Hlavní navigace

Další výdaje a povinnosti podnikatelů. Povinná ochrana dat

25. 1. 2017
Doba čtení: 5 minut

Sdílet

Přípravou na elektronickou evidenci tržeb to letos nekončí. Další nemalé povinnosti v podobě GDPR uloží podnikatelům Evropská unie.

25. května 2018 vstoupí v platnost nejkomplexnější soubor pravidel na ochranu dat na světě. Jedná se o Obecné nařízení na ochranu osobních údajů, anglicky General Data Protection Regulation, pro které se pomalu a jistě vžívá použitelnější zkratka GDPR. Obecné nařízení na ochranu osobních údajů nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES a český zákon č. 101/2000 Sb. o ochraně osobních údajů. Evropský parlament toto nařízení schválil už na jaře 2016 a právě probíhající dva roky od schválení do vstoupení v účinnost mají zpracovatelé osobních údajů na to, aby se připravili. Může se to zdát poměrně dlouhá doba, ale opak je pravdou.

GDPR je nařízením, které má co nejvíce chránit práva občanů Evropské unie a zamezit neoprávněnému zacházení s jejich daty a osobními údaji. A to dokonce i zpětně. Zpracovatele osobních údajů proto v tomto přechodném období mezi přijetím a vstoupením v účinnost čekají analýzy jejich interních systémů. Vůbec nejdůležitější povinností podnikatelů teď bude stanovit účel zpracování a následně zpracovávat osobní údaje pouze za tímto účelem. Investice si vyžádá povinnost osobní údaje šifrovat, případně hledání odpovídajícího správce dat. Nemalou administrativní zátěž bude znamenat povinnost dokumentovat, že zpracovatel dat a osobních údajů zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

GDPR se týká všech, kteří zpracovávají osobní údaje zaměstnanců, zákazníků, či dodavatelů bez ohledu na to, zda se jedná o firmu, nebo jednotlivce. Smyslem nařízení je jednotná ochrana osobních údajů napříč Evropskou unií a zjednodušení administrativní zátěže podniků. Zatímco zásady ochrany osobních údajů zůstávají podobné těm uvedeným ve směrnici 95/46/EC a v zákoně o ochraně osobních údajů, určité zásady definuje striktněji a přesněji, říká Karin Pomaizlová, partnerka mezinárodní advokátní kanceláře Taylor Wessing. Podcenit přípravu na celou řadu povinností se nevyplatí, protože evropští zákonodárci v nařízení stanovili postihy, které jsou pro mnohé zcela citelné až likvidační. Pokuta se může vyšplhat až na 20 milionů eur.

Zpracovatelům dat ubudou některé stávající povinnosti. Od účinnosti GDPR už nebude nutné oznamovat zpracování osobních údajů Úřadu pro ochranu osobních údajů. Na druhou stranu, správci jsou povinni vést evidenci činností týkajících se zpracování osobních údajů na svou vlastní odpovědnost. Evidence má obsahovat zejména informace o účelech zpracování, kategoriích osobních údajů, kategoriích příjemců osobních údajů, přenosech osobních údajů třetím stranám a přijatých bezpečnostních opatřeních za účelem ochrany osobních údajů.

Připomeňte si: E-shopaři, zpracování osobních údajů podléhá registraci. Jste přihlášeni?

Máte e-shop nebo používáte cookies, pak se vás GDPR týká

Že nové povinnosti dolehnou téměř na každého, o tom svědčí například rozšíření pojmu „osobní údaj“. Nově jsou do něj zahrnuty i technické údaje typu e-mailová adresa, IP adresa nebo soubory cookie. Nařízení považuje za osobní údaje i síťové identifikátory zanechávající stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi získávaných servery použity k profilování fyzických osob a k jejich identifikaci, vysvětluje právnička Karin Pomaizlová.

Cookies jsou velmi rozšířené a opatření tedy dolehne prakticky na všechny provozovatele internetových obchodů, aplikací a podobně. A když už je řeč o internetových obchodnících, ti pod nové nařízení budou samozřejmě spadat i kvůli prohlášení o souhlasu. Získání prohlášení o souhlasu je podle GDPR žádoucí a účinné pouze za předpokladu, že bylo poskytnuto svobodně, konkrétně, jednoznačně a že byl souhlas informovaný. Souhlas není svobodný, pokud je jím podmíněno plnění smlouvy. Obchodníci kvůli tomu budou muset dokonce provést komplexní revizi i už udělených souhlasů a způsobů, jakými je získávají.

Psali jsme: Souhlas s ukládáním cookies je v Česku. Jak na to připravit vaše weby?

Samozřejmě, že v první řadě záleží na právním důvodu zpracování osobních údajů zákazníků, tedy za jakým účelem k samotnému shromažďování a zpracování osobních údajů dochází. Pokud k tomuto zpracování dochází ve veřejném zájmu, na základě nějaké právní povinnosti nebo na základě jiného principu, ke kterému není zapotřebí souhlasu zákazníka, má obchodník povinností o něco méně než v případech, kterých ale bude drtivá většina, kdy ke zpracování osobních údajů dochází na základě souhlasu zákazníka. Obchodníci si v tomto případě musí zajistit jednoznačný souhlas zákazníka se zpracováním jeho osobních údajů, poskytnout jim jasnou informaci o účelu zpracování jejich údajů, o způsobu jejich ukládání a v případě, že osobní údaje hodlá sdílet s dalším subjektem, musí o tom zákazníka rovněž informovat, vysvětluje Eva Škorničková, právní konzultantka pro IT bezpečnost a ochranu osobních údajů. V případě, že zákazník tento souhlas časem odvolá, potom obchodník nesmí s jeho údaji jakkoliv pracovat, monitorovat jeho chování či mu nabízet služby v jakékoli formě.

Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. To neznamená, že by nebylo možno nadále získávat souhlas online zaškrtnutím políčka nebo kliknutím na tlačítko „souhlasím“. Důležité ale bude, aby byl souhlas uveden zvlášť od obchodních podmínek, byl zřetelně označen a obsahoval jednoduše podanou informaci o tom, jaké osobní údaje, k jakým účelům a jak dlouho bude správce na základě souhlasu zpracovávat a zda dojde k předání osobních údajů třetím stranám. Souhlas daný svobodně znamená, že poskytování služby není podmíněno jeho udělením. Samotná nečinnost nebo obecně používaná předškrtnutá políčka nejsou považována za svobodně udělený souhlas. Obávám se, že obecně používaná formulace ‚souhlasím se zpracováním osobních údajů‘ není dostačující, komentuje Eva Škorničková.

Rozhodně není dovoleno, aby byl třeba nákup zboží na e-shopu podmíněn poskytnutím dalších osobních údajů než těch, které jsou vysloveně nezbytné k zakoupení zboží. Nepřípustné budou praktiky, kdy je zákazník před dokončením nákupu vyzván k poskytnutí dalších údajů o svých zájmech, věku a podobně.

Dále čtěte: Registrovat se jako správce osobních údajů není povinné, ale určitě praktické

Příprava v Česku poněkud vázne

Toto byla jen názorná ukázka několika povinností, kterých GDPR přinese mnohem víc. Podnikatelé by proto neměli spoléhat na to, že implementaci nařízení stihnou na začátku příštího roku 2018. S přípravou bude potřeba začít co nejdříve.

Brand24

Zatím jsou ale jasné jen některé z bodů. Nařízení totiž ponechává víc než 50 dílčích otázek k úpravě samotným členským státům. Jak bude v tomto postupovat Česká republika, to zatím není jasné. Nelze se vyjádřit dříve, než ministerstvo vnitra jakožto gestor adaptace právního řádu ČR na GDPR předloží novelizaci zákona o ochraně osobních údajů a připraví ve spolupráci s ministerstvy novely dalších dotčených předpisů, uvedl David Pavlát, mluvčí Úřadu pro ochranu osobních údajů.

Legislativní proces musí být zahájen na jednotlivých ministerstvech a obávám se, že v některých případech ještě nezačal, přestože času máme již zoufale málo, varuje Eva Škorničková, která je členkou pracovní skupiny pro aplikaci GDPR při Úřadu vlády. Stát tedy přípravu podnikatelů na nové povinnosti zatím nijak neulehčuje. Server Podnikatel.cz se proto tématu bude v následujících měsících podrobně věnovat. 

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).