Přísnější ochrana osobních údajů přinese i vyšší pokuty

Za rok a půl vstoupí v platnost ve všech státech Evropské unie, včetně České republiky nové nařízení na ochranu osobních údajů, známým pod názvem GDPR neboli General Data Protection Regulation. Firmy, které jakýmkoliv způsobem zpracovávají osobní údaje fyzických osob, by se na ni však měly připravovat už dnes. Podcení-li totiž přípravy, může je za narušení bezpečnosti osobních údajů postihnout pokuta až ve výši 20 milionů eur nebo 4 % z obratu za uplynulý finanční rok. Výše pokuty se přitom bude odvíjet nejen od míry škody, ale také od kroků, které firmy pro ochranu osobních údajů učinily.

GDPR přináší lidem lepší kontrolu nad osobními údaji

Nové nařízení, jež bylo schváleno Evropským parlamentem 14. dubna letošního roku, nahradí od 25. května 2018 dosavadní Směrnici 94/95 EC i český zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním cílem GDPR je pomoci lidem získat lepší kontrolu nad jejich osobními údaji, aby skutečně věděli, co se s nimi děje. „V současné době se osobní údaje stávají cennou obchodní komoditou. Řada firem bez nich nemůže ani fungovat,“ podotýká Eva Škorničková, právní konzultantka ochrany dat a bezpečnosti IT, jež provozuje stránky GDPR.cz. 

Lidé budou mít díky GDPR ke svým osobním údajům přístup, budou moci požadovat jejich opravu, omezení zpracování či ovlivnit jejich přenositelnost. Rovněž budou moci vyžadovat vymazání údajů či svého „práva být zapomenut“. Jejich možností bude také vznést námitku či odmítnout například tzv. profilování, neboli automatizovaném zpracovávání osobních dat, využívaných následně v direct marketingových či mobilních kampaních.

GDPR má lidem zaručit, že jejich osobní údaje budou zpracovávány jen za určitým, předem výslovně vyjádřeným a legitimním účelem. Počet údajů se podle účelu musí omezit na minimum. Jejich správce rovněž odpovídá za jejich přesnost a aktuálnost. Ke zpracování osobních údajů bude muset dát každý firmě konkrétní, jednoznačný a informovaný souhlas. „Případy, kdy například mobilní operátoři poskytují osobní údaje svých zákazníků třetím stranám, bude muset fyzická osoba odsouhlasit. S GDPR bude mít právo přístupu, které jí umožní získat přehled o tom, komu všemu mobilní operátor osobní údaje poskytuje,“ popisuje Eva Škorničková. Spotřebitel nesmí být dezinformován.

Čím více osobních údajů bude firma o svých zákaznících shromažďovat, tím větším rizikům se bude vystavovat. Shromažďování zbytečných údajů, jak je tomu zvykem například u e-shopů, bude tedy představovat vyšší riziko pokuty.

Důležité je, že GDPR se nebude vztahovat jen na firmy sídlící na území Evropské unie, ale i na firmy mimo EU, které monitorují a nabízejí své zboží a služby rezidentům EU. Podívá-li se tedy český spotřebitel na americký e-shop a ten na něj nasadí remarketingovou kampaň, spadá jeho zpracovávání osobních údajů pod GDPR. I ten tedy bude od svého potenciálního zákazníka potřebovat výslovný souhlas.

Co vše na firmy kvůli GDPR čeká?

Jednotlivé firmy, jichž se GDPR týká, by se nyní měly zaměřit na datový audit, revizi smluv a implementaci organizačních, technických i procesních změn. Věnovat by se měly také proškolení svých zaměstnanců. Nově bude za ochranu osobních údajů zodpovídat nejen správce, tedy samotná firma, ale i zpracovatel, například poskytovatel cloudových řešení. „Firmy tedy musí právně ošetřit vztahy se všemi zpracovateli. Pro případnou spolupráci se sub-zpracovatelem musí mít zpracovatel souhlas správce,“ přibližuje Eva Škorničková.

V organizační struktuře by mělo dojít také k určení tzv. pověřence pro ochranu osobních údajů (DPO), jehož úkolem bude implementovat GDPR interně a sledovat, zda se firma chová v souladu s tímto nařízením. Podle odhadu asociace IAAP by pro DPO mělo celosvětově vzniknout na 75 tisíc nových míst. „Klíčovou funkcí takového pracovníka je vývoj a pravidelná aktualizace programů na ochranu dat, aby se zajistilo, že jsou chráněna v celé jejich šíři a že jejich ochrana je bedlivě kontrolována průřezem celého obchodu tak, jak je to nejlépe možné. K jeho dalším úkolům pak patří vzdělávání dalších zaměstnanců, informování vedení společnosti o strategiích a rizicích, neustálé sledování právního a politického vývoje v této oblasti, a to nejen v rámci konkrétní země, spolupráce s dodavateli a partnery třetích stran a vypracování zásad ochrany osobních a firemních údajů. Takový pracovník, společně s právním poradcem mohou mít rovněž povinnost reagovat na žádosti o informace od vládních agentur a právního aparátu,“ popisuje Marc Groman, člen představenstva IAPP a také generální ředitel společnosti Network Advertising Initiative.

Již nyní se na GDPR začínají připravovat na českém trhu například mobilní operátoři. „Společně s naší mateřskou společností Deutsche Telekom provádíme analýzu interních procesů, podmínek zpracování osobních údajů a smluvních ujednání. Výsledkem této analýzy by měla být identifikace oblastí, které je potřeba upravit,“ říká za T-Mobile Lukáš Hrabal a předesílá, že uvedení stávajícího stavu do souladu s novým nařízením bude spojeno s nemalými náklady.

Zda bude mít GDPR podle mobilních operátorů nějaký konkrétní dopad na možnosti marketingových kampaní využívající lokalizační údaje, zatím není příliš jasné. „Nové nařízení GDPR teprve analyzujeme. Zatím tedy nedokážeme říct, jaké s tím budou spojené náklady ani jaký dopad to může mít na naše kampaně i aktivity O2 media,“ dodává Kateřina Mikšovská z O2. Podle T-Mobile se však režim zpracování údajů za účelem marketingu s GDPR významně nezmění.

GDPR má přinést lidem mnohem větší možnosti kontroly nad osobními údaji, otázkou je, zda se spolu s možnostmi zvýší i zájem lidí. Doposud byli Češi k této problematice ve srovnání s Německem či Nizozemím poměrně laxní. O ochranu svých osobních údajů se příliš nezajímají, což dokazuje i počet oznámení, který letos řešil Úřad pro ochranu osobních údajů. Byly jen čtyři.

-stk-