Pokuta ve výši až 20 milionů eur může čekat podnikatele, kteří do května 2018 neprovedou změny zpřísňující ochranu osobních údajů. Nové nařízení vydané Evropskou unií se týká nejen internetových služeb a sociálních sítí, ale například i lékařů a firem, které využívají takzvané cookies. Tedy údaje, které internetové prohlížeče ukládají o činnosti uživatele. Právě tyto cookies budou nově považovány za osobní údaje, proto by weby měly hned při vstupu žádat o klientův souhlas.

Co se mění

Dosud byly společnosti v Česku vázané pravidly stanovenými zákonem o ochraně osobních údajů. "Nejdůležitější povinností podnikatelů je nyní především stanovit účel zpracování, následně zpracovávat osobní údaje pouze za tímto účelem, a jakmile účel pomine, osobní údaje vymazat," vysvětluje Michal Nulíček z advokátní kanceláře Rowan Legal. Společnosti musí vést záznamy o tom, kdo má k údajům přístup, a zajistit, aby se k nim dostaly jenom osoby povolané. Důležitou roli v agendě osobních údajů hraje i Úřad pro ochranu osobních údajů (ÚOOÚ), který plní kontrolní funkci.

Nová evropská úprava bude pro podnikatele znamenat především větší důraz na zabezpečení osobních údajů, například šifrováním, a více povinností. Přináší však i vyšší sankce, které mohou být pro společnosti citelné.

Nejdůležitější změny, na které se musí podnikatel připravit
 
 

◼ Cookies, tedy údaje o uživatelích z internetových prohlížečů, budou nově považovány za osobní údaje, k jejich využívání bude třeba souhlas dotčené osoby.

◼ Je nutné myslet na revize souhlasů i smluv se společnostmi, které za podnikatele data zpracovávají.

◼ Firma by měla být technicky připravená na možné přesuny osobních údajů k jinému správci a na právo zákazníka "být zapomenut".

◼ Podnikatel bude muset rizikové úniky osobních údajů hlásit Úřadu pro ochranu osobních údajů.

Jak je to se sankcemi

Nyní může Úřad pro ochranu osobních údajů trestat nedostatečnou ochranu dat několika způsoby. "Může se jednat o drobnější záležitost typu úpravy úhlu záběru kamerového systému, může však také jít o rozsáhlejší opatření k nápravě, jako je uložení likvidace osobních údajů v případě, že dochází k jejich zpracovávání v rozporu se zákonem," udává David Pavlát, tiskový mluvčí úřadu.

"Zákon nyní také Úřadu pro ochranu osobních údajů umožňuje uložit pokutu, a to až do výše 10 milionů korun," dodává mluvčí. Výše pokuty se odvíjí od závažnosti, způsobu i doby trvání a od následků protiprávního jednání.

Právě navýšení sankcí je jednou z největších změn, které evropské nařízení přináší. Nově bude moci ÚOOÚ uložit podnikateli pokutu ve výši až 20 milionů eur (zhruba 550 milionů korun) nebo čtyři procenta z celosvětového ročního obratu, a to podle toho, která z částek je vyšší.

Změny, které firmy zaznamenají, se budou odvíjet od rozsahu a povahy zpracování osobních údajů, které daný podnikatel provádí. "Celkově je smyslem obecného nařízení posílit úroveň ochrany osobních údajů a soukromí jakožto základního lidského práva," vysvětluje význam úpravy mluvčí ÚOOÚ Pavlát.

Nařízení zvýší nároky na poskytování souhlasu a nutnost revize současných smluvních vztahů. "Všichni podnikatelé, kteří na základě souhlasu zpracovávají osobní údaje, budou muset provést komplexní revizi již udělených souhlasů a způsobů, jakými je získávají," uvádí advokát Nulíček.

Dále bude nutné komunikaci s jednotlivci vést jednoduše, to znamená jednoduchými jazykovými prostředky, stručně a komunikace bude muset být snadno dostupná, tak aby nedocházelo k nedorozumění.

Pozor na předávání údajů

Podnikatel bude muset být na pozoru v případě, kdy údaje poskytuje (outsourcuje) ke zpracování další společnosti. Je potřeba vybrat si takovou společnost, která splňuje všechny náležitosti.

Změny platí také pro podobu smluv s externími firmami, protože Evropská unie nově stanovuje určité obsahové náležitosti, které bude nutné do nových i již uzavřených smluv promítnout.

Nařízení EU přináší i nová práva, kterých se budou moci uživatelé domáhat. To znamená technickou změnu systému společností, jež osobní údaje zpracovávají.

"Nařízení přinese také nová práva, například na přenositelnost údajů, tedy právo získat osobní údaje, jež dotyčný poskytl správci, a právo předat je jinému správci, dále právo být zapomenut, to znamená možnost požádat internetové vyhledávače o odstranění odkazů na moji osobu z vyhledávání," vysvětluje mluvčí Úřadu pro ochranu osobních údajů Pavlát.

Je nutné vést evidenci

Nové nařízení zavádí i povinnost vést evidenci zpracování osobních údajů a na požádání ji předložit ke kontrole ÚOOÚ. "Tuto povinnost však nebudou mít podnikatelé zaměstnávající méně než 250 zaměstnanců, ledaže zpracování dat představuje riziko pro práva a svobody dotčených lidí nebo zahrnuje zpracování takzvaných citlivých údajů," dodává Nulíček z advokátní kanceláře Rowan Legal. Za citlivé údaje jsou považovány záznamy o rasovém či etnickém původu, politickém názoru, náboženském vyznání, zdravotním stavu, sexuálním životě a podobně.

Další povinností podnikatelů, kteří ve velké, systematické a pravidelné míře spravují nebo zpracovávají osobní údaje, je jmenování takzvaného pověřence pro ochranu osobních údajů. Funkce pověřence pak spočívá mimo jiné v dohlížení na dodržování nařízení a spolupráci s ÚOOÚ. Pověřencem může být zaměstnanec podniku, ale i externista, s kterým podnikatel uzavřel smlouvu o poskytování služeb.

Povinnost hlásit úniky údajů

Za poslední roky bylo zaznamenáno hned několik významných úniků dat, a to nejenom v zahraničí, ale také v České republice. Lze uvést například únik dat telekomunikačního operátora T-Mobile z dubna letošního roku, kdy data převážně pro marketingové účely zcizil interní zaměstnanec společnosti. Takový incident bude nyní podnikatel povinen nahlašovat Úřadu pro ochranu osobních údajů.

Pokud lze předpokládat, že úniky působí riziko pro práva a svobody fyzických osob, bude muset správce incident hlásit samotným dotčeným lidem.

Související