Kropáček Legal

Co přinese nové nařízení o ochraně osobních údajů běžným podnikatelům?

6. 4. 2017
Kategorie: Právo v online prostředí, Provoz e-shopu, Rady pro podnikání
Sdílet na Facebooku Sdílet na Twitteru Sdílet na Google+

V posledních dnech se v médiích i odborných kruzích skloňují čtyři písmena – GDPR, neboli Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation). Tento článek je určen pro podnikatele, které zajímá, co pro ně bude GDPR v praxi znamenat.

Co vlastně je GDPR?

Jde o nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které již platí téměř rok. Účinnosti ale nabyde až dne 25. 5. 2018. Od tohoto dne bude GDPR přímo závazné, a to ve všech zemích EU. Obsah GDPR tedy nebude přejat v žádném českém zákoně, ale bude se na české podnikatele i další osoby vztahovat bez dalšího.

Na úvod poznamenáváme, že i nadále platí, že povinnost ochrany osobních údajů se nevztahuje jen na podnikatele, ale na všechny správce osobních údajů. Pro zjednodušení se dále věnujeme jen podnikatelům.

Co se stane se zákonem o ochraně osobních údajů?

Zákon o ochraně osobních údajů nepřestane platit úplně, ale dojde k zásadnímu omezení jeho rozsahu. V podstatě bude upravovat jenom to, co GDPR svěřuje do působnosti jednotlivých států. Klíčové otázky, tedy jaké údaje a za jakých podmínek lze zpracovávat, jaké jsou další povinnosti správců a zpracovatelů, a jaké hrozí sankce za porušení, budou upraveny v GDPR.

Zásadní změna – sankce

Změn, které GDPR přinese, je více. Tou zásadní, která je také důvodem, proč se nyní o GDPR tak mluví, je radikální zvýšení možných sankcí. Současný zákon o ochraně osobních údajů počítá s nejvyšší sankcí 10 mil. Kč (tuto pokutu lze uložit v případě, že právnická osoba zpracovává osobní údaje zakázaným způsobem a v důsledku toho ohrozí větší počet osob, nebo se porušení týká citlivých údajů). Český Úřad pro ochranu osobních údajů byl navíc vždy poměrně benevolentní – pokuty v řádu statisíců nebo milionů korun ukládá jen výjimečně. Jedna z historicky nejvyšších pokut, kterou ÚOOÚ uložil, nedosahovala ani poloviny maximální možné výše. V roce 2016 zaplatil operátor T-Mobile za rozsáhlé odcizení dat bývalým zaměstnancem pokutu 3,6 mil. Kč.

To by se nyní mělo změnit. GDPR umožňuje uložit pokuty až ve výši 20 mil. eur (více než půl miliardy korun), nebo do výše 4 % celosvětového ročního obratu tohoto podnikatele, podle toho, která z obou částek je vyšší. Pokud by tato pravidla platila již nyní, zmíněné společnosti T-Mobile by vzhledem k obratu hrozila pokuta až 1 mld. Kč.

I když maximální pokuty v našich podmínkách s největší pravděpodobností ukládány nebudou, obecné zpřísnění sankcí lze očekávat.

Jaké jsou další změny?

Obsahově GDPR vychází ze současné právní úpravy a také z rozhodovací praxe Soudního dvora EU. Je mnohem podrobnější než současný zákon o ochraně osobních údajů – ten má přibližně 50 paragrafů, zatímco GDPR má téměř dvojnásobný počet článků (přesně 99) a velmi obsáhlou preambuli čítající 173 bodů.

V obecné rovině GDPR rozšiřuje práva jednotlivců jako subjektů údajů, a naopak ukládá správcům a zpracovatelům nové povinnosti.

Podnikatelé, kteří spravují nebo zpracovávají osobní údaje, by měli být schopni nejen subjektům osobních údajů, ale i kontrolním orgánům sdělit, jaké údaje, jak a proč zpracovávají, komu je předávají a co dělají pro jejich ochranu. Na podnikatele jsou tedy kladeny poměrně vysoké nároky.

Výběr některých konkrétních změn, které se dotknou většiny podnikatelů:

Nově bude upraveno postavení zpracovatele (tj. toho, kdo pro správce zajišťuje zpracování osobních údajů), který má dle současného zákona o ochraně osobních údajů jen několik málo vlastních povinností. Podle GDPR bude mít zpracovatel povinností více.

Zbystřit by tedy měli zejména poskytovatelé cloudových úložišť, společnosti nabízející správu marketingových kampaní, e-mailing nebo CRM služby, protože ti všichni se mohou podílet na zpracování osobních údajů jako zpracovatelé, a dále ti, pro které je zpracování osobních údajů hlavní činností. Na takové podnikatele se totiž může vztahovat povinnost jmenovat pověřence pro ochranu osobních údajů, což je rovněž novinka, kterou GDPR zavádí.

Změn zaváděných GDPR je pochopitelně mnohem více, toto je jen stručný přehled těch z nich, které se dotknou většiny podnikatelů. Touto problematikou se budeme na našich stránkách dále zabývat.

Dle našich zkušeností podnikatelé, zejména z řad malých a středních podniků, ochranu osobních údajů často zanedbávají. Se zpřesněním stávajících povinností, zavedením nových povinností a zvýšením možných sankcí je nezbytné, aby se podnikatelé začali osobními údaji vážně zabývat a udělali si v nich pořádek ještě před tím, než GDPR začne být účinné.

Budete-li mít jakékoliv dotazy, v naší on-line právní poradně Vám rádi podáme potřebnou pomocnou ruku.

Co přinese nové nařízení o ochraně osobních údajů běžným podnikatelům?
3.63 (72.5%) 8 hlasů

O autorovi

Zajistím právní servis pro Vaše náročné internetové projekty. Dále se zabývám především ochranou osobních údajů, affiliate systémy a problematikou domén.

Právní partneři

Asociace.biz
GoPay
PravoProPodnikatele.cz © 2017