Konec legendárního 101/2000 Sb. | KPMG | CZ

Konec legendárního 101/2000 Sb.

Konec legendárního 101/2000 Sb.

Provozujete e-shop nebo nabízíte svým zákazníkům věrnostní program? Osobní údaje jsou v dnešní digitální době jedním z nejcennějších obchodních artiklů. Uživatelé sociálních sítí a jiných on-line technologií je stále častěji poskytují, nebo dokonce zveřejňují. Také nové technologie umožňují soukromým společnostem, ale i orgánům veřejné moci využívat osobní údaje v nebývalém rozsahu.

1000

Director, KPMG Legal

KPMG Česká republika

Kontaktovat

Související

legal papers

Koncem dubna na tento vývoj reagoval Evropský parlament přijetím nového nařízení, tzv. obecného nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkráceně GDPR), které poměrně zásadním způsobem změní evropskou legislativu v oblasti jejich ochrany.

Nejedná se však o blesk z čistého nebe. Vyjednávání o jedné z nejrozsáhlejších evropských regulací posledních let trvalo více než tři roky. Výsledkem rozsáhlých diskusí a lobbingu na mnoha úrovních Evropské komise, Evropského parlamentu a Rady, které nemají v historii EU obdoby, je tak právní předpis, který přináší celou řadu novinek v oblasti ochrany osobních údajů v rámci EU, ale i mimo ni.
 

Přímá závaznost a účinnost GDPR

Účinnost byla stanovena na 25. května 2018. Jelikož se jedná o nařízení, bude GDPR přímo závazné bez nutnosti transpozice do národní legislativy. Nařízení tak automaticky nahradí nejen směrnici 95/46/ES, která dnes upravuje ochranu osobních údajů na úrovni Evropské unie, ale i zákon č. 101/2000 Sb., o ochraně osobních údajů.

GDPR na druhou stranu členským státům umožňuje se od některých pravidel odchýlit. Pravděpodobně tak dojde k prolomení deklarované snahy o plné legislativní sjednocení ochrany osobních údajů v rámci celé EU. V průběhu následujících měsíců se teprve ukáže, jakým způsobem bude na novou evropskou legislativu reagovat český zákonodárce. Zatím však toto nařízení není vládní prioritou.

Na koho se bude GDPR vztahovat?

GDPR se nevztahuje pouze na zpracování osobních údajů evropskými správci nebo zpracovateli na území EU, ale pravidla dopadají i za její hranice. Podléhat GDPR tak nově budou i společnosti mimo EU, které cílí na spotřebitele v Unii a zpracovávají jejich osobní údaje v souvislosti s nabídkou zboží nebo služeb nebo monitorováním jejich chování v rámci EU.

Jaké další nejvýznamnější změny nové nařízení přináší?

  • Odpovědnost správců a záměrná ochrana osobních údajů (ochrana tzv. by design)

Nová regulace přináší celou řadu nových povinností, jejichž dodržování musí být správce schopen po celou dobu zpracování doložit. Jedná se například o vytvoření a uchovávání nejrůznější dokumentace nebo zavedení vhodných technických a organizačních opatření (a to nejen v průběhu samotného zpracování, ale již v době navrhování jeho řešení), aby správci zpracovávali pouze osobní údaje, jež jsou pro konkrétní účel zpracování nezbytné.

  • Souhlas se zpracováním

Nové nařízení klade na správce údajů vyšší nároky také při získávání souhlasu se zpracováním. Podobně jako dnes bude vyžadován souhlas svobodný, určitý, informovaný a jednoznačný. Žádost o vyjádření souhlasu však bude třeba formulovat srozumitelným a jednoduchým jazykem. Bude-li souhlas součástí dokumentu, který se týká jiných skutečností (typicky smlouvy), musí být zřetelně oddělen tak, aby bylo zřejmé, že udělení souhlasu není podmínkou například pro uzavření smlouvy. Za děti mladší 16 let budou moci dát souhlas v souvislosti s poskytováním online služeb pouze jejich zákonní zástupci. Členské státy mohou vlastní úpravou stanovit i nižší věk, minimum je však 13 let.

  • Rozšíření definice osobních a citlivých údajů

Definice citlivých údajů byla rozšířena o genetická a biometrická data. Nařízení současně výslovně zmiňuje, že i některé on-line identifikátory, jako například IP adresy či identifikátory cookies, mohou být za určitých okolností považovány za osobní údaje.

  • Zesílená práva subjektů údajů

GDPR přináší celou řadu nových práv pro subjekty údajů, například právo být zapomenut (v poslední době často diskutované téma v souvislosti s kauzou Google vs. Španělsko). Na jeho základě mohou subjekty požadovat, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jich týkají, typicky v případech, kdy subjekt odvolá svůj souhlas a není dán jiný právní důvod pro zpracování.

  • Oznamovací povinnost v případě porušení zabezpečení

Správce bude mít novou povinnost ohlašovat porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od chvíle, kdy se o incidentu dozvěděl. V některých případech bude správce povinen informovat i subjekty údajů. Tato povinnost se neuplatní, jestliže by incident nepředstavoval riziko pro práva a svobody subjektů.

  • Pověřenec pro ochranu osobních údajů

Správce nebo zpracovatel bude mít povinnost jmenovat pověřence pro ochranu osobních údajů, a to zejména v případech, kdy zpracování provádí orgán veřejné moci nebo veřejný subjekt či hlavní činnost správce spočívá ve zpracování údajů v podobě pravidelného systematického monitorování velkého množství subjektů údajů nebo kdy hlavní činnost správce spočívá ve zpracování značného objemu citlivých údajů. Pověřenec by měl disponovat dostatečnou znalostí a profesními zkušenostmi v oblasti, za kterou bude odpovědný. Může jím být jak zaměstnanec správce, tak externí dodavatel služeb. V každém případě by měl mít poměrně silnou a v oblasti jeho kompetence nezávislou pozici v rámci struktury správce údajů. Více správců se pak může domluvit, že budou společně využívat služeb jednoho pověřence.
 

Pokuty až 20 milionů EUR, nebo 4 % z celosvětového ročního obratu

Na první pohled se může zdát, že dva roky určené pro přizpůsobení se novým pravidlům jsou dostačující. Z výše uvedeného výčtu jen některých vybraných změn je nicméně patrné, že oblastí, které bude třeba adaptovat na novou úpravu, není málo, a s přípravami proto není vhodné příliš otálet. Více než pádným důvodem pro důkladnou a včasnou implementaci nové legislativy je i výše pokut za porušení některých pravidel obsažených v GDPR, která bude činit až 20 milionů EUR, nebo až 4 % celkového ročního obratu celosvětově za předchozí finanční rok (podle toho, která hodnota je vyšší). Sankce za případný nesoulad s novou legislativou tak může být velmi citelná.

Spojte se s námi

 

Nezávazná poptávka

 

Zadat