DSA články

Pozor na novou právní úpravu ochrany osobních údajů

Po několikaletém vyjednávání přijala Evropská unie obecné nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (známé spíše pod akronymem GDPR – General Data Protection Regulation), které bude závazné od 25. května 2018. Obsahuje některé nové povinnosti, které budou muset plnit i podnikatelé v sektoru energetiky. Nařízení dopadá zejména na podnikatele, kteří vytváří nebo spravují klientské databáze, typicky tedy obchodníky s elektřinou, obchodníky s plynem, či provozovatele lokálních distribučních soustav. Týká se dále všech firem, které využívají údaje o svých zákaznících a kontakty na konkrétní zaměstnance zákazníků k rozesílání marketingových sdělení a nabídek. Nařízení se ovšem rovněž týká zpracování dat zaměstnanců, plynou z něj tudíž povinnosti pro všechny podnikatele, kteří zpracovávají osobní údaje svých zaměstnanců.

Osobní údaje

Osobní údaje jsou veškeré informace, které mohou vést k identifikaci fyzické osoby, tedy např. jméno, adresa, rodné číslo, ale nově také IP adresa počítače, telefonní číslo apod. Nařízení stanovuje nové povinnosti i pro podnikatele zpracovávající údaje, zejména pokud jde o obsahové, organizační a technické náležitosti shromažďování, zpracování a nakládání s osobními údaji.

Povinnosti dopadají na osobní údaje všech fyzických osob, tj. spotřebitelů, zákazníků, spolupracujících OSVČ, zaměstnanců nebo jiných osob (například dárců u nadací nebo spolků, apod.).

Za evidenci a zpracovávání osobních údajů fyzických osob se považuje jakýkoli náhled, úprava, změna, použití nebo výmaz osobních údajů.

Práva osob

Významně rovněž posiluje práva osob, které údaje poskytly (slovy GDPR „subjektů údajů“), mimo jiné tím, že se zavádí přísnější kritéria pro udělení souhlasu se zpracováním údajů. Mezi další práva patří právo:

  • na výmaz, obecněji známé informace, podle medializovaných kauz jako „právo být zapomenut,“
  • na přenositelnost osobních údajů k jinému správci, které významně zvýší nároky na poskytovatele některých služeb (telekomunikace, energie, ale například i lékaři),
  • na omezení ve zpracování,
  • vznést námitku,
  • požadovat aktuální informace ohledně zpracovávání údajů.

Rozšířený okruh osob zpracovávajících osobní údaje

Zásadní změny v úpravě lze shrnout poměrně jednoduše. Nařízení se bude vztahovat na všechny osoby zpracovávající jakékoli údaje fyzických osob. Míra dopadu je však různá v závislosti na druhu získaných údajů, subjektech údajů a možnostech osoby zpracovávající údaje.

Oproti současnému stavu se tak významně rozšiřuje okruh osob majících povinnosti podle nařízení. GDPR dopadá na všechny, kdo zpracovávají údaje o fyzických osobách, tzn. údaje zaměstnanců, zákazníků, obchodních partnerů. Nejvýznamnější zásah však představuje pro společnosti, které:

  • zpracovávají citlivé údaje (zdravotnictví, bezpečnostní agentury, kamerové systémy)
  • vedou rozsáhlé databáze (telekomunikace, obchodníci s energiemi, marketing, banky apod.),
  • společnosti s počtem zaměstnanců nad 250.

Případy, kdy dochází ke zpracování osobních údajů

V soukromoprávních vztazích mohou existovat čtyři případy pro zpracování osobních údajů

  • smlouva, která v souladu se stávající právní úpravou opravňuje zpracovatele ke zpracování těch osobních údajů, které jsou nezbytné pro plnění smlouvy,
  • zákonná povinnost, například v případě poskytovatelů telekomunikačních služeb nebo energií,
  • souhlas udělený subjektem údajů ke specifickému zpracování,
  • zpracování údajů získaných z veřejných seznamů v omezené míře za účelem nabízení obchodu nebo služeb.

Nejvýznamnější změnou pro většinu podnikatelů bude povinnost vyžadovat jiný druh souhlasu se zpracováním osobních údajů než doposud. Podle Nařízení nebude možné nově považovat za „svobodný“ souhlas, který není možné odmítnout, aniž by tím subjektu údajů byl poškozen nebo v situaci, kdy ve skutečnosti neexistuje svobodná volba souhlas udělit.

Na základě Nařízení se nově musí přihlížet k tomu, zda je plnění smlouvy podmíněno poskytnutím souhlasu se zpracováním těch osobních údajů, jejichž obsah ale není pro plnění dané smlouvy nezbytný – takový souhlas je možné považovat za nesvobodný. Rovněž bude platit, že mlčení, předem zaškrtnutá políčka nebo nečinnost nejsou považovány za souhlas. Nařízení rovněž obsahuje další pravidla týkající se formy, obsahu a možností odvolání souhlasu.

Principy a náležitosti zacházení s osobními údaji

Nařízení stanoví řadu principů týkajících se procesu zpracování údajů, jež je vhodné implementovat do vnitřních směrnic a pravidel podniku, který údaje zpracovává. Principy a pravidly se pak musí řídit každý (zaměstnanec i externí dodavatel), kdo údaje fyzických osob zpracovává.

Interní úprava je dále nezbytná, pokud jde o technické zabezpečení zpracovávání. Každý, kdo údaje zpracovává, má povinnost provést vhodná technická a organizační opatření s ohledem na rizika, která zpracování údajů představuje, jako je náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů, nebo neoprávněný přístup k nim. Nařízení dále uvádí některé způsoby vhodné pro zajištění zabezpečení, jako je pseudonymizace, tedy zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, nebo šifrování osobních údajů.

Doporučení

Nařízení obsahuje řadu dalších novinek a povinností, jež musejí osoby zpracovávající osobní údaje dodržovat. Kromě prověření technické stránky fungování databází (zejména z pohledu zabezpečení) je třeba rovněž provést právní zhodnocení způsobu nakládání s osobními údaji ve společnosti.

Vedle často zmiňované povinnosti ustanovit pověřence pro ochranu osobních údajů je zde celá řada opatření, které je vhodné přijmout. Obecně lze doporučit zpracování či doplnění interní směrnice pro práci s osobními údaji. Je třeba rovněž prověřit vzorovou smluvní dokumentaci pro zákazníky, zda obsahuje souhlas s nakládáním s osobními údaji, který vyhovuje rovněž novým podmínkám stanoveným v nařízení a zda zákazník ve smluvní dokumentaci najde všechny informace, které podle nařízení musí obdržet.  Dále doporučujeme revizi pracovních smluv zaměstnanců, kteří nakládají s osobními údaji, zda obsahuje konkrétní oprávnění zaměstnance osobní údaje zpracovávat. Pokud zpracování osobních údajů provádí pro podnikatele třetí subjekt (tzv. zpracovatel dle terminologie nařízení), je třeba prověřit smlouvy uzavřené s tímto subjektem, zda obsahuje všechny náležitosti stanovené nařízením. Aplikace uvedených opatření závisí musí být šita na míru jednotlivým podnikatelům, podle způsobu a rozsahu zpracování osobních údajů. Nabízíme tedy na prvním místě zpracování jakéhosi zjednodušeného auditu nakládání s osobními údaji ve firmě, z něhož vyplyne rozsah nových povinností.

Některé nové povinnosti stanovené nařízením nejsou zatím ze strany oficiálních autorit dostatečně vysvětleny. Problematiku pozorně sledujeme a pro naše klienty připravujeme efektivní řešení problematiky ochrany osobních údajů. Vzhledem ke složitosti problematiky a drakonickým pokutám, jež hrozí za porušení nařízení, doporučujeme tyto kroky neodkládat a s interním auditem začít nejpozději na podzim 2017.