Nové nařízení o ochraně osobních údajů zajistí Evropanům od května 2018 větší kontrolu nad tím, jak firmy zacházejí s jejich daty. Pro podniky změna pravidel znamená čas a náklady navíc. Když se nestihnou novým požadavkům přizpůsobit, hrozí jim pokuta až 20 milionů eur. Nařízení se přitom týká nejen velkých společností a institucí, ale všech, kteří zpracovávají data uživatelů, včetně on-line služeb.

Výhody pro klienty

Úprava, jež chce zamezit neoprávněnému zacházení s daty a osobními údaji, platí pro všechny členské státy EU. Například v Česku nahradí zákon o ochraně osobních údajů.

"Rozsah změn bude velmi široký," říká advokát Viktor Dušek z KPMG Legal. "Vzhledem k úrovni detailu zpracování osobních údajů a k počtu nových povinností bude nařízení pro řadu společností představovat větší změnu než naše rekodifikace soukromého práva," doplňuje Hana Gawlasová z advokátní kanceláře Squire Patton Boggs.

Nová legislativní úprava však již byla podle právníků zapotřebí. "Mezi její hlavní přínosy patří zejména sjednocení přístupu k ochraně osobních údajů v rámci celé Evropské unie," vítá změny Václav Mach, ředitel vnějších vztahů společnosti Microsoft ČR.

Důvodem zásahu do právních řádů je hlavně technologický pokrok. Nařízení například stanoví možnost nechat si osobní údaje elektronicky přenést k jinému správci. "Měl by se zjednodušit přechod klientů mezi různými poskytovateli služeb. Například klient jedné banky si tak bude moci nechat přenést své osobní údaje do jiné. Stejně tak uživatel sociální sítě svůj profil k jinému poskytovateli nebo milovník hudby svůj playlist z jednoho internetového přehrávače na jiný," popisuje Dušek.

Zjednoduší se také vymáhání práva. "Stížnost na porušení ochrany osobních údajů mohou lidé podat kdekoliv v EU a žalobu přímo v místě jejich bydliště, i když zpracování probíhá jinde," říká Michal Nulíček z Rowan Legal.

Náročné přípravy

Výhody klientů vyvažuje řada nových povinností pro ty, kteří s jejich daty dále pracují. "Nařízení klade vyšší nároky na zabezpečení osobních údajů," připomíná advokátka Klára Valentová z Vilímková, Dudák & Partners.

To vyžaduje pracné přípravy. "Bude nutné nejen upravit právní dokumentaci, jako jsou smlouvy, souhlasy, vnitřní směrnice i pravidla zpracování osobních údajů. Ale především kompletně zrevidovat a nově nastavit počítačové sítě," vysvětluje advokát Dušek z KPMG Legal.

Firmy musí detailně zmapovat a zdokumentovat postupy, jak data zpracovávají. "Přísná je také povinnost hlásit bezpečnostní narušení," uvádí Nulíček. Všechny firmy budou muset úniky dat oznámit příslušnému úřadu do 72 hodin, dnes takovou povinnost nemají.

Sjednocením ochrany osobních údajů se na druhou stranu podaří snížit administrativní zátěž při předávání dat v nadnárodních společnostech působících v EU. "Nařízení také umožní, aby tyto firmy podléhaly, byť s výjimkami, jedinému dozorovému orgánu v unii," tvrdí Nulíček.

I když by se mohlo zdát, že je na změny stále dost času, novinky budou pro podniky administrativně i technologicky náročné. "Na úpravy je nutné se připravit důkladně, tedy s dostatečným předstihem," upozorňuje Hana Gawlasová ze Squire Patton Boggs.

Lidé mohou blížící se účinnost nařízení pocítit již letos. Některé firmy například upravují texty souhlasů se zpracováním osobních údajů tak, aby už nyní novým evropským požadavkům vyhovovaly.