Na půdě Evropské komise vzniká právní předpis, který podle odborníků může ovlivnit život lidí podobně, jako například nyní velmi diskutovaný občanský zákoník. Jedná se o Nařízení o obecné ochraně dat (General Data Protection Regulation - GDPR), které má nahradit směrnici pocházející z roku 1995 (95/46/EC) a zároveň doplnit několik novějších předpisů jako například zvláštní směrnici o ochraně soukromí v elektronických komunikacích.
V současnosti se počítá s tím, že by nařízení mohlo být přijato už letos a účinné by mělo být od roku 2016.
Co všechno se jím mění? V prvé řadě by se mělo jednat o změnu k lepšímu, co se týče vyjasnění práv a nároků koncových uživatelů, s jejichž osobními daty někdo jiný (zejména firmy) nakládá. Na tom se shodli oslovení zástupci jak českého regulátora (Úřad pro ochranu osobních údajů), sdružení firem (Český svaz průmyslu ochrany osobních údajů), tak i manažerka nadnárodní společnosti mající ochranu dat na starosti.
Jednou z novinek, kterou nařízení přináší, je zákonem upravený přístup lidí k informacím o zpracování jejich údajů a i postup jak se obracet na subjekty odpovědné za zpracování se žádostí o vysvětlení či nápravu zpracování. "Tím se klade důraz na to, aby také elektronická - internetová zpracování osobních údajů byla prováděna transparentně a férově," oceňuje zavedení, či spíše sjednocení této praxe ředitel odboru legislativy a zahraničních vztahů Úřadu pro ochranu osobních údajů (ÚOOÚ) Josef Prokeš.
Odborník, který vznikající evropskou legislativu velmi zblízka sleduje, také dodává, že spolu s tímto právem uživatelů je v návrhu spojena i povinnost firem vyrozumívat dotčené lidi v případě vážných bezpečnostních incidentů, kdy bude hrozit zneužití osobních údajů. Tedy zdůraznit něco, čemu se české firmy v historii několikrát snažily vyhnout.
Zavedení práva "být zapomenut"
Další novinkou, kterou by nařízení mělo zavést, by bylo "právo být zapomenut". Tedy taktéž téma, které již má za sebou celosvětově několik precedentních rozsudků, ale povědomí o něm se teprve tvoří. Jde ve stručnosti o reakci na to, že "internet a google nezapomíná". O přesném znění této části nařízení se ještě vede debata, půjde ale o to, do jaké míry bude lidem dána možnost kontroly nad svými údaji, které se často mohou šířit v nepřesné či (pro ně) negativní podobě.
"Definice v návrhu vyvolaly obrovskou debatu už tím, že v souhrnu skloubily více dosavadních, tradičních pravidel. Například povinnosti dodržet předem stanovený účel zpracování osobních údajů, údaje skrytě či nezákonně nesdružovat, dodržet dobu zpracování odpovídající stanovému účelu nebo povinnost smazat údaje, pokud už nejsou potřebné," vysvětluje složitost zdánlivě jednoduché záležitosti "výmazu" Prokeš.
Nový úřad, firemní zmocněnci, vysoké pokuty
Otázkou, která úzce souvisí se zpřísněním povinností, je možnost jejich sankcionování. Z toho tedy vyplývá jak určení vykonavatele trestu, tak i jeho formy. Kvůli tomu má vzniknout panevropský orgán s názvem Jednotný úřad na ochranu dat (Single Data Protection Authority - SDPA). Ten má být nadřazený jednotlivým národním úřadům, některé pravomoci má vykonávat přímo, jiné na ně delegovat.
Za porušení některého z předpisů potom bude moci proviněnou instituci sankcionovat nejprve písemným upozorněním a posléze i finanční pokutou. A to až do výše 100 milionů eur nebo 5 procent celosvětového obratu společnosti.
Institucionálně by se mělo nové nařízení dotknout i firem. Ve velkých firmách má vzniknout post zmocněnce pro ochranu osobních údajů. Ti by měli být do značné míry nezávislí na vedení společnosti a měli by v ní kontrolovat dodržování ochrany osobních údajů a svá zjištění reportovat ven - tedy k národním i evropským úřadům.
Banky se zbavují papírových smluv, přecházejí na digitální podpis - čtěte ZDE
ÚOOÚ udělil Komerční bance pokutu 1,8 milionu korun za červencový únik dat - čtěte ZDE
Představitelé Českého svazu průmyslu ochrany osobních údajů (Czech Industry Coalition for Data Protection - CICDP) vidí celkově změnu legislativy jako krok, který přiměje firmy věnovat ochraně dat více pozornosti. "Bude to sice klást na všechny firmy mnohem větší nároky, ale hlavně je to donutí brát ochranu osobních údajů koncových uživatelů velice vážně. Celková výše hrozící maximální sankce by však neměla být likvidační, ale mít spíš preventivní charakter" říká svůj názor představitel CICDP Václav Mach.
Podle něj se jedná o kompromis mezi požadavkem na ochranu dat koncových uživatelů, který by měl zároveň umožnit vyšší míru konkurenceschopnosti všech evropských firem. "To hlavně díky jednotnému a harmonizovanému výkladu legislativy ve všech členských zemích EU," vysvětluje Mach očekávaný přínos celého nařízení pro soukromý sektor.
Nařízení má sjednotit a zjednodušit pravidla
V neposlední řadě jde o kvalitativní změnu i co se týče způsobu právní úpravy. Měkčí směrnici (předpis, který je závazný v cíli, ale nikoli ve způsobu dosažení) nahradí nařízení, které má navíc i jednotící charakter - měla by zajistit důslednou harmonizaci právních úprav členských států.
Ačkoli se to může zdát jako více svazující, privacy manažerka T-Mobile Alice Selby to vítá. "Přínosné je jak zjednodušením pravidel pro zpracování osobních údajů v rámci korporace, bezpochyby důslednou harmonizací národních právních řádů pro oblast ochrany osobních údajů a v neposlední řadě rovněž zavedením pozice úředníka pro ochranu osobních údajů ve velkých společnostech, jako nástroje nezávislé interní kontroly nakládání s údaji," vypichuje Selby některé již dříve zmíněné novinky, které podle ní budou mít kladný dopad na obecný výkon její profese.
A co cloud?
I přesto, že zatím rozhodně neznáme finální adaptaci, jsou už nyní jasná některá slabá místa, která ani kladně přijímané nařízení nevyřeší. Jsou to v podstatě dva problémy: technologický vývoj a omezená platnost na území Evropské unie. Ačkoli by mělo v obojím dojít ke zlepšení oproti stávající zastaralé směrnici z oku 1995, ukázkou nedokonalosti je jeden z největších trendů současnosti - takzvaný cloud.
Jak připomíná Mach z CICDP, rychlý rozvoj technologických možností je tím faktorem, který legislativa pouze dohání. "Správně by měla nejdříve vzniknout jasná pravidla hry a až podle nich by se měl následně řídit technologický pokrok. V reálném světě je to však přesně naopak," připomíná Mach.
Chorvatsko dostalo výtku od Evropské unie. Musí dát do pořádku své finance - čtěte ZDE
Šéf Erste Group Treichl: EU je manželství, Česko nemůže žít v konkubinátu - čtěte ZDE
U cloudových technologií potom naráží na problém i ona omezená platnost - nařízení jako eurounijní předpis může totiž pouze omezeně přinést podstatné zlepšení podmínek a nařídit prokazatelné záruky ochrany osobních údajů zpracovávaných v cloudech mimo území EU. "I tak jim nové nařízení vychází vstříc a chce usnadnit přeshraniční podnikání a sjednotit podmínky pro přeshraniční přenos údajů, jejich správu i výkon dozoru nad jejich zpracováním z jednoho místa," dodává Prokeš.
