facebook LinkedIN LinkedIN - follow
IT SYSTEMS 4/2016 , IT právo

Nová evropská pravidla pro ochranu osobních údajů



DLA PiperOsobní údaje. Slovní spojení, s nímž se velká většina internetových uživatelů setkává takřka denně, leckdy i nevědomky. Jsou to internetové obchody, sociální sítě a další webové stránky, jejichž provozovatelé potřebují znát například vaše jméno, adresu, e-mail či telefon, ale i jiné údaje. Jak s těmito osobními informacemi dále nakládají a jak jste chráněni, je popsáno většinou ve všeobecných obchodních podmínkách či jiném ustanovení, které vám předkládají k odsouhlasení. Takové dokumenty čte podle průzkumů ovšem pouze necelých 20 % zákazníků napříč EU. Nyní se evropská pravidla pro ochranu osobních údajů po více než 20 letech změní. Otázka je, zda díky nim budou uživatelé skutečně více chráněni a zda to podnikatelům nepřinese pouze výrazně více práce a nákladů.



Nová evropská pravidla by měla vstoupit v platnost na jaře roku 2018, kdy nahradí českou legislativu o ochraně osobních údajů. Text nového nařízení čítá přes 100 stran, zavádí nové povinnosti a sankce.


Na znění reformy ochrany osobních údajů se v polovině prosince 2015, po několika letech diskusí, dohodli zástupci Evropské komise, europarlamentu a jednotlivých členských zemí. Nová úprava, jejímž cílem jsou sjednocení, větší přehlednost a také zpřísnění pravidel chránících naše soukromí, nahradí předchozí právní normu, jež vznikla v době, kdy byl internet v plenkách, a její aktualizace je proto urgentní. V platnost by měla vstoupit na jaře roku 2018, kdy nahradí českou legislativu upravující ochranu osobních údajů, která od roku 2000 prošla již více než dvaceti novelizacemi.


Nová pravidla zahrnují právo být zapomenut, přenositelnost osobních údajů, omezení profilování zákazníků, povinné hlášení možného narušení osobních údajů, nebo např. povinné zavedení funkce inspektora osobních údajů.


Vzhledem k tomu, že by právní předpisy měly sloužit lidem, a to na obou stranách pomyslné informační barikády (tj. těm, kteří údaje zpracovávají i těm, jejichž údaje jsou zpracovávány), měl by být stávající systém spíše zjednodušen. Text nového nařízení ovšem čítá přes 100 stran a zavádí povinnosti nové, v jejichž důsledku podnikatelům mohou vzniknout nové náklady a také může dojít k omezení jejich aktivit. Nová regulace zahrnuje zejména právo „být zapomenut“, přenositelnost osobních údajů, omezení profilování zákazníků (např. pomocí cookies), povinné hlášení možného narušení osobních údajů neprodleně jak úřadům (do 72 hodin), tak klientům, podstatné rozšíření výčtu informací povinně poskytovaných zákazníkům (ačkoli současná informační povinnost je naprosto dostatečná a i tak velmi zatěžuje správce), povinné zavedení funkce tzv. inspektora osobních údajů nebo nové sankce. Za zmínku jistě stojí i enormní výše případné pokuty za porušení povinností při zpracování ochrany osobních údajů, jejíž hranice může dosáhnout až 20 milionů eur.


Uživatelé budou vystaveni ještě vyššímu přívalu upozornění, souhlasů a oznámení. Může se tak stát, že v důsledku se budou ještě méně zajímat o své soukromí.


Uživatelé, jejichž údaje jsou zpracovávány, budou v důsledku uvedených změn vystaveni ještě vyššímu přívalu upozornění, souhlasů a oznámení o možném narušení osobních údajů, což ve svém důsledku může způsobit snížení zájmu dopodrobna se seznamovat se všemi informacemi. Může se tak stát, že se budou méně zajímat o své soukromí, což jistě záměrem nového nařízení nebylo.

Nařízení sice bylo přijato v jednodušší a pro podnikatele méně zatěžující podobě, než jaká byla představena Evropskou komisí, nicméně i tak bude pro osoby spravující osobní údaje představovat značnou zátěž. Rozhodně se nejedná o předpis jednoduchý a většina podnikatelů jeho implementaci buďto bude muset svěřit specializovanému právníkovi, anebo jej bude považovat za další výstřelek evropské byrokracie hodný ignorování.


Nařízení bude pro osoby spravující osobní údaje představovat značnou zátěž.


Pozitivem naopak je, že podle návrhu by malé a střední podniky měly získat určité úlevy při plnění povinností, díky čemuž se vyhnou některým byrokratickým úkonům a nákladům s nimi spojenými.

Korporace působící ve více evropských státech zase ocení možnost řešit problémy související s přeshraničním zpracováním údajů pouze s dozorovým orgánem toho státu, kde mají tzv. centrum hlavních zájmů. Je ovšem otázkou, jak široce bude toto ustanovení aplikováno v praxi a které otázky naopak budou i nadále muset řešit na národní úrovni.

Na jakékoliv konkrétní hodnocení a odhad úspor a nákladů nové právní úpravy je ale příliš brzy vzhledem k absenci konečného textu dohody. Evropská komise bude příslušné implementační předpisy teprve vydávat. Následně uvidíme, jaká bude v roce 2018 realita.

Stanislav Bednář, DLA Piper Stanislav Bednář
Autor článku je advokátem v pražské pobočce DLA Piper. Poskytuje právní poradenství především v oblasti práva IT, insolvenčních řízeních, obchodního a komerčního práva. V rámci své specializace na IT právo se zabývá mimo jiné ochranou osobních údajů, kybernetickou bezpečností, cloudovými službami a velkými daty.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.