Hlavní navigace

Máte právo být zapomenuti. Co změní reforma ochrany osobních dat?

19. 4. 2016
Doba čtení: 5 minut

Sdílet

Zatímco občan získává do svých rukou zpět své údaje (nebo má alespoň největší šanci své údaje bránit), mnohým firmám začínají vstávat vlasy na hlavě.

Dne 14. dubna 2016 schválil Evropský parlament po čtyřletém vyjednávání finální podobu nového Obecného nařízení na ochranu údajů (General Data Protection Regulation – GDPR). Nahrazuje předchozí směrnici z roku 1995, která už nedokázala vyhovět požadavkům dnešní doby. 

Nejdůležitější články nařízení jsme na Lupě podrobně rozebrali už v našem lednovém textu

Nové nařízení by mělo sjednocovat normy pro všech 28 států EU a do dvou let by mělo vstoupit v platnost v celé EU (předpokládá se, že to bude v dubnu 2018). V ČR tak GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a vzhledem k jeho přímé aplikovatelnosti rovněž i zákon č. 101/2000 Sb.

Proč musí mít Evropa nové nařízení?

Měnou budoucnosti jsou naše osobní údaje. I hackeři se již začínají více a více zaměřovat na to, jak získat co nejvíce dat, a ne na to, jak tato data mazat (jak tomu bylo v minulosti). 

Legislativa EU, kterou se doposud řídily zákony na ochranu osobních údajů, byla značně zastaralá. Věčný problém všech zákonů v online prostředí je ten, že nestačí technickému pokroku. Právo na internetu je tak vždy o kousek pozadu za aktuální situací. 

Směrnice na ochranu údajů z roku 1995 již nestačila novým fenoménům, jakými jsou sociální sítě, big data apod. Do toho se přidala odhalení Edwarda Snowdena o aktivitách tajných služeb (PRISM apod.) a Evropská unie se rozhodla reagovat tvrději, než jsme možná čekali. 

Evropský parlament tlačil na schválení přísných sankcí za nedodržování pravidel ochrany osobních údajů. Z náročného několikaletého vyjednávání ale vzešel kompromisní text. Ne vše se povedlo, a zatímco občan získává do svých rukou zpět své údaje (nebo má alespoň největší šanci své údaje bránit), mnohým firmám začínají vstávat vlasy na hlavě.

Nové změny se dotknou každého, kdo má e-mail nebo účet na sociální síti. Dá se říci, že všech, kdo jsou online. Co však nastane, až nařízení začne platit? Zatímco některé firmy se již začaly připravovat, některé ještě ani neví, co se na ně chystá. Pár velkých hráčů v ČR si je vědomo problémů, který GDPR může přinést. Dříve lobbovali za úpravy textu, ale vzhledem k tomu, že se již nedá moc změnit, snaží se teď hlavní hráči na českém digitálním trhu být pragmatičtí a připravit se co nejlépe na nové nařízení.

Aplikace GDPR v ČR

Dosud byl v oblasti ochrany údajů – podle zákona č. 101/2000 Sb., vycházejícího ze směrnice 95/46/ES - hlavním regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ). Podle posledních informací by měl v této funkci zůstat i nadále. Hlavním gestorem nařízení by mělo být ministerstvo vnitra a spolugestorem ÚOOÚ. 

Je otázkou, zda by se kvůli rozsahu a dopadu GDPR neměly gesce rozšířit na další subjekty státní správy (např. ministerstvo průmyslu a obchodu či ministerstvo spravedlnosti). Tyto a další otázky řešil i speciální workshop, který dne 24. února pořádal Institut pro digitální ekonomiku (IDE) a kterého se zúčastnili zástupci soukromého a státního sektoru.

V ČR zatím neproběhly velké veřejné konzultace o GDPR. Zatím se vše řeší spíš na úrovni komunikace mezi zástupci SPIR, Svazu průmyslu a obchodu, ÚOOÚ a dalších aktérů. Až bude oficiálně ustanoven národní regulátor, trhy získají partnera, se kterým by již dopředu mohly řešit případné problémy. 

I když by mělo být nařízení zpravidla přímo aplikovatelné, u GDPR se zdá, že vzhledem k velkému množství předpisů, které si mohou státy upravit podle svých zvyklostí, bude situace trochu jiná. Někteří dokonce připodobňují toto nařízení k „hybridu“ mezi směrnicí a nařízením. Klíčový tak bude výklad regulátorů a Soudního dvora EU.

Firmy chtějí „kuchařku“

Jak již bylo řečeno, v textu nového nařízení je mnoho nejasností, které budou muset být vysvětleny ÚOOÚ. Tento úřad však bude ještě podléhat novému celoevropskému orgánu European Data Protection Board (EDPB), který bude dle GDPR zřízen. EDPB nahrazuje Pracovní skupinu podle článku 29 směrnice (WP29), která měla doposud na starosti výklad problematiky osobních údajů (více třeba zde). Bude tedy záležet i na tom, jaké názory bude mít EDPB – jestli budou přísnější než například názory místního regulátora.

V současnosti se ti, kteří začínají číst GDPR, děsí, jakým způsobem mají celý legislativní počin vykládat. Vzhledem k předpokládaným velkým sankcím již nelze brát GDPR na lehkou váhu. Nové nařízení zanechává mnoho výkladových nejasností. Firmy by se na jeho platnost rády dopředu připravily a chtěly by mít co nejdřív něco jako „kuchařku“ pojmů a možných výkladů složitého právního textu.

Zdá se, že ač některé sektory jsou již s GDPR celkem detailně obeznámeny, jiné sektory zatím ne. Zejména jde o malé a střední firmy, které z povahy své činnosti nemají žádné specialisty na problematiku ochrany osobních údajů. Při výkladu nových pravidel GDPR se lze často setkat s názorem, že i když mnohé firmy nemají povinnost ustanovit člověka, který se bude zabývat touto tématikou, ten, kdo si chce být jistý, by si specialistu na ochranu údajů pořídit měl.

Na jaké oblasti si dát pozor?

  • Definice osobních údajů – nově i cookies
  • Nakládání s online identifikátory
  • Souhlas 
  • Profilování
  • Přenositelnost dat
  • Pseudonymizace
  • Pravomoci a možné střety regulátorů

Jednotlivým problémům se do budoucna budeme na Lupě věnovat detailněji, zatím však bude třeba vyčkat na pokyny ÚOOÚ.

wt100 2024 EARLY

Co bude dál?

V současnosti se čeká, až bude GPDR oficiálně publikováno v Úředním věstníku EU, 20 dní poté začne odpočet dvou let do implementace nařízení. Nejdůležitější bude získat co nejpřesnější výklad jednotlivých pojmů. Ve spolupráci s regulátory by pak měly firmy vypracovat seznam co nejvíce situací, které mohou nastat, a nastínit možná řešení. Všechny zúčastněné čeká mnoho práce a to, že čas kvapí, je nutno brát v potaz.

Autorka děkuje Institutu pro digitální ekonomiku, Svazu průmyslu a obchodu a Aspen Institutu v Praze za poskytnuté informace pro sepsání tohoto článku.

Autor článku

Nezávislá expertka na ochranu osobních údajů. Více na LinkedIn.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).