pravnik@pravopropodnikatele.cz
222 250 000
+420 222 250 000

Co přinese nové nařízení o ochraně osobních údajů běžným podnikatelům?

V posledních dnech se v médiích i odborných kruzích skloňují čtyři písmena – GDPR, neboli Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation). Tento článek je určen pro podnikatele, které zajímá, co pro ně bude GDPR v praxi znamenat.

Co vlastně je GDPR?

Jde o nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které již platí téměř rok. Účinnosti ale nabyde až dne 25. 5. 2018. Od tohoto dne bude GDPR přímo závazné, a to ve všech zemích EU. Obsah GDPR tedy nebude přejat v žádném českém zákoně, ale bude se na české podnikatele i další osoby vztahovat bez dalšího.

Na úvod poznamenáváme, že i nadále platí, že povinnost ochrany osobních údajů se nevztahuje jen na podnikatele, ale na všechny správce osobních údajů. Pro zjednodušení se dále věnujeme jen podnikatelům.

Co se stane se zákonem o ochraně osobních údajů?

Zákon o ochraně osobních údajů nepřestane platit úplně, ale dojde k zásadnímu omezení jeho rozsahu. V podstatě bude upravovat jenom to, co GDPR svěřuje do působnosti jednotlivých států. Klíčové otázky, tedy jaké údaje a za jakých podmínek lze zpracovávat, jaké jsou další povinnosti správců a zpracovatelů, a jaké hrozí sankce za porušení, budou upraveny v GDPR.

Zásadní změna – sankce

Změn, které GDPR přinese, je více. Tou zásadní, která je také důvodem, proč se nyní o GDPR tak mluví, je radikální zvýšení možných sankcí. Současný zákon o ochraně osobních údajů počítá s nejvyšší sankcí 10 mil. Kč (tuto pokutu lze uložit v případě, že právnická osoba zpracovává osobní údaje zakázaným způsobem a v důsledku toho ohrozí větší počet osob, nebo se porušení týká citlivých údajů). Český Úřad pro ochranu osobních údajů byl navíc vždy poměrně benevolentní – pokuty v řádu statisíců nebo milionů korun ukládá jen výjimečně. Jedna z historicky nejvyšších pokut, kterou ÚOOÚ uložil, nedosahovala ani poloviny maximální možné výše. V roce 2016 zaplatil operátor T-Mobile za rozsáhlé odcizení dat bývalým zaměstnancem pokutu 3,6 mil. Kč.

To by se nyní mělo změnit. GDPR umožňuje uložit pokuty až ve výši 20 mil. eur (více než půl miliardy korun), nebo do výše 4 % celosvětového ročního obratu tohoto podnikatele, podle toho, která z obou částek je vyšší. Pokud by tato pravidla platila již nyní, zmíněné společnosti T-Mobile by vzhledem k obratu hrozila pokuta až 1 mld. Kč.

I když maximální pokuty v našich podmínkách s největší pravděpodobností ukládány nebudou, obecné zpřísnění sankcí lze očekávat.

Jaké jsou další změny?

Obsahově GDPR vychází ze současné právní úpravy a také z rozhodovací praxe Soudního dvora EU. Je mnohem podrobnější než současný zákon o ochraně osobních údajů – ten má přibližně 50 paragrafů, zatímco GDPR má téměř dvojnásobný počet článků (přesně 99) a velmi obsáhlou preambuli čítající 173 bodů.

V obecné rovině GDPR rozšiřuje práva jednotlivců jako subjektů údajů, a naopak ukládá správcům a zpracovatelům nové povinnosti.

Podnikatelé, kteří spravují nebo zpracovávají osobní údaje, by měli být schopni nejen subjektům osobních údajů, ale i kontrolním orgánům sdělit, jaké údaje, jak a proč zpracovávají, komu je předávají a co dělají pro jejich ochranu. Na podnikatele jsou tedy kladeny poměrně vysoké nároky.

Výběr některých konkrétních změn, které se dotknou většiny podnikatelů:

  • souhlas se zpracováním osobních údajů nebude moci být jen součástí obchodních podmínek;
  • podnikatel nebude smět podmínit uzavření smlouvy souhlasem se zpracováním osobních údajů (netýká se údajů, které je potřeba zpracovat pro splnění smlouvy, jako je jméno, příjmení a doručovací adresa);
  • souhlas se zpracováním osobních údajů budou moci udělit samostatně jen děti starší než 16 let (nebo 13 let, pokud český zákon hranici sníží), jinak je nutný souhlas zákonného zástupce;
  • bude podrobněji upraveno právo „být zapomenut“, včetně povinnosti správce sdělit žádost o trvalé smazání zveřejněných osobních údajů i dalším správcům;
  • subjekt bude moci požádat o přenos svých osobních údajů k jinému správci;
  • bude zrušena povinnost oznámit zpracování osobních údajů Úřadu pro ochranu osobních údajů.

Nově bude upraveno postavení zpracovatele (tj. toho, kdo pro správce zajišťuje zpracování osobních údajů), který má dle současného zákona o ochraně osobních údajů jen několik málo vlastních povinností. Podle GDPR bude mít zpracovatel povinností více.

Zbystřit by tedy měli zejména poskytovatelé cloudových úložišť, společnosti nabízející správu marketingových kampaní, e-mailing nebo CRM služby, protože ti všichni se mohou podílet na zpracování osobních údajů jako zpracovatelé, a dále ti, pro které je zpracování osobních údajů hlavní činností. Na takové podnikatele se totiž může vztahovat povinnost jmenovat pověřence pro ochranu osobních údajů, což je rovněž novinka, kterou GDPR zavádí.

Změn zaváděných GDPR je pochopitelně mnohem více, toto je jen stručný přehled těch z nich, které se dotknou většiny podnikatelů. Touto problematikou se budeme na našich stránkách dále zabývat.

Dle našich zkušeností podnikatelé, zejména z řad malých a středních podniků, ochranu osobních údajů často zanedbávají. Se zpřesněním stávajících povinností, zavedením nových povinností a zvýšením možných sankcí je nezbytné, aby se podnikatelé začali osobními údaji vážně zabývat a udělali si v nich pořádek ještě před tím, než GDPR začne být účinné.

Budete-li mít jakékoliv dotazy, v naší on-line právní poradně Vám rádi podáme potřebnou pomocnou ruku.


Nejnovější články

Jak se může zaměstnanec bránit proti ukončení pracovního poměru – a co s tím může dělat zaměstnavatel?
eTurista: Nová pravidla pro ubytování v Česku – usnadnění nebo byrokracie?
Nová pravidla zdaňování kryptoměn při podnikání
Předmanželská smlouva: Ochrana majetku nebo zbytečná formalita?

Kategorie

Kontaktní formulář

Zásady ochrany osobních údajů
Čekejte prosím, odesílám Váš dotaz