Velký průvodce po GDPR. Další výmysl z Bruselu? Neunikne prakticky nikdo

V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady okolo šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460.000, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně 7000 obcí. Dohromady zhruba jednoho milionu subjektů.

Ty v souvislosti s GDPR přistupují k úpravě vnitřních směrnic na ochranu dat a smluv se zaměstnanci i dodavateli. Opatření EU totiž vyžaduje obnovu většiny databází, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků. Instituce budou muset také jmenovat takzvané pověřence, kteří budou garantem "řádného hospodáře" při nakládání s údaji.

Nově bude muset zpracovatel osobních údajů také ohlásit únik či ohrožení dat Úřadu pro ochranu osobních údajů (ÚOOÚ) nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal. Doposud přitom firmy úniky dat spíše tajily.

Podle GDPR budou moci klienti žádat výmaz svých dat z marketingových databází a bez jejich souhlasu nebudou smět firmy ani sledovat jejich chování na internetu a poskytovat zjištěná data dál. Tam, kde mohou podniky a instituce osobní údaje zpracovávat bez souhlasu - například proto, že je k tomu zavazuje smlouva nebo povinnost plynoucí ze zákona - bude platit, že osobní data musí ze svých databází vymazat ihned poté, co pominul účel, pro který je potřebovaly.

Souhlas se zpracováním osobních dat by měl být podle GDPR vydělený, nyní se souhlasy zákazníků často skrývají do všeobecných obchodních podmínek. Udělením souhlasu také nelze podmiňovat poskytnutí služby. GDPR se vztahuje na různé věrnostní programy obchodních řetězců či lékáren i na marketingovou komunikaci na sociálních sítích (služby WhatsApp, Skype nebo Facebook). Takzvané cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele, budou považované za osobní údaje.

Účet na sociální síti si od 25. května budou moci nově zřídit jen lidé starší 16 let. Důvodem je to, že GDPR začne platit a Sněmovna do té doby nestihne schválit nový zákon o zpracování údajů, který měl tuto hranici zmírnit. Ochrana údajů bude mít dopad i na školství, typickou situací, kdy bude vyžadován souhlas rodiče dítěte, je například umístění třídní fotografie na internetové stránky školy.

Minulý měsíc společnost Seznam.cz oznámila, že kvůli GDPR ukončuje po 14 letech provozu službu Spolužáci.cz. Skončit by měla v září, přičemž od 24. května bude web fungovat už jen v omezeném režimu, nebude možné zakládat nové skupiny či registrovat členy.

GDPR naopak neomezí sledování majetku přes katastr nemovitostí, který vydá přehled vlastnictví komukoliv na základě zaevidování občanského průkazu žadatele. "Veřejnost katastru a ochrana osobních údajů v souladu s GDPR se nikterak nevylučují," uvedla nedávno pro Právo vedoucí oddělení legislativy Českého úřadu zeměměřického a katastrálního a pověřenkyně GDPR na katastru Lenka Vrzalová.

Jaký je důvod přijetí nové směrnice?

Směrnice udává několik důvodů, proč byla přijata. K těm zásadním patří to, že dosavadní směrnice z roku 1995 přestala odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. V době vzniku dosavadní směrnice podle odborníků neexistovaly nebo nebyly tak rozvinuté různé sociální sítě, cloudová úložiště ani další on-line "prostory", na kterých se dnes citlivá osobní data ocitají prakticky bez účinnější ochrany. Druhým klíčovým důvodem vzniku nové směrnice bylo to, že tou dosavadní nebyla dosažena požadovaná míra sjednocení právní úpravy. Charakteristické pro obecné nařízení je jeho univerzální použitelnost ve všech státech EU a dalších tří zemí.

Co to jsou osobní údaje?

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa nebo fotografie. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i například e-mailová adresa, telefonní číslo či různé identifikační údaje. Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto údajů směrnice až na výjimky zakazuje. Tyto údaje se mohou zpracovávat například po souhlasu daného subjektu, když je zpracování nutné pro ochranu životně důležitých zájmů subjektu nebo z důvodů veřejného zájmu v oblasti veřejného zdraví nebo když je zpracování nezbytné pro lékařské účely.

Jedná se o zásadní změnu?

V základních bodech obecné nařízení navazuje na dosavadní směrnici. Nemění tak základní zásady zpracování osobních údajů či základní pojmy jako jsou osobní údaj, subjekt údajů (fyzická osoba, které se údaj týká), správce (určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá) a zpracovatel (subjekt, který pro správce údaje zpracovává). Na některé organizace a zpracování nová směrnice klade vyšší nároky. Jedná se především o velké správce osobních údajů typu bank, telekomunikačních operátorů nebo nemocnic. Jednou z nejdůležitějších novinek je jmenování pověřence pro zpracování osobních údajů.

Povinně musí pověřence jmenovat orgán veřejné moci či veřejný subjekt (s výjimkou soudů) nebo když jsou hlavní činností správce nebo zpracovatele operace zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů. To je právě případ bank, pojišťoven, nemocnic nebo telekomunikačních společností. Na druhou stranu pro drobné živnostníky, malé internetové obchody a další, kteří zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě.

Jaké jsou práva fyzických osob, kterých se osobní údaje týkají?

Směrnice výrazně posiluje práva občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na informace o tom, které jejich údaje jsou zpracovávány a proč, právo na opravu údajů, na jejich výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů. Novinkou je například udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů, což znamená, že uzavření smlouvy (například na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Správce údajů musí na veškeré námitky či dotazy reagovat do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Jak vysoká může být udělená pokuta?

Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10,000.000 eur (nebo až do dvou procent ročního obratu u firem) nebo do výše 20,000.000 eur (nebo až do čtyř procent obratu; zhruba 500 milionů korun). Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů.

Na koho se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.