Globalizace a technologický rozvoj přinášejí nejen nové výzvy, ale i nová bezpečnostní rizika, mezi která patří také problematika ochrany osobních údajů. Společně s digitalizací vzrostlo také shromažďování a sdílení osobních údajů. Různé společnosti tak mohou využívat údaje v nebývalém rozsahu např. díky skrytým podmínkám. Současně s tím lidé stále častěji své údaje zveřejňují dobrovolně, aniž si uvědomují potenciální rizika.

Podobné informace obsahuje i šestý bod vyhlášení Úředního věstníku Evropské unie, kterým EU přijímá nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Tento zásadní dokument se nazývá General Data Protection Regulation(GDPR) a bude mít dopad na všechny instituce, právnické osoby i podnikající fyzické osoby. Do jeho aplikace zbývá necelý rok.

Co GDPR znamená v praxi?

Smyslem je chránit tzv. subjekt údajů, tedy toho, kdo poskytuje své osobní údaje. GDPR hlídá, aby poskytnutí konkrétních údajů bylo odvolatelné. Tedy abyste měli právo, jestliže někomu řeknete / sdělíte / poskytnete své telefonní číslo, toto poskytnutí odvolat a dotyčný subjekt jej nemohl dále využívat. GDPR se zaměřuje také na ochranu dětí. Počítá však i s jednáním dospělých, kteří poskytnou své údaje a nemyslí v tu chvíli na možná rizika.

Pravidla GDPR jsou jednoduchá, pokud se správně podají

1)    Získávání dat

S uživateli komunikujte jednoduše a srozumitelně. Pokud od nich chcete osobní údaje, sdělte jim předem, kdo jste, proč údaje zpracováváte, jak dlouho je budete zpracovávat a kdo je získá dále. V praxi to znamená: na svém webovém formuláři budete mít jednoznačnou identifikaci své společnosti a informaci, proč údaje potřebujete a jak dlouho je budete ukládat. Pokud na to máte systémy připravené, můžete osobám, které vám údaje poskytují, také navrhnout budoucí možnost kontroly a editace. Od chvíle, kdy vejde toto nařízení v platnost, by měli mít lidé ke svým údajům přístup, navíc s možností poskytnout údaje i jinému zpracovateli – společnosti. Jakmile jste údaje získali, musíte lidem umožnit tato data také vymazat – v řeči GDPR to znamená zapomenout. Výjimkou jsou pouze data, která nenaruší svobodu či možnosti zkoumání. To znamená, že některá data pro pojišťovny, finanční úřad či jiné legislativní potřeby musíte ze zákona uchovávat.

2)    Varování

Pokud vám data uživatelů byla odcizena nebo se vám podařilo je ztratit a hrozí riziko jejich vyzrazení, je vaší povinností dotyčné osoby a úřady informovat.

3)    Souhlas

Se zpracováním údajů budete muset získat jednoznačný souhlas. Pokud navíc sbíráte data např. ze sociálních sítí, ověřte si věkovou hranici osob, od kterých data sbíráte. V některých případech bude potřeba souhlasu i jejich rodičů. Budete muset mít souhlas i k využívání dat pro přímý marketing a umožnit uživateli volbu. Když se na to podíváme z druhé strany, tak např. většina elektronických obchodů toto pravidlo dodržuje již dnes. Pokud zpracováváte žádosti, které vedou k uzavření právně závazné smlouvy (např. žádost o půjčku, uzavření smlouvy s operátorem atd.), a využijete profilování (tj. zpracováváte např. data o výši příjmu, nákladech, poplatcích apod.), musíte o tom vyplňujícího informovat. Navíc by v případě zamítnutí měl takový proces kontrolovat člověk, tedy fyzická osoba, a žadatel by měl mít právo takové rozhodnutí napadnout.

4)    Bezpečnost

Zvláště citlivé jsou v nařízení EU informace o zdraví, rase, sexuální orientaci, politickém smýšlení a náboženském přesvědčení. Ta budou vyžadovat vysokou míru ochrany. Pokud zpracováváte data pro někoho jiného (např. pro callcentra nebo poskytovatele datových služeb), měli byste mít nenapadnutelnou smlouvu, kde budou uvedeny povinnosti každé strany. Pokud data budete přenášet mimo EU, jednejte podle příslušných právních opatření. To může být případ zejména veřejných cloudů, které poskytují nadnárodní společnosti. Zde je důležité, aby data zůstávala ideálně v rámci EU.

5)    Koncepce

Pokud aktuálně pořizujete, vyvíjíte či v brzké době plánujete pořízení nových firemních systémů, myslete již teď na GDPR. Značně si tím zjednodušíte život. Pokud již systémy máte, je nutné zamyslet se nad prací s údaji ve vaší společnosti a jednat co nejdříve.

Firmám hrozí pokuty
V případě nedodržení pravidel GDPR hrozí firmám pokuty. Postup ze strany úřadů by měl být podle dostupných informací postupný. Tedy nejprve varování, napomenutí, pozastavení možnosti zpracovávat údaje (může být pro některé organizace likvidační) a až následně pokuty. Ty se mohou podle závažnosti pohybovat ve výši až 20 mil. eur nebo 4 % globálního ročního obratu firmy.

Komentář advokáta Mgr. Ing. Ladislava Málka

Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation – GDPR), které vstupuje v účinnost 25. května 2018, nastavuje nový právní rámec ochrany osobních údajů v EU. V České republice nahradí současnou právní úpravu ochrany osobních údajů, kterou představuje zejména zákon č. 101/2000 Sb., o ochraně osobních údajů. Povinnosti obsažené v GDPR se týkají všech subjektů, jež zpracovávají nebo shromažďují osobní údaje uživatelů. U všech těchto subjektů vyvstane nově potřeba upravit způsob zpracování osobních údajů, neboť v případě závažného porušení povinností stanovených GDPR budou hrozit vysoké pokuty. GDPR reaguje na technologický posun, ke kterému došlo v  celé společnosti, a zavádí celou řadu nových pravidel a práv pro osoby, jejichž osobní údaje jsou předmětem zpracování nebo shromažďování. Kromě mnoha jiných lze zmínit např. právo „být zapomenut“, díky kterému může osoba požadovat, aby její osobní údaje byly bez zbytečného odkladu vymazány, pokud neexistuje právní důvod pro jejich další zpracování. GDPR přináší povinnosti i správcům a zpracovatelům osobních údajů, z nichž lze uvést např. zavedení tzv. principu zodpovědnosti, který spočívá v povinnosti zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR, s čímž pak souvisí provedení celé řady administrativních úkonů.