Nová evropská úprava ochrany osobních údajů: pokuty až 20 miliónů EUR

Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (známé jako GDPR), které bylo přijato Evropským parlamentem v roce 2016, zajišťuje vyšší úroveň ochrany osobních údajů občanů Evropské unie. GDPR vstupuje v přímou účinnost počínaje dnem 25. 05. 2018 ve všech zemích Evropské unie a vztahuje se celosvětově na všechny podnikatele a instituce, které jsou činné na evropském trhu.

GDPR si klade za cíl zajistit občanům Evropské unie v současném digitálním světě kontrolu nad jejich vlastními osobními údaji. Osobními údaji jsou veškeré informace o fyzické osobě, které vedou k její identifikaci nebo identifikovatelnosti.

Zpřísnění povinností a odpovědnosti

GDPR požaduje vysokou míru ochrany osobních údajů. Za účelem zajištění přiměřené úrovně ochrany osobních údajů je zapotřebí přijmout odpovídající technická a provozní opatření, zejména provést vhodná IT-řešení, vydat prohlášení o ochraně osob-ních údajů, zajistit provedení interních auditů a ško-lení pracovníků. Jednotlivé aktivity spočívající ve zpracování osobních údajů musí být dokumentovány. Podmínky vyjádření souhlasu se zpracováním osobních údajů se zpřísňují. Udělení souhlasu mlčky nebo pouhým kliknutím nebude již nadále možné. Specifická porušení zabezpečení ochrany osobních údajů budou muset být hlášena dozorujícím orgánům. Kromě toho určitým subjektům (úřadům, bankám, pojišťovnám, poskytovatelům telekomunikačních služeb, nemocnicím, léčebnám) vznikne povinnost jmenovat pověřence pro ochranu osobních údajů.

GDPR se týká každého

Každý by se měl informovat a připravit. Nařízení o ochraně osobních údajů platí pro každý subjekt, který zpracovává osobní údaje. K typickým způsobům zpracování osobních údajů patří shromažďování a užití osobních údajů zaměstnanců, zákazníků, zasílání reklamních letáků a oběžníků, vydávání zákaznických karet, monitoring kamerovým systémem, provozování e-shopů, aktivity na sociálních sítích, provozování loterií a elektronických platebních systémů atd.

Nová pravidla se rovněž dotknou i osob z nečlenských států Evropské unie, budou-li nabízet zboží a služby občanům Evropské unie nebo budou-li sledovat jejich aktivity. Za takovou nabídku se nepovažuje pouhá možnost přístupu na externí we-bovou stránku z území Evropské unie. Naproti tomu profilování a jakékoli jiné sledování uživatele na internetu se za monitoring občanů Evropské unie považuje.

Úvodní ustanovení GDPR umožňují, aby jednotlivé státy Evropské unie ve specifických oblastech přijaly národní právní předpis. Německo a Rakousko této možnosti již využily, zatímco v ostatních zemích naší aliance prováděcí předpis zatím chybí.

Nerespektování není řešením

Každý povinný subjekt, který nevyhoví požadavkům GDPR, musí počínaje 25. 05. 2018 počítat s významnými sankcemi. Na základě GDPR mohou být uloženy sankce až do výše 20 miliónů EUR nebo 4% celkového ročního obratu celosvětově vykázaného v předchozím roce. Lze očekávat, že dozorující orgány Evropské unie zvýší svou aktivitu a budou ukládat vysoké peněžité pokuty. Fyzické osoby mohou nadto vznášet žaloby na náhradu škody. Tudíž lze očekávat nápad soudních řízení s vysokými hodnotami sporu.

Dodržování GDPR je tedy nevyhnutelné z důvodu prevence uložení vysokých pokut, hrozících soud-ních sporů a zachování dobré pověsti

Jsme Vám kdykoli rádi k dispozici a zodpovíme Vám veškeré případné další dotazy.