Přijetí celoevropského Nařízení o ochraně osobních údajů se blíží, firmy čekají změny dokumentů i úpravy systémů

“Současný zákon na ochranu dat v rámci EU je založen na směrnici 95/46/EC z roku 1995. Za dvacet let od chvíle, kdy tato směrnice vstoupila v platnost, se digitální svět přirozeně výrazně posunul co do technologické úrovně i množství informací, které dokáže integrovat a sdílet. Spolu s tím vyvstala nutnost nově definovat ochranu dat, se kterými je na internetu nakládáno,” vysvětluje Petr Kališ, Managing Partner advokátní kanceláře CHSH Kališ & Partners.

Společnosti se budou po přijetí nařízení muset zaměřit zejména na typ a charakter dat, se kterými nakládají. Návrh nařízení se totiž zaměřuje například na samotnou definici pojmu “fyzická osoba” a její rozšíření a spolu s tím nově definuje i pojem “osobní údaj” jako jakoukoli informaci, která se k dané osobě vztahuje. Veškeré údaje, které budou moci po složení vést k identifikaci osoby, včetně například souřadnic jejího výskytu nebo tzv. cookies, budou považovány za osobní údaje a budou podléhat příslušným pravidlům nakládání s nimi.

Právě zahrnutí tzv. cookies, tedy údajů, pomocí kterých internetové obchody cílí svou reklamu, by mohlo přinést zvýšené náklady například eshopům nebo internetovým vyhledávačům. Ty budou nuceny odpovídajícím způsobem upravit fungování svých automatických systémů pro sběr dat. Zároveň budou muset přistoupit k administrativním opatřením - přepsat obchodní podmínky nebo smlouvy se zákazníky a všechny své zákazníky o nových pravidlech také informovat. České firmy přitom k přepracování dokumentů musely přistoupit nedávno v souvislosti s novým Občanským zákoníkem (ten vstoupil v platnost 1. ledna 2014).

“Čím více zákazníků, resp. klientů a čím více zpracovávaných dat, tím nákladnější může být implementace nových pravidel. Nejvíce tak nové Nařízení může dopadnout na mezinárodní a nadnárodní firmy. Kvůli nejasnostem kolem zacházení s osobními daty a nedostatečné komunikaci se přitom v nedávné době do hledáčku evropských úřadů dostaly i společnosti jako Facebook a Google,” dodává Petr Kališ.

Text Nařízení bude s největší pravděpodobností dopracován v první polovině roku 2016, v platnost pak vstoupí nejdříve v letech 2017-2018 tak, aby organizacím, kterých se bude týkat, byla poskytnuta dostatečně dlouhá doba na implementaci nových pravidel. Rozdíl oproti předchozí legislativě je i ve formě přijetí. Nově se bude jednat o nařízení, nikoli o směrnici, tak, jako tomu bylo v roce 1995. Nařízení vstupuje v platnost bezprostředně po dvouletém přechodném období a je obecně závazné pro všech 28 států Unie.

Evropská unie není jediným subjektem, který přistupuje ke změně pravidel ochrany osobních údajů v souvislosti s uchováváním a využíváním dat na internetu. Od 1. září 2015 vstoupí v platnost nová úprava na území Ruské federace, která stanovuje, že zpracování dat ruských občanů budou moci společnosti provádět výhradně na serverech umístěných na ruském území. Při porušení této úpravy hrozí peněžitá pokuta, umístění dané společnosti na „black list“, případně blokace příslušné stránky. V případě, že by ruské orgány zvolily konzervativnější výklad zákona, mohlo by jít o konec dlouhodobého uchovávání a zpracování dat o ruských subjektech v cizině, což by výrazně zkomplikovalo činnost firem, které ve své činnosti spoléhají na stále populárnější cloudová úložiště.