Ochrana osobních údajů je problematikou, která v posledních letech čím dál více rezonuje v vědomí odborné i laické veřejnosti. Po několikaletých rozhovorech byla na půdě Evropského parlamentu přijata nová legislativa, která významným způsobem zreformovala dosavadní názor na ochranu osobních údajů v evropských státech. Nová směrnice s sebou přináší množství různých úprav a nových pravidel, které se dotknou podnikatelů, jako i jiných subjektů působících na území Slovenské republiky i v zahraničí.
Obecné nařízení o ochraně osobních údajů
Po téměř 4 letech probíhajících diskusí na evropské půdě přijali zástupci Evropského parlamentu Obecné nařízení o ochraně fyzických osob při zpracování osobních údajů (angl. General Data Protection Regulation, zkráceně také jako „GDPR“)**. Nové nařízení tak nahrazuje původně platnou Směrnici o ochraně údajů z roku 1995. Přijatá právní úprava zároveň odráží snahu zástupců Evropského parlamentu o harmonizaci pravidel v oblasti ochrany osobních údajů v členských státech Evropské unie. Nové nařízení vstoupilo v platnost dne 25. května 2016 a účinnost nabude dne 25. května 2018. Do té doby nám poskytuje prostor na seznámení se s novými pravidly a podnikatelům tak dává možnost v předstihu se dobře připravit na přicházející změny.
Cílová skupina
V této souvislosti je potřeba si uvědomit základní fakt, že osobní údaje běžně zpracováváme na denní bázi při různých životních situacích. Mezi nimi můžeme jako příklad uvést vyřizování objednávek od zákazníků, rozesílání informačních newsletterů, vedení údajů o našich zaměstnancích, o klientech. Uvedené příklady tak zřetelně demonstrují rozsah subjektů, na které se bude vztahovat nová právní úprava. Dotkne se všech podnikatelů, kteří zpracovávají údaje o svých zákaznících a klientech, mají zaměstnance, využívají přístupový nebo kamerový systém, všech majitelů e-shopů, jako i všech, kteří využívají data na různé marketingové účely.
Hlavní změny nové právní úpravy
Mezi nejvýraznější změny nové právní úpravy, které se budou vztahovat i slovenských podnikatelů, patří zejména následující novinky:
- Mezi osobní údaje se podle GDPR budou řadit už i údaje technického charakteru. K běžnému okruhu osobních údajů patří například jméno, příjmení a adresa zákazníka. Po novém k nim přibude i IP adresa nebo soubory cookies.
- Nová právní úprava zároveň přísní pravidla pro udělování souhlasu se zpracováním osobních údajů. Takový souhlas musí být konkrétní, svobodný, informovaný a jednoznačný. Velkou změnou v porovnání s dosavadní právní úpravou je také skutečnost, že souhlas více nemůže být součástí obchodních podmínek.
- Každý podnikatel, na kterého se budou vztahovat nová pravidla, bude zároveň muset být schopen kdykoliv prokázat takto udělený souhlas. Takový souhlas zároveň musí být v smyslu nové legislativy jednoduše odvolatelný.
- Nová úprava dále zavádí právo přenášet osobní údaje k jinému poskytovateli ve standardním elektronickém formátu, jako i právo dotčené osoby dozvědět se o porušení práva na ochranu osobních údajů.
- GDPR zpřísňuje i podmínky pro zpracování osobních údajů osob, které mají méně než 16 let. Legálně bude jen v případě, pokud k němu udělil souhlas jejich zákonný zástupce.
- Nové nařízení zavádí i povinnost ustanovit tzv. zodpovědnou osobu. Takovou osobou může být externí dodavatel či interní zaměstnanec, který splní stanovené kvalifikační podmínky.
- Každý zaměstnavatel, který zaměstnává více než 250 zaměstnanců a pravidelně zpracovává osobní údaje (například v internetovém obchodě), bude po novém povinen vést záznamy o této činnosti.
- Nová pravidla se zavádějí i v případě přeshraničního přenosu osobních údajů.
- GDPR také zavádí přímou odpovědnost provozovatele, čímž se mění i důkazní břemeno v případě porušení práv dotčených subjektů.
Nové GDPR přináší množství konkrétních potřebných opatření, jedno z nich se např. týká i provozovatelů e-shopů. Spočívá v tom, že políčko na vyjádření souhlasu se zpracováním osobních údajů na účely marketingu nesmí být v žádném případě předem „zaškrtnuté“. Pokud to tak nemáte, musíte nechat po novém tento aktivní úkon na zákazníka.
Další velmi důležitou úpravou je skutečnost, že dotčené osoby zároveň budou mít právo být vymazány nebo úplně zapomenuty. V praxi to znamená, že pokud podnikatele požádají o výmaz osobních údajů, bude povinen této žádosti vyhovět v plném rozsahu. Za určitých podmínek bude také možné požadovat, aby byly údaje vymazány i z internetových vyhledávačů.
Sankce za porušení nověustanovených pravidel se mohou vyšplhat až na 20 milionů eur nebo do výše 4 % z celosvětového obratu za minulé účetní období, a to podle toho, která částka je pro daného porušitele vyšší.
Aktivní příprava na změny
Nová právní úprava ochrany osobních údajů představuje významnou reformu v této oblasti a svým rozsahem se dotýká většiny podnikatelů, jiných veřejnoprávních subjektů, jako i různých neziskových organizací. Komplexní příprava na nadcházející změny by tak v prvním kroku měla zahrnovat zhodnocení současného stavu procesů při zpracování osobních údajů. V druhém kroku přichází na řadu porovnání současného nastavení s novou legislativou. V následujícím kroku je potřeba připravit všechny potřebné návrhy, které uvedou současný stav do souladu s požadovaným stavem. V posledním kroku je nakonec potřeba přijatá opatření implementovat do praxe. Každý z uvedených kroků si vyžaduje určitou námahu na straně dotčeného subjektu a trvá po určitou dobu. Je proto důležité, aby podnikatelé a další subjekty, kterých se změny týkají, řešili danou problematiku v dostatečném předstihu a vyhnuli se tak případnému uložení vysokých pokut za porušení nových pravidel.
Sledujte dále naše blogy a téma GDPR. V případě konkrétních otázek se na nás neváhejte obrátit.
** Celý název nověpřijatého nařízení zní „Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data“, což v překladu znamená: Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takovýchto údajů).