s požadavky GDPR. Už nyní je nezbytné započít s úpravami souhlasů se zpracováním osobních údajů – u souhlasů získaných dle stávající úpravy nelze zaručit, že budou akceptovatelné dle GDPR a že tyto údaje nebude nutné trvale odstranit.

Zvláštní pozornost je také třeba věnovat firmám poskytujícím cloudové služby, marketingové služby nabídky spotřebitelům a provozovatelům e-shopů, na které se Úřad pro ochranu osobních údajů zaměřuje v největší míře a nepodcenit přechod na novou úpravu. Obdobně se na nové GDPR musí ve zvýšené míře připravit i firmy poskytující software, neboť kompatibilita s GDPR bude pro jejich klienty nezbytná (právo na přenos údajů, právo „být zapomenut“, právo na opravu, apod).