GDPR vs. banky, operátoři a spol.: I vaše osobní údaje jsou ve hře

Od května 2018 začne platit nové nařízení o ochraně osobních údajů, známé také pod anglickým názvem General Data Protection Regulation (GDPR). Toto nařízení bude regulovat ochranu osobních údajů ve všech členských státech Evropské unie a již nyní lze konstatovat, že pro nakládání s osobními daty bude platit řada nových pravidel a postihy za jejich porušení se zpřísní.
Hrozící sankce se budou moci vyšplhat až na 20 milionů EUR, půjde-li o podnik, tak až do výše 4 % jeho celosvětového ročního obratu. Dodržování nových povinností bude kontrolovat Úřad pro ochranu osobních údajů jako dozorový orgán. Jaké jsou klíčové změny a povinnosti, které budou muset firmy od příštího roku dodržovat?
V reakci na zvyšující se rizika spojená s technologickým pokrokem a přesunem mnoha firemních aktivit do on-line režimu se Evropská unie rozhodla zaměřit na oblast nakládání s osobními údaji.
Pověřenec pro ochranu osobních údajů
Úplnou novinkou je institut takzvaného pověřence pro ochranu osobních údajů. Ten bude mít jakožto nezávislý odborník za úkol zajišťovat soulad činností správce osobních údajů (tedy zjednodušeně každého, kdo systematicky zpracovává osobní údaje fyzických osob) s nařízením GDPR a poskytovat mu v tomto směru podporu a odborné poradenství. Půjde o jakéhosi garanta (nebo, chcete-li, poradce) k nařízení GDPR.
Určité subjekty jej budou muset zřizovat povinně, například v případě rozsáhlého, pravidelného a systematického monitorování subjektů údajů (CCTV) nebo při rozsáhlém zpracování citlivých údajů (údajů vypovídajících o rasovém či etnickém původu, politických názorech, náboženském vyznání, zdravotním stavu a podobně). Pověřence nicméně bude možné jmenovat i dobrovolně.
Právo na přenositelnost osobních údajů
Subjekty údajů získají mimo jiné i novou možnost u správce (na základě žádosti) uplatnit takzvané právo na přenositelnost osobních údajů. V praxi se uplatňování práva na přenositelnost předpokládá například u mobilních operátorů, poskytovatelů energií či on-line služeb, u nichž bývají osobní údaje zpracovávány elektronicky.
Správci tak budou mít povinnost předat osobní údaje těch subjektů, které o to požádají, a to buď samotnému subjektu, nebo přímo jinému správci. To vše ve strukturovaném a strojově čitelném formátu (například DOC, DOCX, TXT, RTF a podobně). V praxi většinou půjde o předávání osobních údajů stávajících zákazníků konkurenci, jelikož smyslem tohoto oprávnění je mimo jiné usnadnit přechod osob k jiným poskytovatelům výrobků či služeb nabízejících výhodnější podmínky.
Vyšší sankce
Je potřeba zdůraznit, že povinnosti plynoucí z GDPR se rozhodně nevyplatí opomíjet či porušovat. Při porušení některých povinností GDPR totiž bude nově možné uložit sankci buď do výše 10 milionů EUR, nebo, jde-li o podnik, až do výše 2 % celosvětového ročního obratu, ve vymezených případech dokonce do 20 milionů EUR, nebo, jde-li o podnik, až do výše 4 % celosvětového ročního obratu.
U nadnárodních společností s vysokým celosvětovým obratem se sankce mohou vyšplhat až k opravdu závratným částkám. Jen pro porovnání, energetickému gigantu ČEZ by podle zákona o trestní odpovědnosti právnických osob šlo za úmyslný trestný čin uložit peněžitý trest maximálně 1,46 miliardy Kč. Oproti tomu za porušení práva na přenositelnost údajů podle GDPR by mu však bylo teoreticky možné (na základě celkového obratu skupiny ČEZ vykázaného v roce 2015) uložit pokutu až 8,41 miliardy Kč.
Osobní údaje se v budoucnu pravděpodobně stanou jedním z nejstřeženějších firemních artiklů. Jelikož však stále existuje velké množství výkladových nejasností, reálné dopady GDPR na společnosti ukáže buď samotná praxe, nebo případná oficiální výkladová stanoviska. Nyní tedy nelze než s velkým očekávání vyhlížet účinnost GDPR a současně se snažit jejím požadavkům co nejlépe vyhovět.
Autory textu jsou Eva Radová a Matěj Grödl.
Zdroj: Rada & Partner advokátní kancelář