Rada EU přijala v červnu 2015 tzv. obecný přístup k návrhu nařízení o ochraně osobních údajů. Tento návrh předložila Evropská komise už v roce 2012 do Evropského parlamentu, který ji se změnami schválil v roce 2014. Nyní bude konečná podoba návrhu předmětem trialogu mezi Komisí, Parlamentem a Radou EU. Co ale bude nová úprava znamenat pro tuzemské firmy nebo pro společnosti, které působí hned v několika státech EU? Umožní volný transfer osobních údajů v rámci EU, bude ale vyžadovat některé změny, na které by se společnosti měly v nejbližší době připravit.
Nové nařízení by mělo na jednu stranu usnadnit například přeshraniční předávání údajů a tím i snížit administrativní náklady pro společnosti, které působí ve více zemích Evropské unie nebo spolupracují se subjekty mimo EU. Na druhou stranu ale přináší nové povinnosti a s nimi spojené náklady a zpřísňuje případnou odpovědnost za jejich porušení. Pokuty za porušení nařízení jak pro správce, tak pro zpracovatele osobních údajů se podle závažnosti porušení mohou nově vyšplhat až k 1 milionu eur nebo ke 2 % celkového ročního obratu podniku. Budou-li správci nebo zpracovatelé zapojeni do téhož zpracování, které bylo v rozporu s nařízením, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou škodu, ledaže prokážou, že za způsobenou škodu nenesou žádnou odpovědnost.
„Přípravy na implementaci nových pravidel by společnosti neměly podceňovat. V případě porušení ochrany osobních údajů totiž z pohledu podnikatele hrozí nejen trestní či správní odpovědnost, ale také ztráta důvěry zákazníků nebo negativní ekonomické dopady, jako je například pokles tržní hodnoty společnosti,” vyjmenovává možná rizika Petr Kališ, Managing Partner advokátní kanceláře CHSH Kališ & Partners.
Nová opatření pro podnikatele
Jaká opatření by tedy společnosti v souvislosti s novým nařízením měly učinit? Firmy by měly vést záznamy o všech zpracovávání osobních údajů, které budou povinny předložit dozorovému orgánu na jeho žádost. Tato povinnost nahradí současnou registrační povinnost. Dále by měli správci údajů poskytovat podrobnější informace osobám, jejichž údaje budou zpracovávat. V některých případech budou správci muset vypracovat posudek na ochranu údajů (například při zpracování citlivých údajů nebo při použití údajů za účelem zjištění osobních preferencí, zájmů či pohybu dotyčné osoby).
Novou povinností správce údajů je také ohlásit závažnější porušení ochrany osobních údajů, a to jak orgánu dozoru (bez zbytečného odkladu, nejpozději však do 72 hodin), tak subjektu údajů (bez zbytečného odkladu). Nařízení dále změní úpravu souhlasu se zpracováním osobních údajů, stanoví nové povinné náležitosti smlouvy mezi správcem a zpracovatelem údajů a zavede výslovnou úpravu práva „být zapomenut“, tedy práva na odstranění odkazů s osobními údaji z vyhledávače.
„Případným komplikacím, které by mohly v souvislosti se zpracováním osobních údajů vznikat, lze efektivně předcházet. Firmy by měly dbát na řádné vedení interní dokumentace o všech zpracovaných údajích a revidovat svá stávající informační sdělení o zpracovávání údajů. Zároveň by měly vybírat zpracovatele, který je schopen poskytnout dostatečné záruky, a uzavřít s ním smlouvu jasně stanovující veškeré náležitosti. Zároveň by měly přijmout vhodná opatření jak směrem ke svým spolupracovníkům (přijetím vnitřních směrnic), tak na úrovni technického zabezpečení. Jednou z možností, jak mohou firmy prokázat, že splňují požadovaný standard ochrany údajů, bude dodržování kodexů chování nebo osvědčení schválených dozorovým orgánem,” radí Petr Kališ.
Předávání osobních údajů mimo EU
Nařízení se má vztahovat i na společnosti se sídlem mimo EU, pokud budou nabízet své produkty osobám s bydlištěm v EU nebo sledovat jejich chování. Cílem je zachovat přiměřenou ochranu osobních údajů a zároveň zajistit rovné podmínky a neomezovat přeshraniční spolupráci. O tom, do kterých zemí mimo EU je možné předávat údaje bez omezení, má právo rozhodnout Evropská komise. V současnosti mezi takové země patří například Švýcarsko, Kanada, Nový Zéland nebo Izrael. Naopak z rozhodnutí Soudního dvora EU již není možné předávat údaje do USA v tzv. režimu „safe harbor“.
Další způsob, jakým lze údaje předat mimo EU bez zvláštního povolení, představují standardní smluvní doložky přijaté Evropskou komisí anebo závazná podniková pravidla schválená příslušným orgánem dozoru (ta pouze v případě předání v rámci nadnárodní společnosti). Za předpokladu, že neexistuje rozhodnutí Komise o přiměřenosti nebo výše uvedené vhodné záruky, je možné předat údaje mimo EU bez zvláštního povolení například za podmínky, že byl o tomto kroku subjekt údajů informován a vydal k němu svůj výslovný souhlas, nebo ve chvíli, kdy je takové předání údajů nezbytné pro plnění smlouvy mezi správcem a subjektem údajů.
Zpřísnění v oblasti cookies
Nové nařízení zahrnuje mezi osobní údaje i tzv. cookies, tedy soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server. To mění pozici provozovatelů webových stránek, kteří budou povinni získat informovaný jednoznačný souhlas návštěvníka webu s použitím cookies (s výjimkou cookies, které nedokáží identifikovat konkrétní fyzickou osobu).
„Přístup ke cookies jako k osobnímu údaji sice znamená, že se provozovatelé webů stávají zároveň správci osobních údajů a mají povinnost umístit na stránky informace a vyžádat si souhlas s používáním cookies od uživatelů, zároveň ale odstraní nejasnosti v současné české právní úpravě, kterou bylo možné vykládat dvěma způsoby. V Česku totiž dosud podle zákona o elektronických komunikacích stačí pouze jasně a srozumitelně informovat uživatele a umožnit mu odmítnutí používání cookies, na druhou stranu ÚOOÚ varuje, že cookies mohou být považovány za osobní údaje už nyní a doporučuje proto vyžadovat jednoznačný souhlas,” doplňuje k tématu Petr Kališ.
Na implementaci bude dostatek času, firmy by ale měly začít brzy
Návrh reformy ochrany osobních údajů je připravován od roku 2012 a v současné době se předpokládá, že jeho finální verze bude vypracována v první polovině roku 2016. V účinnost by mohl vstoupit až v letech 2017 či 2018 a společnostem a institucím, kterých se týká, tak bude poskytnuta dostatečná doba na realizaci nezbytných změn. Přesto se ale vyplatí seznámit se s novými pravidly co nejdříve a zvážit, zda nepřistoupit k aktualizaci dokumentů či postupů spojených s ochranou osobních údajů už nyní. Nařízení totiž v mnoha bodech pouze výslovně upravuje a přesněji vymezuje to, co platí již dnes.
Zdroj: CHSH Kališ & Partners
PŘEDPLATNÉ
ČLÁNKY DO MAILU