Domů » Rubriky » Management » Paragrafy: dopad nové směrnice o zvýšení ochrany osobních údajů

Paragrafy: dopad nové směrnice o zvýšení ochrany osobních údajů

 

Účinnost nařízení GDPR na ochranu osobních údajů vstoupí v platnost za rok   ̶  v květnu 2018. O co se jedná a jak se to dotkne hotelnictví? Zeptali jsme se Mgr. Martina Holuba z Holub&David, advokátní kancelář s.r.o.

Můžete na úvod vysvětlit, co se pod pojmem GDPR skrývá?

GDPR je zkratka anglického názvu (General Data Protection Regulation), obecného nařízení na ochranu osobních údajů, které bylo schváleno Evropským parlamentem v dubnu 2016 po dlouholetém vyjednávání. Jedná se o nejkomplexnější soubor pravidel na ochranu dat na světě. Toto nařízení vstoupí v účinnost 25. 5. 2018 a nahradí původní směrnici, v České republice také i zákon na ochranu osobních údajů. Nařízením, které je přímo vykonatelné, tedy není potřeba ho dále transponovat do českého nebo jiného právního řádu, dochází k harmonizaci pravidel pro 28 států EU a EFTA. Současně bude nutné, aby nařízení respektovaly také všechny subjekty mimo EU (např. Facebook…), které budou chtít jakkoli nakládat s osobními údaji občanů Evropské unie.

Proč vznikla potřeba uplatňovat toto nařízení?

Hlavním důvodem, proč vznikla potřeba nově upravit nakládání s osobními údaji, je zastaralost dosavadní legislativy z roku 1995. V mezičase došlo ke skutečně radikální změně v oblasti nakládání s osobními údaji, zejména v digitálním světě. Vznikly sociální sítě, které jsou dnes zřejmě největším skladištěm osobních údajů, různá cloudová úložiště a řada dalších fenoménů, jako například Instant Messaging a nakládání s tzv. Big Data, kdy je patrné, že data jsou dále využívána k marketingovým a dalším účelům. Nikoli příliš oficiálním důvodem je rovněž odhalení Edwarda Snowdena o aktivitách tajných služeb USA, ve kterém šlo mimo jiné i o to, že tajné služby nakládaly se zjištěnými údaji o občanech Evropské unie. Toto nařízení mimo jiné rozšiřuje osobní údaje, například i o genetické a biometrické údaje a další, které doposud za osobní údaje považovány nebyly.

Na koho se bude vztahovat a co přináší?

Samotné nařízení neurčuje subjekty, na které se bude vztahovat. Nicméně uvádí, že se vztahuje na zcela, nebo částečně automatizované, anebo neautomatizované zpracování osobních údajů. Jsou uvedeny některé výjimky, kdy se nařízení nevztahuje například na činnosti, které nespadají do oblasti působnosti práva unie a jsou prováděny členskými státy při stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost či zpracovávané fyzickou osobou v průběhu výlučně osobních či domácích činností. Je tedy vždy na každém, aby si podle této definice zhodnotil, zda je správcem či zpracovatelem osobních údajů a zda se na něj toto nařízení vztahuje.

Co nařízení přináší?

Odpověď na tuto jednoduchou otázku by zabrala mnoho místa, což vyplývá i z toho, že samotné nařízení má přes 100 stran, přičemž toto nařízení je z části dále vykládáno rozsáhlými metodickými výkladovými stanovisky pracovní skupiny WP29. Ve zkratce lze ovšem říci, že přináší nové pojmy a jejich definice, nové zásady zpracování osobních údajů. Přichází také s novinkami z pohledu rozšíření osobních údajů, kdy jsou posílena především práva subjektů osobních údajů, zejména pokud jde o přístup opravy, výmaz, omezení, přenositelnost, možnost vznášet námitky proti zpracování osobních údajů, a precizuje možnost anonymizovat a tzv. pseudonymizovat osobní údaje.

Vzniká také povinnost některých subjektů, které zpracovávají osobní údaje, ustanovit tzv. pověřence pro ochranu osobních údajů, což je německý institut, který již poměrně dlouhou dobu ve společnostech s německým kapitálem funguje a byl přenesen i do tohoto nařízení. Z nařízení vyplývají i další povinnosti  ̶  subjekty, které budou zpracovávat osobní údaje, budou mít povinnost do 72 hodin od porušení pravidel pro nakládání s osobními údaji nahlásit fakta dozorovému orgánu, což je v ČR Úřad pro ochranu osobních údajů.

Jak konkrétně se GDPR dotkne procesů v segmentu hotelnictví? Hotely přece pracují s velkým množstvím osobních údajů hotelových hostů…

Ano, máte pravdu. Hotely pracují s velkým množstvím osobních údajů hostů, je tedy nutné, aby se už teď začaly zcela vážně problematikou GDPR zabývat.

Mohou se hoteliéři už teď začít připravovat na nařízení? Kde začít?

Jistě, dokonce je to i záhodno. Měli by postupovat tak, aby si definovali rozsah nakládání s osobními údaji. K tomu může posloužit skupina osob, složená z interních pracovníků, kteří dokonale znají procesy oběhu osobních údajů, včetně stránky zpracování v rámci výpočetní techniky. Důležitá bude také práce externích expertů, zabývajících se právem, bezpečností dat a procesním managementem.

 Co všechno je potřeba udělat?

Následně po zpracování takové analýzy, která porovná soulad stávajícího stavu s nařízením, by mělo dojít k příslušným krokům tak, aby nejpozději v květnu příštího roku byl hotel připraven na nakládání s osobními údaji v souladu s tímto nařízením. S tím souvisí i sankce, protože v případě, že by se s osobními údaji nakládalo v rozporu s nařízením, je možné uložit správní pokuty. Jejich výše samozřejmě záleží na řadě faktorů. Nicméně maximálně hranice je mimořádně přísná a počítá se v milionech až desítkách milionů eur, případně v procentech z celkového ročního obratu celosvětově za předchozí finanční rok. Je patrné, že tyto sankce nebudou ukládány v takové výši, ovšem budou znatelně citelnější, než jak jsme je znali doposud, a to i v případě velkých úniků dat. Mezi známější kauzy lze uvést Yahoo nebo v české republice i T-Mobile.

S nařízením GDPR přichází i povinnost najít a jmenovat svého pověřence pro ochranu osobních údajů. Co bude tento člověk dělat?

Pokud jde o postavení DPO, tedy pověřence pro ochranu osobních údajů, měl by být expertem v oblasti ochrany dat a být nezávislý na struktuře společnosti. Buď má být externím pracovníkem s dobrými znalostmi procesů ve společnosti, nebo být přímý podřízený nejvýše postavené osoby ve společnosti. Neměl by být v kumulované funkci, aby se nedostal do střetu zájmů. Je patrné, že tento DPO by měl být poměrně snadno dosažitelný a komunikovat s dozorovým orgánem. Odhaduje se, že na území EU bude potřeba zhruba 25 tisíc takových osob, v ČR pak jen ve státní správě se tyto osoby odhadují na stovky až tisíce. Je možné, aby jeden DPO měl na starosti i více subjektů.

 

Text: Michaela Šulcová Foto: Archiv