GDPR – General Data Protection Regulation je nařízení Evropské unie, které vstoupí v účinnost 25. května 2018. Jeho cílem je údajně zvýšit úroveň ochrany osobních údajů a k tomu navíc posílit práva občanů Evropské unie v této oblasti. Nová směrnice přináší velké restrikce, regulace a povinnosti při práci s osobními údaji a to pro všechny organizace bez jakékoliv výjimky. Pokuta za porušení regulace může činit až 4 % celosvětového obratu společnosti nebo 20 000 000 EUR.
GDPR
GDPR platí celosvětově pro veškeré subjekty, které zpracovávají osobní údaje občanů EU, a současně zavádí řadu nových práv a zejména povinností. Zpracovatelé a správci osobních údajů tedy nově musí zavést procesy a technologie, které budou vždy v souladu s GDPR. Nařízení se dotkne všech oblastí podnikání, tedy i bankovnictví, pojišťovnictví retailového trhu, internetových obchodů, výroby, služeb, zdravotnictví či veřejné správy. Jde o všechny subjekty a oblasti činnosti, při kterých dochází ke zpracování osobních údajů. Je třeba vyřešit produkty, procesy i informační systémy. GDPR neboli Obecné nařízení o ochraně osobních údajů, bude i velká zátěž pro subjekty.
Co je vlastně GDPR
Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti s následným zpracováním osobních údajů a o dalším volném pohybu těchto údajů platí již téměř rok. Účinnosti nabude až dne 25. 5. 2018 a pak bude GDPR přímo závazné ve všech zemích EU. Obsah GDPR nebude přejat v žádném českém zákoně a bude se na české podnikatele a další osoby vztahovat bez výjimky. I nadále platí, že povinnost ochrany osobních údajů se nevztahuje pouze na podnikatele, ale na všechny správce osobních údajů.
Co bude se zákonem o ochraně osobních údajů
Zákon o ochraně osobních údajů nepřestane úplně platit, ale dojde ke zcela zásadnímu omezení jeho rozsahu. Bude upravovat jen to, co GDPR takto svěřuje do působnosti jednotlivých států. Údaje, i to, za jakých podmínek je lze zpracovávat, další povinnosti správců a zpracovatelů, i hrozící sankce za porušení, budou tedy upraveny v GDPR.
Zásadní změna je sankce
Radikální zvýšení možných sankcí je obrovské. Současný zákon o ochraně osobních údajů má nejvyšší sankci 10 milionů korun. Pokutu lze uložit v případě, že právnická osoba zakázaným způsobem zpracovává osobní údaje a v důsledku toho pak ohrozí větší počet osob, nebo se dané porušení týká tzv. citlivých údajů. Český Úřad pro ochranu osobních údajů byl doposud poměrně benevolentní. Padly jen pokuty v řádu statisíců nebo milionů korun a to pouze výjimečně. Jedna z historicky nejvyšších pokut uložená ÚOOÚ nedosahovala ani ½ maximální možné výše.
Zpřísnění sankcí
V roce 2016 například zaplatil operátor T-Mobile za rozsáhlé odcizení dat jeho bývalým zaměstnancem pokutu ve výši 3,6 milionů korun. Společnost T-Mobile by vzhledem k obratu dnes ale zaplatila 1 miliardu korun. GDPR totiž umožňuje uložit pokuty až ve výši 20 milionů eur což je více jak ½ miliardy korun, nebo do výše 4 % celosvětového ročního obratu podnikatele. Určí se podle toho, která z obou částek je v daném případě vyšší. I obecné zpřísnění sankcí lze více než očekávat.
Zásadní změny
Obsahově GDPR vychází ze současné právní úpravy a rozhodovací praxe Soudního dvora EU. Je o mnoho podrobnější, než je současný zákon o ochraně osobních údajů, který má přibližně 50 paragrafů, zatímco GDPR má dvojnásobný počet článků, přesně 99 a dále má velmi obsáhlou preambuli čítající nyní 173 bodů. GDPR rozšiřuje práva jednotlivců jako subjektů údajů a na druhé straně ukládá správcům a zpracovatelům dost nových povinností. Podnikatelé spravující nebo zpracovávající osobní údaje musí být schopni subjektům osobních údajů i kontrolním orgánům sdělit, jaké údaje zpracovávají, jak a proč je zpracovávají, komu je následně předávají a co dělají pro jejich bezpečnou ochranu. Na podnikatele jsou nyní kladeny vysoké nároky.
Konkrétní změny
Souhlas se zpracováním osobních údajů nově nebude moci být pouze součástí obchodních podmínek. Každý podnikatel nebude smět podmínit nové uzavření smlouvy jen souhlasem se zpracováním osobních údajů. To se netýká údajů, které je třeba zpracovat pro splnění smlouvy, tedy jméno, příjmení a doručovací adresa. Souhlas se zpracováním osobních údajů budou moci samostatně udělit pouze děti starší než 16 let. Pokud jim český zákon hranici sníží, tak 13 let. V ostatních případech je vždy nutný souhlas zákonného zástupce.
Co je ještě důležité
Podrobněji je upraveno právo „být zapomenut“, a to včetně povinnosti správce muset sdělit svou žádost o trvalé smazání zveřejněných osobních údajů i všem dalším správcům. Každý subjekt nově bude moci požádat o přenos všech svých osobních údajů k správci jinému. Nově také bude zcela zrušena povinnost oznámit zpracování osobních údajů Úřadu pro ochranu osobních údajů. Bude upraveno postavení zpracovatele. Jde o správce zajišťujícího zpracování osobních údajů, jenž má dle současného zákona o ochraně osobních údajů jen zlomek vlastních povinností. Podle nového GDPR bude mít tento zpracovatel povinností mnohem více.
Kde to nejvíc hoří
Na pozoru musí být poskytovatelé cloudových úložišť a společnosti nabízející správu marketingových kampaní, e-mailing a CRM služby se mohou podílet na zpracování osobních údajů jako jejich zpracovatelé. Ostražití musí být i všichni, pro které je zpracování osobních údajů jejich hlavní činností. Zde vzniká povinnost jmenovat pověřence pro ochranu osobních údajů. Změn zaváděných GDPR je mnohem více. Tyto se ale dotknou většiny podnikatelů. Podnikatelé z řad malých a středních podniků ochranu osobních údajů dost zanedbávají. Jde tak zase o další hřebíček do rakve pro spoustu menších podnikatelů, kteří to kvůli tomu zabalí. Podnikatelé se musí osobními údaji vážně zabývat, než GDPR začne být účinné.
