Konec nevyžádané reklamy: Nařízení EU zvýší ochranu osobních dat

Petra Dvořáková

Souhlas se zpracováním osobních údajů schovaný ve všeobecných podmínkách bude od příštího května v rozporu s nařízením Evropské unie. Uživatelé získají právo na úplné vymazání či přenos svých dat ke konkurenci.

E-mailová schránka plná nevyžádané reklamy by už brzy měla být minulostí. Příští rok v květnu vstoupí v účinnost nové nařízení Evropské unie o ochraně osobních dat. Úprava známa jako GDPR (General Data Protection Regulation) uloží firmám kromě jiného získávat konkrétní jednoznačný a informovaný souhlas klienta ke každému zpracování dat.

Požadavek na souhlas se zpracováním dat bude muset doprovázet jasné vysvětlení účelu, kontakt na správce dat i popis případných příjemců dat. Vztahovat se bude i na firmy mimo Evropskou unii, které občanům EU nabízejí zboží.

Cíl nemá být pouze chránit nastřádaná data, ale hlavně zabránit tomu, aby spotřebitelé data poskytovali tam, kde to není nezbytně nutné. Udělení souhlasu se zpracováním osobních dat by se tak mělo stát svobodným rozhodnutím, nikoliv dodatkem schovaným ve všeobecných podmínkách. Za osobní data budou považovány i IP adresy a cookies, tedy informace, které o činnosti uživatele ukládá webový prohlížeč.

Novinkou je i právo na zpětné vymazání údajů nebo na přenesení dat ke konkurenci. Takovému přenosu dat už nebude moct původní poskytovatel sociální sítě nebo třeba e-mailové schránky bránit. Navíc bude muset data poskytnout ve strukturovaném strojově čitelném formátu.

Značně se zvýší míra sankcí za nedodržování ochrany. Zatímco dosud Úřad pro ochranu osobních údajů (ÚOOÚ) uděloval pokuty maximálně 10 milionů korun, nyní bude hříšníkům hrozit penále až 20 milionů eur, tedy 540 milionů korun, nebo až čtyři procenta ročního celosvětového obratu firmy — podle toho, jaká částka bude vyšší. Konečná výše pokuty se bude odvíjet nejen od míry škody, ale i od kroků, které správce dat pro jejich ochranu podnikl.

Až 75 tisíc nových pracovních míst

Opatření se dotkne i veřejných orgánů, například úřadů. Nejvíce ho pocítí ty subjekty, které zpracovávají data masově, například nemocnice, banky, operátoři nebo internetové vyhledávače. Ty by měly začít data šifrovat a anonymizovat, aby z nich nešlo identitu konkrétního jedince vyčíst, a navíc budou muset zaměstnat speciálního pověřence ochrany dat.

Pověřenec ochrany dat bude dohlížet na dodržování pravidel, vzdělávat zaměstnance a aktualizovat programy ochrany dat. Roli takového strážce dat ale nebude moct vykonávat personalista firmy či šéf IT oddělení — kontroloval by totiž de facto sám sebe. Pověřence ochrany dat tak budou podnikům dodávat IT firmy či advokátní kanceláře.

Jeden pověřenec ale bude moct pracovat pro více z nich. Přesto by tak podle odhadů Mezinárodní asociace profesionálů v administrativě mohlo celosvětově vzniknout až 75 tisíc nových pracovních míst.

Subjekty by měly s detailní analýzou své práce s daty, bezpečnostních opatření i interních předpisů začít už teď. Přechod na nezbytné technické a organizační změny, které nařízení vyžaduje, může trvat několik měsíců, u velkých firem i rok.

Náklady na změny se navíc prodraží, malé firmy bude stát nařízení deseti tisíce korun, ty větší až miliony. Za ochranu dat bude zodpovědný nejen jejich správce, tedy firma, ale i zpracovatel, tedy například poskytovatel cloudových řešení.

Zatímco u nás se lidé o ochranu dat příliš nestarají, v zahraničí se za ní běžně protestuje. Foto: Flickr, Jan Ole Åkerholm

Mnoho firem přitom zatím o novém nařízení neví. „Informovanost českých firem o GDPR mimo IT divizi není příliš velká. Problémem se zatím zabývá několik odborných i právních institucí, největší poradenské firmy,“ potvrdil Deníku Referendum předseda Pirátské strany Ivan Bartoš.

Povinnosti přibydou i Úřadu pro ochranu osobních údajů, který bude muset spolupracovat se svými kolegy na mezinárodní úrovni. Za novým nařízení ale Úřad pro ochranu osobních údajů jednoznačně stojí.

„Jsme rádi, že bylo konečně schváleno, jenom nás mrzí, že neřeší i kamerové nebo obrazové záznamy,“ komentovala pro Deník Referendum tisková mluvčí úřadu Hana Štěpánková.

Čekání na připomínky Evropské komise i na českou novelu

Stále se ale čeká na výkladové připomínky jedné z pracovních skupin Evropské komise. „Samozřejmě už probíhají analýzy, které ukáží, co bude potřeba změnit. Nařízení je však v některých ohledech dost obecné. Zatím není co implementovat, musíme počkat na konkrétní technické výklady,“ vysvětlila Deníku Referendum mluvčí společnosti Seznam Irena Zatloukalová. Nejasnosti panují například okolo podmínek přenositelnosti dat. Známy by ale měly být do konce dubna.

Až třetinu nařízení si mohou členské země upravit vlastními opatřeními. Specifické podmínky si jednotlivé státy mohou nastavit například pro zpracování zdravotních, genetických a biometrických údajů, rozšířit mohou i spektrum organizací, které musí mít pověřence.

České ministerstvo vnitra by mělo novelu zákona o ochraně osobních údajů předložit vládě až během léta, před parlamentními volbami však pravděpodobně k jejímu schválení nedojde.

„Bojím se, že v řadě případů půjde o čistě byrokratický krok a reálně se bezpečnost našich dat příliš nezvýší. Přesto rámec jako takový vítám. Otázky bezpečnosti dat v rámci IT řešení přicházejí většinou až jako poslední část projektu a výdaje jsou v této oblasti škrceny. Ve světě, kdy je informace největší komodita a každý uživatel je obchodovatelné zboží je bezpečnost osobních dat naprosto nejdůležitější — a etické rozměry marketingu a agresivní reklamy jsou tím nejmenším nebezpečím,“ zhodnotil nařízení pro Deník Referendum Ivan Bartoš.