Evropská reforma ochrany osobních údajů na postupu, bude se týkat i cookies

Nová reforma sjednotí legislativu, firmy by se ale měly připravit na nové povinnosti. V některých případech budou správci muset vypracovat posudek na ochranu údajů, jako například při zpracování citlivých údajů nebo při použití údajů za účelem zjištění osobních preferencí, zájmů či pohybu dotyčné osoby.

Evropská reforma ochrany osobních údajů na postupu, bude se týkat i cookies


Rada EU přijala v červnu 2015 tzv. obecný přístup k návrhu nařízení o ochraně osobních údajů. Tento návrh předložila Evropská komise už v roce 2012 do Evropského parlamentu, který ji se změnami schválil v roce 2014. Nyní bude konečná podoba návrhu předmětem trialogu mezi Komisí, Parlamentem a Radou EU. Co ale bude nová úprava znamenat pro tuzemské firmy nebo pro společnosti, které působí hned v několika státech EU? Umožní volný transfer osobních údajů v rámci EU, bude ale vyžadovat některé změny, na které by se společnosti měly v nejbližší době připravit.

Nové nařízení by mělo na jednu stranu usnadnit například přeshraniční předávání údajů a tím i snížit administrativní náklady pro společnosti, které působí ve více zemích Evropské unie nebo spolupracují se subjekty mimo EU. Na druhou stranu ale přináší nové povinnosti a s nimi spojené náklady a zpřísňuje případnou odpovědnost za jejich porušení. Pokuty za porušení nařízení jak pro správce, tak pro zpracovatele osobních údajů se podle závažnosti porušení mohou nově vyšplhat až k 1 milionu eur nebo ke 2 % celkového ročního obratu podniku. Budou-li správci nebo zpracovatelé zapojeni do téhož zpracování, které bylo v rozporu s nařízením, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou škodu, ledaže prokážou, že za způsobenou škodu nenesou žádnou odpovědnost.

„Přípravy na implementaci nových pravidel by společnosti neměly podceňovat. V případě porušení ochrany osobních údajů totiž z pohledu podnikatele hrozí nejen trestní či správní odpovědnost, ale také ztráta důvěry zákazníků nebo negativní ekonomické dopady, jako je například pokles tržní hodnoty společnosti,” vyjmenovává možná rizika Petr Kališ, Managing Partner advokátní kanceláře CHSH Kališ & Partners.

Nová opatření pro podnikatele

Jaká opatření by tedy společnosti v souvislosti s novým nařízením měly učinit? Firmy by měly vést záznamy o všech zpracovávání osobních údajů, které budou povinny předložit dozorovému orgánu na jeho žádost. Tato povinnost nahradí současnou registrační povinnost. Dále by měli správci údajů poskytovat podrobnější informace osobám, jejichž údaje budou zpracovávat. V některých případech budou správci muset vypracovat posudek na ochranu údajů (například při zpracování citlivých údajů nebo při použití údajů za účelem zjištění osobních preferencí, zájmů či pohybu dotyčné osoby).

Novou povinností správce údajů je také ohlásit závažnější porušení ochrany osobních údajů, a to jak orgánu dozoru (bez zbytečného odkladu, nejpozději však do 72 hodin), tak subjektu údajů (bez zbytečného odkladu). Nařízení dále změní úpravu souhlasu se zpracováním osobních údajů, stanoví nové povinné náležitosti smlouvy mezi správcem a zpracovatelem údajů a zavede výslovnou úpravu práva „být zapomenut“, tedy práva na odstranění odkazů s osobními údaji z vyhledávače.

„Případným komplikacím, které by mohly v souvislosti se zpracováním osobních údajů vznikat, lze efektivně předcházet. Firmy by měly dbát na řádné vedení interní dokumentace o všech zpracovaných údajích a revidovat svá stávající informační sdělení o zpracovávání údajů. Zároveň by měly vybírat zpracovatele, který je schopen poskytnout dostatečné záruky, a uzavřít s ním smlouvu jasně stanovující veškeré náležitosti. Zároveň by měly přijmout vhodná opatření jak směrem ke svým spolupracovníkům (přijetím vnitřních směrnic), tak na úrovni technického zabezpečení. Jednou z možností, jak mohou firmy prokázat, že splňují požadovaný standard ochrany údajů, bude dodržování kodexů chování nebo osvědčení schválených dozorovým orgánem,” radí Petr Kališ.

Předávání osobních údajů mimo EU

Nařízení se má vztahovat i na společnosti se sídlem mimo EU, pokud budou nabízet své produkty osobám s bydlištěm v EU nebo sledovat jejich chování. Cílem je zachovat přiměřenou ochranu osobních údajů a zároveň zajistit rovné podmínky a neomezovat přeshraniční spolupráci. O tom, do kterých zemí mimo EU je možné předávat údaje bez omezení, má právo rozhodnout Evropská komise. V současnosti mezi takové země patří například Švýcarsko, Kanada, Nový Zéland nebo Izrael. Naopak z rozhodnutí Soudního dvora EU již není možné předávat údaje do USA v tzv. režimu „safe harbor“.

Další způsob, jakým lze údaje předat mimo EU bez zvláštního povolení, představují standardní smluvní doložky přijaté Evropskou komisí anebo závazná podniková pravidla schválená příslušným orgánem dozoru (ta pouze v případě předání v rámci nadnárodní společnosti). Za předpokladu, že neexistuje rozhodnutí Komise o přiměřenosti nebo výše uvedené vhodné záruky, je možné předat údaje mimo EU bez zvláštního povolení například za podmínky, že byl o tomto kroku subjekt údajů informován a vydal k němu svůj výslovný souhlas, nebo ve chvíli, kdy je takové předání údajů nezbytné pro plnění smlouvy mezi správcem a subjektem údajů.

Zpřísnění v oblasti cookies

Nové nařízení zahrnuje mezi osobní údaje i tzv. cookies, tedy soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server. To mění pozici provozovatelů webových stránek, kteří budou povinni získat informovaný jednoznačný souhlas návštěvníka webu s použitím cookies (s výjimkou cookies, které nedokáží identifikovat konkrétní fyzickou osobu).

Úvodní foto: © maxkabakov - Fotolia.com
Komentáře