S blížícím se květnem 2018 je zejména mezi podnikateli stále častěji skloňována zkratka GDPR. Za těmito čtyřmi písmeny se skrývá nové obecné nařízení Evropské unie o ochraně osobních údajů (General Data Protection Regulation – odtud zkratka GDPR), které bývá někdy poněkud nadneseně označováno za revoluci v ochraně osobních údajů osob. Co nového ale toto nařízení přináší? A proč je některými za revoluci označováno? Vzhledem k tomu, že na tuto právní úpravu lze nahlížet ze dvou úhlů pohledu, a to z pohledu fyzických osob jakožto nositelů osobních údajů, a osob a orgánů, které tyto osobní údaje zpracovávají, je i tento článek rozdělen do dvou částí.

Nutnost nové právní úpravy ochrany osobních údajů vyvstala zejména v souvislosti s technologickým rozmachem. Ačkoli si to možná ani neuvědomujeme, každým dnem předáváme obrovské množství svých osobních dat subjektům, které je dále zpracovávají a využívají. Osobním údajem totiž nejsou jen například vaše jméno, bydliště, rodné číslo, ale také třeba historie vyhledávání na internetu, údaje o vašich preferencích v rámci určitého e-shopu či údaje z GPS mobilního telefonu. Fyzickým osobám s ohledem na tuto skutečnost obecné nařízení přináší zejména nová práva, která jim umožní lépe své osobní údaje kontrolovat, případně zpřesňuje a zjednodušuje uplatňování práv stávajících.

V prvé řadě platí, že byste měli být vždy o každém zpracovávání osobních údajů ze strany zpracovatele informováni. Nemělo by se tedy nadále stávat, že vám bude volat zcela neznáma společnost a vy nebudete tušit, kde vzala vaše jméno a telefonní číslo. Současně nařízení zakotvuje seznam práv, která může každá fyzická osoba vůči zpracovateli využít. Jedná se například o právo na opravu osobního údaje, zjistíte-li, že zpracovatel v něm má chyby či jiné nepřesnosti. Dále pak třeba právo na výmaz (právo být zapomenut), které je využitelné zejména v případech nejrůznějších nevyžádaných marketingových nabídek nebo reklamních sdělení, když na základě něj lze na zpracovateli požadovat, aby veškeré vaše osobní údaje vymazal. Anebo právo na přenositelnost údajů, které vás opravňuje k získání osobních údajů, které o vás zpracovatel má. Takto si například můžete vyžádat výpis historie prohlížení stránek na internetu nebo seznam všech poslechnutých skladeb na Spotify.

Naopak orgánům veřejné moci, ostatním veřejným subjektům a podnikatelům obecné nařízení stanovuje velké množství nových povinností. A to všem, nejen těm velkým. Nařízení se totiž týká i těch nejmenších živnostníků, tedy například i řemeslníků či provozovatelů malých e-shopů. Má-li podnikatel například zaměstnance, odebírá-li zboží nebo služby od jiných fyzických osob nebo jsou-li fyzické osoby jeho zákazníky, neměl by s přizpůsobením své činnosti novému nařízení nadále otálet.

Všechny výše uvedené subjekty totiž musí zajistit, že nejpozději k 25. květnu budou veškeré osobní údaje fyzických osob zpracovávat v souladu s nařízením. Tedy zejména jsou povinny zajistit, aby všechny osobní údaje byly získávány a zpracovávány na základě některého z nařízením vymezených důvodů, aby o jejich zpracování řádně a předepsaným způsobem informovali, umožnili osobám uplatňování jejich práv, případně aby zajistili, že bude provedeno nařízením předepsané posouzení vlivu nebo jmenován pověřenec pro ochranu osobních údajů.

Zvláštní důraz je obecným nařízením kladen na zabezpečení osobních údajů. Je naprosto vyloučeno, aby se osobní údaje fyzických osob nadále „válely“ jen tak v kancelářích na stolech, byly umístěny ve volně přístupných šanonech, uloženy v nezaheslovaných počítačích nebo na nezabezpečených serverech. Osoba, která osobní údaje zpracovává, bude povinna přijmout veškerá opatření, aby ke shromážděným osobním údajům měly přístup pouze oprávněné osoby a nedocházelo k jejich náhodnému nebo protiprávnímu zničení, ztrátě či změně.

Všechny tyto povinnosti je nutné plnit pod hrozbou poměrně vysokých pokut udělovaných ze strany Úřadu na ochranu osobních údajů. Výše této pokuty může s ohledem na intenzitu porušení povinností činit až 4 % celkového ročního obratu nebo 20.000.000,- EUR. I když samozřejmě úřad bude zohledňovat velikost podnikatele a lze předpokládat, že zejména v počátcích účinnosti nařízení GDPR bude shovívavý, podnikatelé by na tuto shovívavost neměli v žádném případě spoléhat.

Aby se podnikatel těmto pokutám vyhnul, je v první řadě nezbytné provést u něj komplexní audit, na jehož základě bude zjištěno, jaké osobní údaje vlastně zpracovává, zdali je zpracovává v souladu s nařízením a zdali je skutečně zpracovávat musí. Ty, které zpracovává neoprávněně anebo je v současnosti již nepotřebuje, se doporučuje zničit nebo vymazat. Následně na základě výsledků tohoto auditu je nutné přijmout veškerá nutná opatření. A to například zajistit řádné zabezpečení osobních údajů, přijmout příslušné vnitřní předpisy, jejichž přijetí bude Úřad kontrolovat, nebo provést posouzení vlivů a jmenovat pověřence.

Ačkoli zejména malí podnikatelé budou nad obecným nařízením pro jeho finanční, časovou a byrokratickou náročnost bědovat, jeho přijetí bylo v dnešní době naprostou nutností a jako takové je nezbytné jeho vznik hodnotit kladně. Všem zpracovatelům v současné chvíli nezbývá nic jiného, než se mu do 25. května přizpůsobit.