Lepší kontrolu nad tím, co se děje s osobními údaji, které o sobě lidé sdělují obchodníkům, bankám, státním úřadům, ale také třeba lékařům, by mělo přinést nové evropské nařízení o ochraně osobních údajů. Pravidla označovaná jako GDPR (General Data Protection Regulation), která začnou platit od 25. května 2018, mění celou filozofii práce s citlivými informacemi. Správci a zpracovatelé dat se na to musí pečlivě připravit.

Celkem osm z deseti Evropanů podle průzkumu Eurobarometr neví, co se děje s jejich osobními daty. A právě to má nové nařízení změnit. Lidé by ještě před tím, než o sobě poskytnou informace, měli přesně vědět, k jakému účelu je organizace, které je svěřují, použije. Nařízení také jasně říká, že pokud nebude chtít člověk poskytnout data pro marketingové účely, nebude mu smět provozovatel kvůli tomu poskytnutí služby odepřít.

"Velký posun, který GDPR přináší, je zejména zvýšení transparentnosti. Běžný člověk by měl být daleko více informován o zpracování osobních údajů a o svých právech, která s ním souvisejí," říká partner advokátní kanceláře Rowan Legal Michal Nulíček.

Lidem přibudou i některá nová práva, jako je například právo na přenositelnost údajů od jednoho správce k druhému nebo právo na výmaz osobních informací, když o to člověk, který data poskytl, správce požádá.

Lépe chráněni by měli jednotlivci také být při úniku dat. Nemělo by už docházet k situacím, že se o něm dozvědí až po několika letech, jako se to stalo v případě společnosti Yahoo!, které v roce 2013 hackeři ukradli data asi miliardy uživatelů. Jakýkoliv únik osobních údajů budou muset správci a zpracovatelé dat nahlásit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy ho odhalili. Pokud by hrozilo, že kvůli úniku dojde třeba k vyzrazení obchodního tajemství nebo zneužití bankovních účtů klientů, musel by správce dat informovat o ztrátě údajů i o nebezpečí jejich zneužití všechny klienty, o jejichž data přišel.

Pro správce dat znamená příprava na novinky nelehký úkol. Jde o složitý proces, který se nedá řešit jediným projektem. "Je to soubor desítek až stovek drobných i větších změn v právní dokumentaci, procesech i IT systémech, které navíc budou provádět různí dodavatelé," popisuje Martin Hladík, jenž vede v KPMG tým zaměřený na realizaci IT projektů. Každému zpracování dat musí předcházet řada analýz, které ukážou, jak se v dané organizaci s daty pracuje a jak by se měla správně chránit.

Přípravy navíc komplikuje řada mýtů, které kolem novinky panují. Jedním z nich je například to, že se nový evropský předpis nevztahuje na malé firmy. To se však nezakládá na pravdě. "Nezáleží na tom, jestli má podnik 20, nebo 1000 zaměstnanců. Jde o to, jak rizikově a jak rozsáhle zpracovává osobní údaje," uvádí mýtus na pravou míru národní koordinátor digitální agendy Ondřej Malý. Některé organizace pak s přípravami vyčkávají na nový český prováděcí zákon k nařízení. Ten je totiž teprve v připomínkovém řízení a schvalovat ho bude až nová vláda vzešlá z říjnových voleb. Vyčkávací taktika ale není podle právníků na místě. Nařízení je totiž přímo účinné ve všech zemích EU. Jeho základní principy český zákon nijak nemění, upřesňuje jen některé drobné nuance, například z 16 na 13 let snižuje věkovou hranici, do jejíhož dosažení budou muset zpracování údajů dětí odsouhlasit jejich rodiče.

Jaká data se sbírají a k čemu jsou určena

Prvním krokem příprav, kterými si musí správci a zpracovatelé dat ze všech sektorů ekonomiky projít, by mělo být zmapování toho, jaké osobní údaje organizace zpracovává, kudy do ní vstupují a jestli se po zpracování − když už nejsou potřeba − také smažou. Nejde přitom jen o údaje zákazníků, ale také o osobní data zaměstnanců, odběratelů a dodavatelů nebo třeba uživatelů webových stránek. Nařízení přitom mění i samotnou definici osobních údajů.

Seriál HN k ochraně dat GDPR

20. 9.
Výklad nařízení: kdy bude jasno?

27. 9.
Pověřenci od A do Z

4. 10.
Inspirace ze zahraničí

"Osobním údajem je zjednodušeně řečeno jakákoliv informace o určité fyzické osobě, která může přímo či nepřímo bez přílišných obtíží vést k její identifikaci," vysvětluje advokát KPMG Viktor Dušek. V internetovém světě to bude třeba i IP adresa a za určitých podmínek i soubory cookies − "nálepky", které slouží k identifikaci uživatelů na internetu.

Ne všechny osobní údaje si ale budou žádat stejnou úroveň ochrany. "Prioritizujte a řešte od těch důležitých věcí k těm méně důležitým. Citlivá osobní data, údaje o finanční situaci, údaje zaměstnanců a klientů, pokud používáte profilování, pokud klienty sledujete, monitorujete, necháváte o nich rozhodovat vaše počítače, to jsou věci, které by se měly řešit jako první," radí Michal Nulíček správcům dat, na co by se měli zaměřit.

Po úvodním mapování by měla následovat analýza účelů a titulů, na jejichž základě zpracování dat probíhá. Ne vždy je totiž potřeba žádat subjekty údajů, tedy například zákazníky, zaměstnance nebo obchodní partnery, aby poskytli výslovný souhlas se zpracováním svých osobních dat. Tam, kde správcům práci s osobními údaji ukládá zákon nebo se bez ní neobejde plnění smlouvy, kterou má správce dat uzavřenou se subjektem údajů, nebude ani podle nových pravidel výslovný souhlas třeba. Tak například policie nebude muset nadále žádat podezřelého o souhlas s odebráním otisků prstů nebo DNA. A na účtence z elektronické evidence tržeb bude muset být i po účinnosti nařízení uvedeno daňové identifikační číslo, kterým je u podnikatelů z řad fyzických osob jejich rodné číslo. Vyžaduje to totiž zákon o EET.

Tam, kde revize ukáže, že pracovat s daty bez souhlasu nepůjde, budou muset správci a zpracovatelé údajů posoudit, zda žádosti o souhlas, který aktuálně používají, splňují všechny náležitosti podle nařízení, tedy především zda jsou srozumitelné a jasné. Pro získání souhlasu se zpracováním osobních dat už tak třeba nebude stačit pouhé tlačítko "Souhlasím" umístěné na webových stránkách. "Musí být podpořeno doplňujícími údaji, na základě kterých se subjekt údajů rozhodne, zda bude, či nebude souhlasit se zpracováním svých osobních údajů," vysvětluje mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Lidé by se tak měli dozvědět, proč a jak jsou osobní údaje zpracovány a co může člověk dělat, když s tím nesouhlasí.

Dříve získané souhlasy se zpracováním osobních údajů, které splňují náležitosti nařízení, budou platit dál i po účinnosti nových pravidel. O ty ostatní si budou muset správci a zpracovatelé údajů říct lidem znovu.

Opatření se nakonec vyplatí

Náklady na zavedení veškerých opatření, která z evropského nařízení plynou, mohou podle odhadů poradenské společnosti KPMG ve velkém podniku působícím na českém trhu vyšplhat až na půl miliardy korun. Jak ale slibuje Evropská komise − bohatě je vyváží přínosy. Více než dvě miliardy eur by se měly napříč EU díky novinkám ušetřit na administrativních nákladech − například tím, že firmy a instituce již nebudou muset každé zpracování osobních údajů hlásit kontrolním úřadům, anebo tím, že se celá unie bude řídit jednotnými pravidly namísto 28 různých zákonů. Tuto částku by pak mohly podle představ Bruselu podniky použít na investice.

Pokud ovšem povinnostem plynoucím z nařízení správci a zpracovatelé dat od firem po lékaře v termínu nedostojí, riskují vysoké pokuty − až 20 milionů eur nebo čtyři procenta z celosvětového obratu. "To jsou maximální sankce, jež budou ukládány za porušení základních principů nařízení. Mezi taková porušení by například patřilo, pokud by firma zpracovávala data nezákonným způsobem nebo při tom porušovala práva těch, kterých se zpracování dat týká," vysvětluje Nulíček. S nižší pokutou − do 10 milionů eur a dvou procent obratu − pak nařízení počítá za menší prohřešky, například když bude firma nebo instituce pracovat s osobními daty dítěte bez souhlasu rodičů.

Související