iFLEET » Aktuální číslo » FLEET 1 / 2018 » GDPR a fleety
Od května letošního roku se budou muset všechny evropské a tedy i české subjekty, shromažďující a zpracovávající osobní údaje, vyrovnat s požadavky nové evropské legislativy, obvykle nazývané zkratkou GDPR.
Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation neboli GDPR) bylo přijato v dubnu 2016, v účinnost vstupuje od 25. května 2018. Jde o evropské nařízení, platí tudíž jednotně po celé EU. V Česku nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a souvisejícího zákona č. 101/2000 Sb., o ochraně osobních údajů. Zákon o ochraně osobních údajů bude nadále upravovat již jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé další dílčí záležitosti, například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby. Úřad pro ochranu osobních údajů (ÚOOÚ) tedy bude i nadále působit jako český regulátor, přibydou mu ale některé nové pravomoci a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB).
S hrozbou drakonických pokut
Deklarovaným cílem GDPR je chránit digitální práva občanů EU, orgány Evropské unie jej hrdě označují za dosud nejucelenější soubor pravidel na ochranu dat na světě. To je prozatím obtížné zhodnotit, s jistotou ovšem pro všechny správce (tj. subjekty určující účely a prostředky zpracování osobních údajů) a zpracovatele (tj. subjekty, které osobní údaje zpracovávají pro správce) dojde k zavádění mnoha nových pravidel, dramatickému nárůstu administrativní zátěže a vzniku rizika pokut v astronomické výši. Pokuty mohou v extrémním případě dosáhnout až 20 milionů eur (!) nebo až čtyř procent celkového ročního obratu podniku, nemluvě o případných dalších nákladech na náhradu škody poškozenému.
Na rozdíl od dosavadní právní úpravy budou správci muset detailně zjišťovat a rozhodovat, jaké konkrétní osobní údaje potřebují a proč. Vždy bude nutno individuálně zkoumat situace a potřeby jednotlivé společnosti a její podnikatelské činnosti. Některé údaje lze sbírat bez souhlasu klienta, ale u mnohých je a bude souhlas nezbytný. V případě pochybností, například v rámci kontrol prováděných příslušným úřadem, nebo dokonce v případě soudního sporu, pak bude muset správce osobních údajů prokazatelně doložit dodržování pravidel po celou dobu zpracování. Bude tedy například muset dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná, proč a jak ten který osobní údaj využívá atd.
Nebude již tedy stačit paušální souhlas fyzické osoby (ať už zákazníka, zaměstnance či kohokoliv jiného) se zpracováním a uchováváním jeho osobních údajů, který by zpracovateli umožnil shromažďovat jakékoliv osobní údaje a jejich libovolné využívání.
Celý článek Martina Svítila naleznete v magazínu FLEET č. 1/2018. K dispozici také v elektronické podobě zde.