Hlavní navigace

Máte právo být zapomenuti. Co změní reforma ochrany osobních dat?

Daniela Havlíková 19. 4. 2016

Zatímco občan získává do svých rukou zpět své údaje (nebo má alespoň největší šanci své údaje bránit), mnohým firmám začínají vstávat vlasy na hlavě.

Dne 14. dubna 2016 schválil Evropský parlament po čtyřletém vyjednávání finální podobu nového Obecného nařízení na ochranu údajů (General Data Protection Regulation – GDPR). Nahrazuje předchozí směrnici z roku 1995, která už nedokázala vyhovět požadavkům dnešní doby. 

Nejdůležitější články nařízení jsme na Lupě podrobně rozebrali už v našem lednovém textu

Nové nařízení by mělo sjednocovat normy pro všech 28 států EU a do dvou let by mělo vstoupit v platnost v celé EU (předpokládá se, že to bude v dubnu 2018). V ČR tak GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a vzhledem k jeho přímé aplikovatelnosti rovněž i zákon č. 101/2000 Sb.

Proč musí mít Evropa nové nařízení?

Měnou budoucnosti jsou naše osobní údaje. I hackeři se již začínají více a více zaměřovat na to, jak získat co nejvíce dat, a ne na to, jak tato data mazat (jak tomu bylo v minulosti). 

Legislativa EU, kterou se doposud řídily zákony na ochranu osobních údajů, byla značně zastaralá. Věčný problém všech zákonů v online prostředí je ten, že nestačí technickému pokroku. Právo na internetu je tak vždy o kousek pozadu za aktuální situací. 

Směrnice na ochranu údajů z roku 1995 již nestačila novým fenoménům, jakými jsou sociální sítě, big data apod. Do toho se přidala odhalení Edwarda Snowdena o aktivitách tajných služeb (PRISM apod.) a Evropská unie se rozhodla reagovat tvrději, než jsme možná čekali. 

Evropský parlament tlačil na schválení přísných sankcí za nedodržování pravidel ochrany osobních údajů. Z náročného několikaletého vyjednávání ale vzešel kompromisní text. Ne vše se povedlo, a zatímco občan získává do svých rukou zpět své údaje (nebo má alespoň největší šanci své údaje bránit), mnohým firmám začínají vstávat vlasy na hlavě.

Nové změny se dotknou každého, kdo má e-mail nebo účet na sociální síti. Dá se říci, že všech, kdo jsou online. Co však nastane, až nařízení začne platit? Zatímco některé firmy se již začaly připravovat, některé ještě ani neví, co se na ně chystá. Pár velkých hráčů v ČR si je vědomo problémů, který GDPR může přinést. Dříve lobbovali za úpravy textu, ale vzhledem k tomu, že se již nedá moc změnit, snaží se teď hlavní hráči na českém digitálním trhu být pragmatičtí a připravit se co nejlépe na nové nařízení.

Aplikace GDPR v ČR

Dosud byl v oblasti ochrany údajů – podle zákona č. 101/2000 Sb., vycházejícího ze směrnice 95/46/ES - hlavním regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ). Podle posledních informací by měl v této funkci zůstat i nadále. Hlavním gestorem nařízení by mělo být ministerstvo vnitra a spolugestorem ÚOOÚ. 

Je otázkou, zda by se kvůli rozsahu a dopadu GDPR neměly gesce rozšířit na další subjekty státní správy (např. ministerstvo průmyslu a obchodu či ministerstvo spravedlnosti). Tyto a další otázky řešil i speciální workshop, který dne 24. února pořádal Institut pro digitální ekonomiku (IDE) a kterého se zúčastnili zástupci soukromého a státního sektoru.

V ČR zatím neproběhly velké veřejné konzultace o GDPR. Zatím se vše řeší spíš na úrovni komunikace mezi zástupci SPIR, Svazu průmyslu a obchodu, ÚOOÚ a dalších aktérů. Až bude oficiálně ustanoven národní regulátor, trhy získají partnera, se kterým by již dopředu mohly řešit případné problémy. 

I když by mělo být nařízení zpravidla přímo aplikovatelné, u GDPR se zdá, že vzhledem k velkému množství předpisů, které si mohou státy upravit podle svých zvyklostí, bude situace trochu jiná. Někteří dokonce připodobňují toto nařízení k „hybridu“ mezi směrnicí a nařízením. Klíčový tak bude výklad regulátorů a Soudního dvora EU.

Firmy chtějí „kuchařku“

Jak již bylo řečeno, v textu nového nařízení je mnoho nejasností, které budou muset být vysvětleny ÚOOÚ. Tento úřad však bude ještě podléhat novému celoevropskému orgánu European Data Protection Board (EDPB), který bude dle GDPR zřízen. EDPB nahrazuje Pracovní skupinu podle článku 29 směrnice (WP29), která měla doposud na starosti výklad problematiky osobních údajů (více třeba zde). Bude tedy záležet i na tom, jaké názory bude mít EDPB – jestli budou přísnější než například názory místního regulátora.

V současnosti se ti, kteří začínají číst GDPR, děsí, jakým způsobem mají celý legislativní počin vykládat. Vzhledem k předpokládaným velkým sankcím již nelze brát GDPR na lehkou váhu. Nové nařízení zanechává mnoho výkladových nejasností. Firmy by se na jeho platnost rády dopředu připravily a chtěly by mít co nejdřív něco jako „kuchařku“ pojmů a možných výkladů složitého právního textu.

Zdá se, že ač některé sektory jsou již s GDPR celkem detailně obeznámeny, jiné sektory zatím ne. Zejména jde o malé a střední firmy, které z povahy své činnosti nemají žádné specialisty na problematiku ochrany osobních údajů. Při výkladu nových pravidel GDPR se lze často setkat s názorem, že i když mnohé firmy nemají povinnost ustanovit člověka, který se bude zabývat touto tématikou, ten, kdo si chce být jistý, by si specialistu na ochranu údajů pořídit měl.

Na jaké oblasti si dát pozor?

  • Definice osobních údajů – nově i cookies
  • Nakládání s online identifikátory
  • Souhlas 
  • Profilování
  • Přenositelnost dat
  • Pseudonymizace
  • Pravomoci a možné střety regulátorů

Jednotlivým problémům se do budoucna budeme na Lupě věnovat detailněji, zatím však bude třeba vyčkat na pokyny ÚOOÚ.

Co bude dál?

V současnosti se čeká, až bude GPDR oficiálně publikováno v Úředním věstníku EU, 20 dní poté začne odpočet dvou let do implementace nařízení. Nejdůležitější bude získat co nejpřesnější výklad jednotlivých pojmů. Ve spolupráci s regulátory by pak měly firmy vypracovat seznam co nejvíce situací, které mohou nastat, a nastínit možná řešení. Všechny zúčastněné čeká mnoho práce a to, že čas kvapí, je nutno brát v potaz.

Autorka děkuje Institutu pro digitální ekonomiku, Svazu průmyslu a obchodu a Aspen Institutu v Praze za poskytnuté informace pro sepsání tohoto článku.

Našli jste v článku chybu?
Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky