Pokud firma shromažďuje v databázi informace o konkrétních lidech, ať už jde o zákazníky, dodavatele nebo zaměstnance, stává se správcem osobních údajů a má řadu povinností, jako je třeba jejich řádné zabezpečení. Sdílet své databáze v rámci koncernu ale společnosti nemohou jen tak. České právo totiž nerozlišuje předávání informací mezi mateřskou a dceřinou společností a mezi dvěma podniky, které nejsou nijak majetkově provázány. Povinnosti jsou tak pro všechny stejné.

Zákon chrání osobní údaje pouze konkrétních fyzických osob. "Informace o právnických osobách regulaci nepodléhají a mateřská společnost je může poskytnout dále bez omezení za předpokladu, že neobsahují také údaje o fyzických osobách, např. jméno manažera a telefonní kontakt na něj," vysvětluje advokát Lukáš Mokrý z kanceláře Jansa, Mokrý, Otevřel & partneři.

Sdílení jen se souhlasem

Pokud chtějí společnosti v rámci koncernu využívat jednu databázi a kontakty navzájem sdílet, musí mít vždy souhlas dotčených osob. Ten se nevyžaduje, jestliže společnost získala údaje při běžné obchodní činnosti, například od zákazníků, kteří u firmy poptávali zboží, nebo jde o kontaktní informace pro doručování. "Zákon umožňuje takto získané údaje předat třetí osobě za účelem nabízení obchodu a služeb, a to i bez souhlasu subjektu, avšak jen v rozsahu jména a adresy a jen tehdy, pokud subjekt neprojevil nesouhlas," upozorňuje Lukáš Mokrý.

V ostatních případech, třeba když podnikatel získal údaje při marketingových akcích nebo při nákupech přes e-shop, musí už mít k poskytnutí údajů dalšímu subjektu souhlas. Ten by měl obsahovat větu, že poskytnuté údaje mohou být zpřístupněny dceřiným společnostem či mateřské společnosti správce.

Kromě toho musí správce každé předání informací třetí osobě, tedy i své korporátní "matce", za jiným účelem, než pro jaký byly získány, oznámit Úřadu pro ochranu osobních údajů (ÚOOÚ). "Oznamovací povinnost se nevztahuje prakticky jen na údaje, které jsou součástí veřejně přístupných rejstříků, a na takové zpracování, kterým společnosti zajišťují plnění svých práv a povinností podle zvláštních zákonů," dodává Mokrý.

Jakmile mateřská či dceřiná společnost kontakty získá a nakládá s nimi, stává se sama správcem. Pokud ale společnost vystupuje jako zpracovatel, který zpracovává osobní údaje shromážděné jiným subjektem, může tak činit jen na základě smlouvy o zpracování osobních údajů. "Ta by měla kromě podstatných náležitostí stanovených zákonem obsahovat také některá vedlejší ujednání, např. podrobnosti pokynů zákazníka určených poskytovateli, podmínky navrácení či zničení osobních údajů, doložku mlčenlivosti, doložku věnující se řešení sporů a další," říká advokát Martin Kartner z kanceláře CHSH Kališ & Partners.

Předání dat do zahraničí

V rámci koncernu jsou data často sdílena za hranice. V EU, potažmo v Evropském hospodářském prostoru, lze předávat osobní údaje bez omezení. Povolení se nevyžaduje ani pro státy, ve kterých volnost pohybu dat zaručují mezinárodní dokumenty. Jde například o USA, Makedonii, Moldávii, Nový Zéland nebo Argentinu. V ostatních případech firma potřebuje svolení úřadu. "Je nutno požádat o vydání tzv. povolení k předání osobních údajů. Konkrétní proceduru upravuje zákon a vzory žádosti jsou uveřejňovány na stránkách ÚOOÚ," vysvětluje Martin Kartner.

Pokud koncern funguje na území několika států, musí každá společnost plnit povinnosti, které pro ni vyplývají z tamních zákonů. Ačkoliv jsou v Evropě pravidla pro ochranu dat vesměs podobná, i zde je nutné počítat s rozdílnými povinnostmi. Typickým příkladem je Rusko. Podle Kartnera tam od 1. září platí nová právní úprava znemožňující zpracovávat osobní údaje ruských občanů na serverech umístěných mimo Rusko.

Článek vyšel 3. září v časopise Ekonom.


 

Související