facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 7-8/2016 , IT právo

GDPR aneb (R)evoluce v ochraně osobních údajů?



KPMG LegalOblast ochrany osobních údajů představuje nejen vděčné mediální téma, ale neměl by ji zanedbávat žádný podnikatel, který s takovými daty při své činnosti nakládá. Různé úniky informací o uživatelích nebo kauza zrušení tzv. bezpečného přístavu (safe harbour) v případě předávání osobních údajů do USA jsou toho důkazem. V dubnu bylo po několika letech vyjednávání přijato nařízení o ochraně osobních údajů, které od 25. května 2018 značnou měrou ovlivní pravidla hry na tomto poli.


E-shopy, věrnostní programy, personalizovaná reklama a s nimi spojené osobní údaje představují v éře internetového podnikání bez nadsázky zlatý důl. Zdánlivě bezplatné využívání sociálních sítí je vykoupeno cenným artiklem, totiž lidským soukromím a rozličnými údaji nejen o online aktivitě. Na základě zpracování těchto údajů se pak může rozhodovat o tom, zda vás přijmou do zaměstnání nebo zda dostanete v bance úvěr, případně s jakou sazbou.

Ze strany správců, zpracovatelů i uživatelů se v posledních letech ozývají stížnosti, že harmonizace oblasti ochrany osobních údajů prostřednictvím evropské směrnice je nedostatečná. Považme, že předmětná směrnice byla přijata již v roce 1995. Od té doby se technologické možnosti rozšířily tehdy těžko představitelným způsobem. A tak budou směrnice i český zákon č. 101/2000 Sb., o ochraně osobních údajů, s účinností nového nařízení zrušeny a nahrazeny jednotnými pravidly platnými pro celou EU.

Obecné nařízení o ochraně osobních údajů, pro které už se vžila zkratka anglického názvu „General Data Protection Regulation“, tedy GDPR, má za cíl významným způsobem přispět k fungování jednotného digitálního trhu v rámci EU. Toho má být dosaženo tím, že poskytne subjektům údajů (tedy nám, fyzickým osobám, uživatelům) efektivní práva domoci se ochrany našeho soukromí. Naopak správcům a zpracovatelům dodá GDPR právní jistotu, že spravují data řádně a v souladu s právem ve všech zemích Evropské unie. Nařízení může za určitých okolností dopadat také na subjekty ze třetích zemí, pokud nabízí své zboží či služby na území EU nebo v těchto státech monitorují chování svých zákazníků.

Základy a novinky aneb co vymazat a přenést

Přestože novinky, které GDPR přináší, jsou na první pohled spíše dílčího charakteru, neubírá jim to na významu. Na obecných základech či principech ochrany osobních údajů nařízení nic nemění. Zůstává tak zachován koncept, že primárním právním důvodem ke zpracování by měl být informovaný a svobodný souhlas uživatele, případně některá z již dnes známých výjimek, kdy se pro zpracování souhlas subjektu údajů nevyžaduje. Zůstává rovněž zachována definice osobního údaje jako takového. Výslovně nám do ní sice přibývají kategorie genetických a biometrických údajů, jde však o změnu čistě formální, neboť je zjevné, že takové údaje je možné považovat za osobní již v současném režimu.

Zřejmě v důsledku současné tržní praxe, kdy většina souhlasů neobsahuje zákonem vyžadované údaje (účel je zpravidla velmi vágní, často chybí určení doby, na kterou je souhlas udělován apod.), se však dále rozšiřuje informační povinnost správce vůči subjektům údajů. Je otázkou, zda toto opatření nebude spíše kontraproduktivní. Podobný vývoj regulace můžeme vidět např. v oblasti poskytování finančních služeb, kdy extenzivní informační povinnost vůči zákazníkovi vede k jeho zahlcení celou řadou dokumentů, kterým ve výsledku zákazník bude věnovat méně pozornosti, než jednoduššímu a stručnějšímu poučení. 

kpmg

Významná a často diskutovaná jsou nová práva, která budou svědčit uživatelům. Jedná se zejména o právo na výmaz (nazývané také jako právo být zapomenut) a právo na přenos údajů. Právo na výmaz je motivováno technologickým charakterem internetu, který na rozdíl od lidí nezapomíná. I po letech jsou na něm k nalezení nežádoucí údaje o soukromí uživatelů (není např. ve veřejném zájmu, aby se po mnoha letech objevovaly u řadového občana ve výsledcích internetového vyhledávání nevýznamné poklesky z mládí). Obdobné právo dovodil ve své rozhodovací praxi Soudní dvůr Evropské unie (případ Gonzalez proti Google). Celý koncept práva být zapomenut přináší řadu zajímavých aspektů. Jedná se zejména o střet s právem na informace, kdy může být naopak společensky žádoucí možnost dohledání všech dostupných informací o osobách veřejného života, zejména politicích, nebo osobách společensky nebezpečných, tedy typicky pachatelích závažných trestných činů. Právo na přenositelnost údajů pak umožní subjektům údajů za určitých podmínek volně přenášet osobní údaje například z jedné sociální sítě na jinou. Zásadní však bude především technická proveditelnost opatření zajišťujících praktickou realizaci uvedeného práva být zapomenut a práva na přenos údajů.

Práva a povinnosti správců a proč je dobré je dodržovat

Nařízení klade důraz na zajištění ochrany osobních údajů již ve fázi přípravy samotného zpracování. Český ekvivalent tohoto principu by byl v překladu poněkud kostrbatý, v angličtině se tento přístup nazývá „privacy by design“. Prakticky jde o vypracování a uchovávání relevantní dokumentace (především k prokázání udělení souhlasu se zpracováním), zavedení vhodných technických a organizačních opatření (např. automatické hlášení bezpečnostních incidentů, proces eskalace) nebo zajištění zpracování pouze těch osobních údajů, jež jsou pro konkrétní účel nezbytné.

GDPR odstraňuje plošnou povinnost oznamovat zpracování osobních údajů národním regulátorům. To je však nahrazeno povinností správce provést analýzu dopadů zpracování (tzv. privacy impact assessment) a výsledná opatření v případě zvýšených rizik projednat s orgánem dohledu. Zavádí se rovněž povinnost bezodkladně, pokud možno do 72 hodin, oznamovat bezpečnostní incidenty, a to dohledovému orgánu, nebo v určitých případech také přímo dotčeným subjektům údajů. Vybrané organizace budou muset jmenovat pověřence pro ochranu osobních údajů, který bude na tuto činnost dohlížet. Jeho postavení v rámci organizační struktury by mělo připomínat např. oddělení compliance nebo interního auditu. Pověřenec musí být při výkonu své činnosti nezávislý. Nařízení klade také zvýšený důraz na ochranu zpracování osobních údajů dětí, nebo na opatření proti nežádoucímu profilování (tedy činnosti, která je typicky prováděna v současnosti ve velmi populární oblasti big data).

Deklarovanou výhodou je sjednocení dohledu. Správci a zpracovatelé budou moci napříště komunikovat primárně s tzv. vedoucím orgánem dohledu, který bude typicky v zemi, kde se nachází nejvýznamnější aktivity správce (princip „one-stop-shop“). Ten pak bude svou činnost koordinovat s dalšími národními regulátory. GDPR obsahuje obsáhlá pravidla pro výkon pravomocí a způsoby spolupráce mezi těmito dohledovými orgány. Dojde také ke vzniku Evropského sboru pro ochranu osobních údajů, který bude sdružovat jednotlivé národní regulátory a nahradí současné neformální sdružení Pracovní skupiny podle článku 29 směrnice („Article 29 Working Party“). Sbor má v budoucnu poskytovat metodickou podporu formou stanovisek k best practice apod.

Ačkoliv je text nařízení již nyní známý, budou se v příštích měsících nepochybně objevovat výkladové problémy. Národní státy budou vydávat prováděcí předpisy v předepsaných oblastech (např. specifické výjimky pro zpravodajské či statistické účely), naopak sdružení správců budou usilovat o vypracování jednotných metodik. Zkrátka kolem předpisu bude nepochybně velmi živo. Výrazně zvýšené sankce za porušení ochrany osobních údajů (až 20 milionů EUR nebo 4 % z celosvětového ročního obratu) naznačují, že GDPR nelze brát na lehkou váhu. Správci a zpracovatelé by měli zavčasu podnikat kroky, aby byli v roce 2018 na účinnost nařízení a tuto malou revoluci dobře připraveni.

Věra Kočicová, KPMG Legal Věra Kočicová
Autorka článku působí jako advokátka ve společnosti KPMG Legal, která se zaměřuje na korporátní právo, transakce, regulatorní problematiku, pracovní právo a litigace.
Filip Horák, KPMG Legal Filip Horák
Autor článku působí jako advokátní koncipient ve stejné společnosti.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Význam automatizace a digitalizace v post-pandemickém světě

IT Systems 6/2020V aktuálním vydání IT Systems se věnujeme především roli digitálních technologií v post-pandemickém světě. Zatímco se život postupně vrací do normálu, podniky se musí pustit do sanace škod a začít revitalizovat své provozy a procesy. Pandemie připravila pro mnohé firmy intenzivní zatěžkávací zkoušku. Současně ale jasně ukázala, čemu by podniky měly věnovat pozornost, aby svou provozuschopnost zabezpečily i do budoucnosti.