GDPR. Zkratka, která poslední dobou hýbe světem, ten marketingový nevyjímaje. Co všechno General Data Protection Regulation neboli Obecné nařízení na ochranu osobních údajů obnáší? Proč je vůbec taková změna v Evropě potřeba? Koho všeho se dotkne? Jaké změny přinese? A jsou jisté obavy na místě? Na všechny tyto otázky odpoví následující řádky.
Co je Obecné nařízení na ochranu osobních údajů neboli General Data Protection Regulation?
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je novým a dosud nejucelenějším souborem pravidel na ochranu dat na světě. GDPR se dlouho diskutovalo, měnilo a schvalovalo. Finální podoba byla přijata loni v dubnu, ale platit toto nařízení začíná až 25. května 2018. V Česku regulace nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
GDPR je nově vytvořený soubor práv na ochranu osobních údajů v evropském prostoru. Vznikl s cílem co nejvíce hájit práva občanů Evropské unie proti neoprávněnému zacházení s těmito daty, a to jednotně ve všech státech EU, na Islandu, v Norsku a Lichtenštejnsku. Občané by tak od května příštího roku měli mít větší kontrolu nad tím, co se děje s jejich daty a osobními údaji. Tuto možnost budou mít přitom ve všech státech stejnou bez možnosti národních vlád a zákonodárců jednotlivých členských zemí do tohoto procesu jakkoliv zasahovat.
Do korporátního života vnáší GDPR novou funkci nezávislého kontrolora (DPO – Data Protection Officer neboli Pověřenec pro ochranu osobních údajů) a zavádí astronomické pokuty za porušování těchto nových pravidel. Aby se jim jednotlivé společnosti i jednotlivci vyhnuli, musejí využít přípravného období, tedy doby od schválení nařízení do okamžiku jeho platnosti, k poměrně výrazným změnám ve svém fungování, k revizi informačních systémů a postupů, jakými s osobními údaji nakládají.
Proč potřebujeme nové směrnice?
Odpověď je jednoduchá: evropská legislativa je v tomto ohledu neskutečně zastaralá. Bez výraznějších změn platí od roku 1995, tedy od doby, kdy byl internet, jak ho známe dnes, prakticky v plenkách. Neexistovaly sociální sítě a slovo cloud se používalo jen pro mrak.
Už teď je přitom jasné, že i nová podoba nařízení bude za technologickým pokrokem zaostávat minimálně o pět let, a dočká se tak v budoucnu úprav zohledňujících například big data analýzy.
GDPR je tedy čerstvým větrem do problematiky soukromí občana Evropské unie. Posiluje význam soukromí jako statku, kterého by si každý člověk měl vážit. Kolikrát jste se zamysleli nad tím, komu všemu poskytujete údaje o vlastní osobě? Obecné nařízení na ochranu osobních údajů vám má přinést jistoty, že s těmito údaji bude nakládáno pouze tak, jak vy sami chcete.
Koho GDPR ovlivní?
General Data Protection Regulation ovlivní všechny společnosti, instituce ale i jednotlivce, kteří shromažďují nebo zpracovávají osobní údaje Evropanů, a to i ty, kteří jsou mimo území Unie, ale na evropském trhu působí. Pakliže tedy zacházíte s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, budete patřit mezi ty, kterých se Obecné nařízení na ochranu osobních údajů rozhodně dotkne.
Pro odvětví marketingu, B2B trh nevyjímaje, je pak důležitý fakt, že GDPR se vztahuje i na firmy, které sledují nebo analyzují chování uživatelů na internetu. Kromě zdravotnických zařízení nebo bank se tedy toto nařízení vztahuje třeba i na e-shopy.
Jako regulátor působil dosud v Česku Úřad pro ochranu osobních údajů. Ten v této funkci zůstane i nadále, přibudou mu ale pravomoci vyplývající z reformy. Zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů.
Jaké změny GDPR přináší?
Obecné nařízení na ochranu osobních údajů vnáší do vztahu mezi institucemi a občany řadu povinností, ale i práv. Práva přitom budou rovnocenně vymahatelná v celé Evropské unii. Platnost a dodržování povinností naopak každý správce bude muset prokazatelně doložit po celou dobu, kdy tyto údaje zpracovává, a bude muset dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
GDPR rozšiřuje definici osobních údajů. Mezi ty obecně patří jméno, pohlaví, věk a datum narození anebo osobní stav. Nově se sem od května bude řadit ale také třeba e-mail, telefonní číslo, fotografický záznam, IP adresa nebo hojně diskutované cookies (a to ve všech případech, kdy jejich prostřednictvím bude možné identifikovat konkrétní osobu). Přidává také novou kategorii tzv. genetických a biometrických údajů. Jejich zpracování bude podléhat přísnějšímu režimu. Podobně se pak bude muset zacházet s dalšími kategoriemi osobních údajů, jako jsou například údaje o rasovém či etnickém původu, politických názorech, zdravotním stavu nebo sexuální orientaci.
Nové povinnosti pro podniky
Pokud jde o zpracování osobních údajů, zůstává v platnosti to, že tyto údaje lze zpracovávat pouze se souhlasem subjektu. Tento souhlas musí být podle nařízení svobodný, konkrétní, informovaný a jednoznačný. Zůstává zároveň povinnost institucí informovat občany o zpracování osobních údajů a o jeho právech, která z toho vyplývají, částečně se však mění její obsah v návaznosti na nová práva, která nařízení zavádí.
Nově ale tato smlouva o zpracování osobních údajů nemusí být písemná a může být uzavřena i v elektronické podobě, a to bez zaručeného elektronického podpisu.
Správci údajů také nově nebudou muset plnit povinnost registrace (oznamovací povinnost) u ÚOOÚ před zahájením zpracování těchto údajů. Nově pak každý správce údajů bude muset vést záznamy o veškeré činnosti související se zpracováním údajů.
Každé závažnější porušení ochrany osobních údajů budou správci povinni ohlásit nejpozději do 72 hodin. Už by tedy nemělo docházet k případům, kdy se o takových kauzách masivního úniku osobních dat dozvídáme až po několika letech.
Nová práva občanů
GDPR zavádí právo vznést námitku proti zpracování údajů. Správce po jejím vznesení nebude smět tyto údaje dále zpracovávat, pokud k tomu nebude mít závažné důvody.
Nově také zakotvuje právo subjektů údajů na výmaz údajů („právo být zapomenut“). To umožňuje občanům požádat provozovatele webových prohlížečů o odstranění některých osobních údajů z browserů. Správci údajů následně musejí vymazat veškeré odkazy na tyto osobní údaje, a to včetně jejich kopií.
Dalším novým právem je také právo na přenositelnost automatizovaně zpracovávaných údajů od jednoho správce ke druhému, a to ve strukturovaném, strojově čitelném formátu.
Díky nařízení bude mít občan rovněž právo přístupu k údajům, které jsou o něm shromažďovány, a to ideálně v online podobě. Každý člověk tedy od května bude moci vědět, za jakým účelem se jeho údaje zpracovávají, na jak dlouho budou uchovávány a jaké z toho plynou důsledky.
Máme se bát?
General Data Protection Regulation na jednu stranu přináší výhody. Jednotlivé právní úpravy všech členských zemí Evropské unie totiž ruší a nahrazuje je novou, jednotnou. Umožňuje tak třeba volný pohyb osobních údajů v rámci jednotného digitálního trhu.
Obavy pramení zejména ze sankcí, které hrozí v případě porušení nových povinností. Pokuty se pohybují v řádech až dvacet milionů eur, respektive až 4 % z celkového ročního světového obratu společnosti.
Firmy tedy musejí jednat rychle. Je třeba aktualizovat stávající dokumentaci osobních údajů a začít vést jejich řádnou evidenci. V rámci toho ovšem může nastat řada okamžiků, kdy si nebudete v něčem zcela jisti. V takovém případě bude dobré se obrátit na odborníka, který problematiku GDPR sleduje.
A takové odborníky máme i ve Fistru. Zájemcům nabízíme jak konzultace jednotlivých bodů nařízení, tak školení jeho základních znalostí. V případě zájmu o poradenství či zmíněné školení nás neváhejte kontaktovat, rádi pomůžeme i vám.