Od 25. května začne být účinné nařízení EU na ochranu dat známé pod zkratkou GDPR.
Od 25. května začne být účinné nařízení EU na ochranu dat známé pod zkratkou GDPR.
autor: archiv HN

V ochraně osobních údajů Česko léta zaostávalo za západní Evropou, shodují se právníci s Úřadem pro ochranu osobních údajů. Od 25. května se to s definitivní platností změní, protože začne být účinné nařízení na ochranu dat známé pod zkratkou GDPR. To sjednocuje pravidla ochrany osobních údajů napříč celou Evropskou unií.

Všichni zákazníci, zaměstnanci nebo pacienti získají od květnového termínu větší přehled o tom, jaké informace o nich firmy, úřady nebo nemocnice schraňují. Budou moci žádat výmaz svých dat z marketingových databází a bez jejich souhlasu nebudou smět firmy ani sledovat jejich chování na internetu a poskytovat zjištěná data dál. Tam, kde mohou podniky a instituce osobní údaje zpracovávat bez souhlasu − například proto, že je k tomu zavazuje smlouva nebo povinnost plynoucí ze zákona −, bude platit, že osobní data musí ze svých databází vymazat ihned poté, co pominul účel, pro který je potřebovaly.

Konec tajností

Lépe chráněni budou lidé po květnovém termínu mimo jiné v případech, že dojde k úniku dat. Ten budou muset firmy a instituce hlásit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy ho odhalily. Pokud by hrozilo, že kvůli úniku dojde třeba ke zneužití bankovních účtů zákazníků, budou muset informovat o ztrátě údajů i nebezpečí jejich zneužití všechny klienty, o jejichž data přišly.

Základní práva podle GDPR

Právo být zapomenut

Nařízení dává lidem právo požadovat po firmách, aby smazaly všechny jejich osobní údaje. Týká se to například dat poskytnutých k marketingovým účelům.

Právo na informace

Firmy i úřady budou muset od květnového termínu informovat své klienty o jejich právech v oblasti ochrany soukromí a o tom, co dělají s jejich daty.

Právo na opravu

Lidé budou moci požadovat, aby správce dat bez zbytečného odkladu opravil nepřesné nebo zastaralé údaje, které o nich schraňuje.

Právo na přenos dat

Správci dat musí umožnit svým klientům přenos jejich údajů ke konkurenci. Zajistit ho musí bezplatně.

Právo odmítnout automatické zpracování

GDPR dává lidem právo nebýt předmětem rozhodnutí založeného výhradně na počítačovém zpracování jejich dat, pokud pro ně má závazné právní účinky.

Doposud přitom firmy většinou úniky dat tajily. Tak například společnost Yahoo! přiznala až po třech letech, že jí hackeři v roce 2013 ukradli data tří miliard uživatelů. Byly mezi nimi e-maily, telefonní čísla, data narození i tzv. hasche, tedy kontrolní součty hesel, z nichž by mohli útočníci hesla odhalit. Skutečný rozsah úniku vyšel najevo až na podzim loňského roku, kdy Yahoo! převzala společnost Verizon.

Ačkoliv je Yahoo! americká firma, nová evropská pravidla budou do určité míry svazovat i ji. Nařízení má totiž globální dopad. "Jsou povinny se jím řídit nejen společnosti se sídlem v EU, ale i všechny ostatní neevropské organizace, pokud zpracovávají osobní údaje Evropanů," upozorňuje konzultantka a expertka na GDPR Eva Škorničková.

Přimět firmy k dodržování nových pravidel mají vysoké pokuty. Ty mohou vyšplhat až na 20 milionů eur (zhruba půl miliardy korun). V českých podmínkách se přitom zatím sankce za prohřešky v oblasti ochrany osobních údajů pohybovaly maximálně v řádu jednotek milionů korun.

Pokuty, které podle GDPR hrozí, zapůsobily jako motivace a přiměly firmy, aby začaly ochranu dat řešit. "Média o tom začala psát, a tím pádem většina podnikatelů zjistila, že existuje nějaký zákon o ochraně osobních údajů, který předepisuje určitá pravidla. Takže teď se všichni vzpamatovávají a nastavují si něco, co měli mít už dávno," popisuje situaci v Česku advokátka z kanceláře eLegal Petra Dolejšová.

Čekání na výklad

Přípravy navíc komplikuje to, že nařízení jasně neříká, jak mají organizace data zabezpečit. Stanovuje jen sekvenci analýz, které by měly provést a podle jejich výsledků samy určit, jaká opatření musí přijmout. Výsledky se mohou výrazně lišit. Nemocnicím a lékařům, kteří zpracovávají citlivé údaje o zdravotním stavu pacientů, doporučují odborníci data šifrovat, aby z nich nebylo možné vyčíst identitu člověka. I ostatní společnosti by ale měly investovat do bezpečnostních opatření. Řešením může být i uchovávání dat v cloudu, pokud ovšem budou firmy vědět, kde cloud data ukládá a kdo všechno k nim má přístup.

Obecné mantinely nalinkované nařízením od jeho schválení na jaře 2016 průběžně upřesňovala pracovní skupina Evropské komise složená z odborníků. I to ale přípravy zkomplikovalo. "Dalo by se říct, že firmy měly na přípravu dva roky, ale například výkladové stanovisko k souhlasům bylo vydáno až 28. listopadu 2017, což práce zásadně zdrželo," popisuje Vanda Kellerová, která pracuje jako pověřenec ochrany osobních údajů u mobilního operátora T-Mobile.

Ve většině zemí EU včetně Česka navíc stále ještě probíhá schvalování adaptačních zákonů k novému nařízení. Ačkoliv totiž nařízení platí plošně a automaticky ve všech zemích unie, některá pravidla si mohou vlády v rámci stanovených mantinelů přizpůsobit. "Jejich finální verze může v samotném závěru výrazně zasáhnout do nově nastavených interních pravidel společností," varuje Klára Novotná, která má na starosti ochranu dat ve farmaceutickém koncernu Novartis. Tak například po svém si může každý stát stanovit to, do jakého věku budou děti potřebovat souhlas rodičů k založení e-mailové schránky nebo profilu na sociální síti. Oscilovat může mezi 13 a 16 lety. Český adaptační zákon má také mimo jiné zpřesnit pravidla pro novináře anebo snížit pokuty, které za porušení nařízení budou hrozit státním úřadům.

Přípravy za miliardy

GDPR se dotkne prakticky každého. Řešit ho musí obce, státní úřady, neziskové organizace i soukromé firmy. U živnostníků a malých podniků se náklady počítají v tisícikorunách. U velkých firem pak šplhají do milionů korun. Některým se zvyšuje i povinnost jmenovat pověřence pro ochranu osobních údajů. Ten má dohlížet na to, jak organizace s osobními údaji pracuje, a komunikovat s Úřadem pro ochranu osobních údajů. Bude to on, komu by se měl oznámit případný únik dat. Obracet se na něj ale budou také klienti, když budou žádat výmaz nebo aktualizaci svých údajů.

Jmenovat pověřence musí všechny veřejné instituce, ale i podniky, které provádějí rozsáhlé zpracování dat anebo jejich pravidelné a systematické monitorování. Budou ho tak potřebovat zejména mobilní operátoři, bezpečnostní agentury, lékařská zařízení, banky nebo provozovatelé internetových vyhledávačů. Pokud si ho najmou externě, zaplatí za něj v průměru 250 tisíc korun na měsíc. A o mnoho levnější nebude ani pověřenec jmenovaný interně. Většinou půjde o lidi z řad podnikových právníků, čemuž musí odpovídat i jejich plat.

Celkové náklady na zavedení nových pravidel by mohly ve výsledku v Česku vyšplhat až na 10 miliard korun, odhaduje společnost Deloitte. I přesto by se ale mělo nové nařízení firmám nakonec vyplatit. Podle propočtů Evropské komise se díky němu v celé unii ušetří na administrativních nákladech 2,3 miliardy eur. Odpadne totiž třeba povinnost hlásit každé zpracování osobních údajů kontrolním orgánům. A úsporu má přinést i to, že při obchodování nebo poskytování služeb přes hranice se už firmy nebudou muset složitě seznamovat se zahraniční právní úpravou.