Velké úniky uživatelských údajů, obchodování s daty zákazníků anebo aféry se sledováním mailové komunikace. To by měla být po zásadní celoevropské reformě ochrany osobních údajů minulost. Evropská komise chce navíc prostřednictvím případných mezinárodních dohod chránit uživatele i v případě, že jeho osobní údaje zpracovává správce, který není usazen v Evropské unii.

Nové nařízení nejvíc dopadne na velké nadnárodní společnosti. Budou totiž muset sjednotit svá vnitřní pravidla napříč starým kontinentem a připravit se na to, že si na ně mohou uživatelé stěžovat kdekoliv v osmadvacítce. "Čím více zákazníků a čím více zpracovávaných dat, tím nákladnější může být implementace nových pravidel," tvrdí advokát Petr Kališ z kanceláře CHSH Kališ & partneři.

Chráněna bude i poloha

Největší změnou bude už samotné nové pojetí osobních údajů. Podle nařízení mají být chráněny jakékoliv informace, které budou moci vést k identifikaci uživatele. Třeba to, odkud je připojen k internetu. Chráněny budou i takzvané cookies, tedy data, která prohlížeč odesílá serverům. Využívají je e-shopy, vyhledávače anebo třeba mailové služby.

V praxi to znamená hlavně návštěvníky informovat o tom, že provozovatel webu zpracovává jejich data. "Už dnes není výjimkou umísťování základních informací o použití cookies na stránkách ve formě pop-up okna. Je však stále otázkou, zda tato forma prosté informace bude stačit, nebo zda bude nutno plošně na uživatelích vyžadovat aktivní souhlas s přijetím cookies," popisuje možné komplikace advokát Petr Mališ z kanceláře Jansa, Mokrý, Otevřel & partneři. Snaha o novou definici osobního údaje je podle něho obecně vnímána jako velký problém chystané právní úpravy.

Data officer

Nadnárodní společnosti by se měly také připravit na řízení před úřady ve všech evropských zemích. "Výhodou pro uživatele internetu bude možnost obracet se s případnými stížnostmi na zpracování osobních údajů zahraničními subjekty na své domácí úřady," říká Mališ. To pak povede k lepší vymahatelnosti práva bez ohledu na to, v jaké zemi je s osobními údaji nakládáno.

Všichni podnikatelé zaměstnávající více než 250 zaměstnanců budou mít také nově povinnost jmenovat inspektora ochrany údajů. Svého "data officera" mají mít i všechny státní subjekty. Nevyhnou se mu ani společnosti, jejichž hlavní činnost spočívá ve zpracovávání údajů. Novinka tak má v Evropě zajistit pravidelné a systematické sledování těch, kteří nakládají s osobními údaji.

Jak se připravit

Podle oslovených právníků čeká firmy v případě schválení nařízení úprava smluv včetně přehodnocení zabezpečení serverů. V současné době zákon o ochraně osobních údajů neukládá správcům osobních údajů vést komplexní dokumentaci. To by se také mělo změnit. Nově by měli tyto subjekty evidovat, jaká data a jakým způsobem zpracovávají. "Návrh nařízení počítá s tím, že každý správce bez ohledu na jeho velikost bude mít transparentní a snadno dostupné zásady zpracování údajů. Z toho lze dovozovat, že důraz bude vedle obsahu kladen i na formu, dostupnost, konzistentnost a srozumitelnost informací týkajících se zpracování osobních údajů," tvrdí Mališ s tím, že se ale nebude jednat o nadměrnou administrativní zátěž, půjde spíše o jednorázové vyhodnocení aktuální dokumentace.

"Ze zkušeností víme, že zatímco některé (i malé) e-shopy mají dokumentaci ke zpracování osobních údajů už dnes velice podrobnou a obsahující veškeré informace požadované zákonem, jiné nemají buďto nic, anebo se jejich dokumentace omezuje na souhlas se zpracováním osobních údajů, což je málo a bude to málo i po nabytí účinnosti inkriminovaného nařízení," dodává Mališ. Podle advokáta Kališe by společnosti měly také aktualizovat znění souhlasu se zpracováním osobních údajů. "U podnikatelů s více než 250 zaměstnanci pak bude nutné vymezit kompetence inspektora ochrany osobních údajů," radí první kroky Kališ.

Společnosti by také měly být pro své uživatele dostupné. Zapotřebí bude jednoduchá a bezplatná komunikace, třeba pro to, aby mohli uživatelé posílat žádosti či podněty ohledně zpracování údajů. "Je nutno se připravit i na nutnost vyhovět požadavkům na vydání kopie veškerých zpracovávaných údajů, a to v běžných formátech, jako je například pdf," dodává Mališ.

Problematické Česko

Povinnost sladit pravidla podle nařízení bude nejdřív v roce 2018. Po svém přijetí, které je plánované na rok 2016, totiž nařízení nabude účinnosti až po dvouletém přechodném období. Oproti směrnicím, které jsou v oblasti ochrany osobních údajů obvyklé, nebudou mít státy na výběr - nařízení totiž platí napřímo. Důvodem, proč se unie nevydá "jen" cestou směrnice, je fakt, že ne všechny státy měly v minulosti snahu chránit data stejně. Například Česko nepřejalo plně směrnici o povinnostech v oblasti cookies z roku 2009. Ta přitom vyžaduje, aby bylo třeba předchozího souhlasu uživatele s jejich zavedením. V Česku ale stačí, jen když je uživatel o takovém zpracování dat informován, a odmítnout může až následně.

Článek vyšel v časopise Ekonom 11. června.

 

Související