Většina podnikatelů dnes ví, že při zpracování osobních údajů svých zákazníků jsou povinni dodržovat poměrně přísné podmínky nastavené zákonem o ochraně osobních údajů. Málo z nich si je však vědomo, že tato již zaběhlá úprava bude od května 2018 nahrazena novou evropskou úpravou obsaženou v tzv. Obecném nařízení o ochraně údajů (GDPR). GDPR přitom zásadně mění pravidla zpracování osobních údajů a zasáhne všechny, kteří s osobními údaji pracují. A pokud správci údajů doteď nebrali ochranu osobních údajů vážně, po zhlédnutí maximální pokuty podle GDPR velmi pravděpodobně začnou.

 

Platnost dosavadních souhlasů je sporná

Každý pravděpodobně zná následující situaci: Chcete si objednat produkt z internetu, avšak pro dokončení objednávky musíte zaškrtnout políčko (pokud již není automaticky zaškrtnuté), kterým poskytnete prodejci souhlas se zpracováním osobních údajů, nejčastěji pro marketingové účely. I když uvedené nastavení je i dnes problematické, po účinnosti GDPR bude takto poskytnutý souhlas jednoznačně neplatný.

Souhlas se zpracováním údajů podle GDPR musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle. Souhlas nesmí být skrytý v obchodních podmínkách a musí být stejně snadno odvolatelný, jako byl udělen. Pasivita, mlčení nebo předznačená políčka proto nikdy nebudou považovány za platný souhlas.

GDPR stanoví, že zpracovávat osobní údaje na základě dříve udělených souhlasů bude možné, jen pokud způsob udělení daného souhlasu odpovídal podmínkám GDPR. V opačném případě musí správci získat nové souhlasy zákazníků, přehodnotit právní základ zpracování nebo ukončit zpracování takových osobních údajů.

Glatzová & Co., s.r.o.

Advokátní kancelář Glatzová & Co. poskytuje právní služby od roku 1994. Je jednou z nejstarších českých kanceláří, spolehlivou stálicí na trhu právních služeb, nejlepší zárukou vysoké kvality.

Pravidelně získává významná ocenění od prestižních mezinárodních i domácích ratingových agentur.

Glatzová & Co. nabízí širokou škálu komerčně právních služeb v češtině, angličtině, němčině, francouzštině a ruštině. Hlavní oblasti specializace jsou:

- M&A
- Nemovitosti a stavebnictví
- Bankovnictví a finanční trhy
- Duševní a průmyslové vlastnictví a ochrana osobních údajů.
- Energetika a utility
- Antimonopolní a soutěžní právo.
- Soudní spory a rozhodčí řízení.
- Pracovní právo.
- Obecné obchodní poradenství.

Zajímá vás téma osobních údajů a GDPR? Pak právě pro vás chystáme v červnu 2017 dvě akce zaměřené na ochranu osobních údajů. První akcí bude konference na GDPR v Bratislavě. Druhou akcí bude naše právní akademie v Praze. Přihlášky a více informací na akademie@glatzova.com nebo na telefonním čísle: + 420 224 401 497.

Mgr. Veronika Pázmányová, vedoucí advokátka, vedoucí slovenské pobočky

Mgr. Marek Bednář, advokát

Zpracovávat osobní údaje je možné pouze na základě právního základu, kterým nemusí být nevyhnutelně souhlas dotčené osoby. Takovým právním základem je například i skutečnost, že zpracování je nezbytné k plnění smlouvy - poskytnutí služby či zaslání objednaného zboží. Rozdíl je v rozsahu osobních údajů, který je v případě souhlasu obvykle širší než nezbytný rozsah umožněný na základě jiných právních základů.

 

Širší práva zákazníků

Už dnes má zákazník řadu práv, kterými si umí poměrně efektivně zajistit kontrolu nad svými osobními údaji. GDPR však tato práva zpřesňuje, rozšiřuje a zavádí mezi ně nová práva.

Mezi taková práva patří například právo být zapomenut, právo na přenositelnost údajů, právo na omezení zpracování, právo vznést námitku proti zpracování údajů.

Například po uplatnění práva být zapomenut bude správce povinen osobní údaje bez zbytečného odkladu vymazat a případně informovat další osoby, aby údaje vymazaly. Na základě práva na přenositelnost údajů bude zákazník oprávněn požadovat, aby mu správce poskytl zpracovávané osobní údaje ve strukturované, běžné a strojově čitelné podobě, případně aby tyto údaje původní správce předal přímo novému správci. V praxi toto právo ulehčí zákazníkovi například změnu banky či provozovatele e-mailového serveru.

Nová práva vyžadují, aby je správci promítli do svých vnitřních procesů a postupů. Doporučujeme proto zvážit aktualizaci interních směrnic a postupů ohledně zpracování osobních údajů a provést školení zaměstnanců, kteří pracují s osobními údaji, aby byli schopni rozeznat nová práva dotčených osob a správně reagovat na jejich žádosti.

 

Předběžné konzultace a hlášení úřadu

GDPR zavádí také novinky ve vztahu k Úřadu pro ochranu osobních údajů. První novinkou je, že v některých případech bude správce povinen před zahájením zpracování kontaktovat Úřad pro ochranu osobních údajů a projednat s úřadem zamýšlené zpracování. Druhou novinkou je povinnost hlásit úřadu případy porušení zabezpečení osobních údajů, které mohou mít za následek riziko pro práva a svobody fyzických osob. Taková hlášení je správce povinen učinit do 72 hodin od okamžiku, kdy se o něm dozvěděl.

Výše uvedené povinnosti opět znamenají nezbytnost úpravy interních procesů správce.

 

Pověřenec pro ochranu osobních údajů

Někteří správci budou nově muset mít také pověřence pro ochranu osobních údajů a jeho kontaktní údaje zveřejnit a sdělit úřadu.

 

Proč už teď

Ve světě podnikatelů, ve kterém je každý den nutné hasit právě aktuální problém, se datum 25. 5. 2018 a otázka ochrany osobních údajů mohou zdát jako problém zítřka. Avšak komplexnost změn, které GDPR přináší, implementace nových práv subjektů údajů či povinností správců a zpracovatelů je komplexní problematika, kterou nelze vyřešit ze dne na den. Správci údajů by měli počítat s dostatečným množství času a interních kapacit, aby sladili svou činnost s přísnými pravidly GDPR.

 

Výrazné sankce

Pokud správci dosud nevěnovali ochraně osobních údajů vysokou pozornost, sankce, které nově mohou úřady správcům uložit, je k tomu téměř jistě přinutí. Zatímco podle stávajícího zákona o ochraně osobních údajů je úřad oprávněn udělit sankci za porušení zákona ve výši maximálně 10 000 000 Kč, sankce podle GDPR se mohou vyšplhat až do výše 20 000 000 eur, resp. do čtyř procent z celosvětového obratu v závislosti od charakteru porušení. Zpracovávat osobní údaje v souladu s pravidly GDPR tak podle našeho názoru nebude jen podstatné, ale přímo nezbytné.