Spolehlivá ochrana osobních údajů může být konkurenční výhodou

K nakládání s osobními daty zákazníků nad rámec plnění běžných smluv bude po zavedení nové evropské legislativy potřebný výslovný souhlas zákazníka, nebude už možné využívat jen jejich souhlas se všeobecnými obchodními podmínkami.

Firmy by si proto měly začít obstarávat od svých klientů nové souhlasy se zpracováním osobních údajů, jinak jim hrozí citelné pokuty, říká v rozhovoru pro Retail News JUDr. Jiří Žůrek, ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů.

Od 25. května 2018 vstoupí v účinnost Obecné nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, tzv. GDPR. Nový právní rámec dopadne jak na všechny správce a zpracovatele osobních údajů, tak i na fyzické osoby, tj. subjekty osobních údajů, které budou využívat práv v něm stanovených.

Jelikož jde o nařízení Evropské unie, nemusí být přímo převedeno do české legislativy a bude přímo použitelné. Bude ale k němu přijata tzv. adaptační novela zákona o ochraně osobních údajů, což bude prováděcí zákon, který bude upravovat některé dílčí aspekty zpracování osobních údajů. Na této novele se nyní intenzivně pracuje.

Jaké hlavní konkrétní změny pro správce osobních údajů i pro jejich zákazníky Obecné nařízení přinese?

Jsou v něm použity dva nové principy – správce osobních údajů je odpovědný za zpracování údajů v souladu se zásadami, uvedenými v Obecném nařízení, článek 5 odst. 1 a zároveň je správce povinen soulad se zásadami doložit.

Druhý princip je přístup založený na riziku. Tento princip obecně znamená, že správce musí přijmout adekvátní bezpečnostní opatření ve vztahu k charakteru, rozsahu osobních údajů, které zpracovává. V užším slova smyslu princip založený na riziku znamená aplikaci některých povinností pouze v případě, že dané zpracování či bezpečnostní incident představuje riziko či vysoké riziko pro subjekty údajů.

Jako novinku lze zmínit například za určitých okolností povinnost ohlašovat bezpečnostní incident, který se dotkl zpracovávaných osobních údajů, Úřadu pro ochranu osobních údajů, případně i dotčeným subjektům údajů.

Dotkne se nové nařízení například obchodníků, kteří vydávají věrnostní karty, nebo internetových prodejců?

Zde bych doporučil zaměřit se na podmínky udělení souhlasu se zpracováním osobních údajů. Obecné nařízení stanovuje podmínky v článku 7 také pro udělení souhlasu, a to i týkající se formy a způsobu udělení. Souhlas se zpracováním údajů udělí subjekt osobních údajů, tedy zákazník, svým podpisem, například při získání věrnostní karty. Nově již nebude možná praxe, že by byl souhlas obsažen například v obchodních podmínkách, ale souhlas bude muset být na zvláštním dokumentu. Pokud s tím subjekt nesouhlasí, musí mu být i přesto služba poskytnuta, nesmí mu být odepřena. Pro úplnost zmiňuji, že se bavíme o souhlasu pro zpracování nad rámec uzavření smlouvy, jelikož ke zpracování osobních údajů pro uzavření a plnění smlouvy není nutný souhlas.

Jde o výrazné posílení práv zákazníka, protože až dosud byla běžná praxe, že při podpisu obchodní smlouvy zároveň klient tímto podpisem automaticky souhlasil se všeobecnými obchodními podmínkami, jejichž součástí byl i souhlas se zpracováním osobních údajů pro marketingové účely a od těchto podmínek se nemohl odchýlit. Ty obchodní podmínky byly navíc ve smlouvách vesměs napsány co nejmenším písmem.

To bude platit i pro věrnostní karty?

Správce by měl věrnostní program koncipovat tak, aby byl v souladu s novou legislativou. Například ve formuláři, který klient vyplní, by mělo být uvedeno, kdo osobní údaje zpracovává a pro jaké účely a zároveň by měl formulář obsahovat k vyplnění jen nezbytně nutné osobní údaje ke splnění daného účelu. Pak se teprve klient rozhodne, zda souhlas se zpracováním udělí, zda věrnostní kartu chce získat a zda tedy bude souhlasit se zpracováním osobních údajů pro tyto účely.