Svět 2017: Přichází revoluční ochrana osobních údajů. Podnikatelům, kteří neprovedou změny, hrozí pokuta až 20 milionů eur

Rok 2017 bude pro tisíce firem znamenat analýzu bezpečnostních opatření, interních předpisů i faktického fungování společnosti. Důvodem je nové nařízení o ochraně osobních údajů známé pod zkratkou GDPR.

„Toto nařízení komplexně upravuje ochranu osobních údajů a nahradí náš současný zákon," říká partner advokátní kanceláře Rowan Legal Michal Nulíček s tím, že dosud byly společnosti v Česku vázané pravidly stanovenými zákonem o ochraně osobních údajů.

„Nejdůležitější povinností podnikatelů je nyní především stanovit účel zpracování, následně zpracovávat osobní údaje pouze za tímto účelem, a jakmile účel pomine, osobní údaje vymazat," dodává Nulíček.

Firmy musí vést záznamy o tom, kdo má k údajům přístup, a zajistit, aby se k nim dostaly pouze osoby povolané. Důležitou roli v agendě osobních údajů hraje i Úřad pro ochranu osobních údajů, který plní kontrolní funkci.

Zcela nová evropská úprava bude pro podnikatele znamenat především větší důraz na zabezpečení osobních údajů, například šifrováním, a více povinností. Přináší však i vyšší sankce, které mohou být pro společnosti citelné. Květnem 2018, kdy dojde k účinnosti nařízení, pak skončí lhůta, kterou mají všechny společnosti na to, aby se na nové nařízení připravily a implementovaly nutné změny. Jinak jim hrozí pokuta až 20 milionů eur.

Nařízení vydané Evropskou unií se týká nejen internetových služeb a so­ciálních sítí, ale například i lékařů a firem, které využívají takzvané cookies. Tedy údaje, jež internetové prohlížeče ukládají o činnosti uživatele. Právě tyto cookies budou nově považovány za osobní údaje, proto by weby měly hned při vstupu žádat o klientův souhlas.

Pozor na outsourcing

Změny, které firmy zaznamenají, se budou odvíjet od rozsahu a povahy zpracování osobních údajů, které daný podnikatel provádí.

„Celkově je smyslem obecného nařízení posílit úroveň ochrany osobních údajů a soukromí jakožto základního lidského práva," vysvětluje význam úpravy mluvčí Úřadu pro ochranu osobních údajů David Pavlát. Nařízení zvýší nároky na poskytování souhlasu a nutnost revize současných smluvních vztahů.

„Všichni podnikatelé, kteří na základě souhlasu zpracovávají osobní údaje, budou muset provést komplexní revizi již udělených souhlasů a způsobů, jakými je získávají," uvádí advokát Nulíček.

Dále bude nutné komunikaci s jednotlivci vést jednoduše, to znamená jednoduchými jazykovými prostředky, stručně a komunikace bude muset být snadno dostupná, tak aby nedocházelo k nedorozumění.

Podnikatelům, kteří neprovedou změny zpřísňující ochranu osobních údajů, hrozí pokuta ve výši až 20 milionů eur.

Podnikatel se bude muset mít na po­zoru v případě, kdy údaje poskytuje (outsourcuje) ke zpracování další společnosti. Je potřeba vybrat si ta­kovou firmu, která splňuje všechny náležitosti. Změny platí také pro podobu smluv s externími firmami, protože Evropská unie nově stanovuje určité obsahové náležitosti, které bude nutné do nových i již uzavřených smluv promítnout.

„Všechny společnosti se budou muset připravit na posuzování rizik, jež jsou součástí mnohých povinností v nařízení. Náročné může být také plnění povinnosti hlásit bezpečnostní narušení, jež si bude žádat zavedení efektivních mechanismů interního reportování, vyšetřování a řešení těchto incidentů," uzavírá Nulíček s tím, že by firmy neměly spoléhat na to, že implementaci stihnou na začátku roku 2018, a s přípravou by měly začít co nejdříve.