Pokuty mohou dosáhnout až dvaceti milionů korun
Nový zákon o ochraně osobních údajů platí v České republice od 1. června letošního roku. Tento předpis, inspirovaný evropskými předlohami, přináší některé zcela průlomové změny do způsobu, jakým fyzické a právnické osoby smějí nakládat s údaji osobního charakteru, které uchovávají ve svých databázích. Přestože tento zákon ukládá značné povinnosti většině českých veřejných i soukromých subjektů, v praxi vidíme, že jen málokdo tento důležitý zákon vůbec zaznamenal. Pozdní procitnutí však může být velmi bolestné. Zákon totiž – na rozdíl od dosavadních předpisů o ochraně osobních údajů – počítá s pokutami až do výše 20 milionů korun! Radikální změna. Porušování obecně závazných právních předpisů týkajících se ochrany osobních dat v České republice patří takřka k národnímu koloritu. Dosavadní předpisy platné před přijetím nového zákona byly velmi obecné a především nestanovily žádné účinné kontrolní mechanismy ani sankce pro případ jejich porušení. Mezi českou veřejností se tak rozšířilo všeobecné přesvědčení, že jakékoliv údaje o jakémkoliv člověku jsou víceméně volným statkem, s nímž je každému dovoleno libovolně nakládat. Nový zákon, který je v některých ohledech dokonce přísnější než odpovídající evropská legislativa, není jen kosmetickou úpravou původních norem, ale skutečně radikální změnou. Nejenže je mnohem konkrétnější ve stanovení povinností i sankcí, ale zejména počítá se zřízením zvláštního Úřadu pro ochranu osobních údajů. Tento nový orgán, jemuž jsou svěřeny rozsáhlé kontrolní a sankční pravomoci, má zabezpečit, že nový zákon nebude jen prázdným legislativním výkřikem, ale všeobecně přijímanou a respektovanou normou. Právě na práci úřadu bude především záležet, jak tento velmi složitý a přísný zákon bude uplatňován v praxi. Je proto zarážející, že ani dva měsíce po účinnosti zákona úřad doposud zřízen nebyl. Tento článek je zaměřen především na podnikatele, kterým nový zákon citelně zkomplikuje život. Neméně důležitým adresátem povinností ukládaných zákonem však jsou též úřady státní správy a samosprávy. V ideálním případě by tak měl skončit současný stav, kdy úřady neomezeně vyžadují a shromažďují někdy i velmi citlivé osobní údaje o člověku, velmi často zcela bez souvislosti s prováděným úředním úkonem, a mnohdy dokonce bez vědomí dotčeného občana! Nové povinnosti. Pojem osobní údaj zákon pojímá velmi široce. Osobními údaji se rozumí v podstatě jakékoliv informace o člověku, které ho buď samostatně nebo v kombinaci s jinými údaji umožňují bez větších obtíží identifikovat. Právě vzhledem k této šíři záběru zákon dopadne na většinu databází, které podnikatelé v České republice vytvářejí a uchovávají o fyzických osobách, tedy o svých zaměstnancích, zákaznících, klientech, adresátech hromadných propagačních akcí, dodavatelích. Důležité je uvědomit si, že zákon se vztahuje na databáze uchovávané jak v elektronické, tak i v papírové podobě. Mezi hlavní novinky, které zákon přináší, patří povinnost předem oznámit Úřadu pro ochranu osobních údajů započetí jakéhokoliv shromažďování či jiného zpracovávání osobních údajů (například zřízení databáze o zákaznících). Úřad je povinen do 30 dní rozhodnout o tom, zda databázi zaregistruje, či ji nepovolí vzhledem k tomu, že neladí se zákonem. Pokud úřad v uvedené lhůtě žádné rozhodnutí nevydá, má se automaticky za to, že databázi zaregistroval. Shromažďovat a zpracovávat osobní údaje je s některými výjimkami možné pouze s písemným souhlasem osoby, které se tato data týkají. Správce údajů (například podnikatel provozující na svých počítačích databázi zákazníků) je povinen každou osobu, o níž shromažďuje, uchovává či jinak zpracovává osobní údaje, rozsáhle poučit o jejích právech podle zákona a poskytnout jí detailní informace například ohledně účelu, trvání a rozsahu zpracování osobních údajů, dále o tom, kdo tyto osobní údaje správci poskytl (pokud je správce získal jinak než přímo od příslušné osoby) a komu tyto osobní údaje budou dále zpřístupněny. Pozor na zahraničí. Zákon také podrobně stanoví povinnosti správce týkající se obsahu databáze. Ten je například povinen uchovávat jen pravdivé údaje v rozsahu a po dobu nezbytnou pro stanovený účel databáze, nesmí shromažďovat údaje pod záminkou jiného účelu nebo činnosti a podobně. Správce je také výslovně povinen uskutečnit veškeré kroky nezbytné k zabezpečení údajů v databázi proti jakémukoliv zneužití, zejména zabezpečit své informační systémy před neautorizovaným přístupem zvenčí. Zcela nový je též režim předávání osobních údajů do zahraničí. Zatímco v současnosti se v Česku převádějí osobní údaje mimo republiku prakticky bez omezení (typicky například mezi českou společností a její mateřskou společností v zahraničí), podle nového zákona je to možné pouze do států, které mají srovnatelnou ochranu osobních údajů jako Česká republika (tuto podmínku nesplňují mimo jiných USA či Velká Británie). Jinak je takový převod možný pouze se souhlasem dotčené osoby či při splnění dalších zákonem stanovených podmínek. Na tomto místě není možné poskytnout kompletní výčet nově zavedených povinností, neboť zákon stanoví řadu výjimek a zvláštních režimů, které mohou být někdy zmírňující (například pokud ke zpracovávání údajů dochází ze zákona), jindy zpřísňující (mimo jiné jde–li o zpracování citlivých údajů, jako je rasa, národnost, zdravotní stav, politické a náboženské postoje). Vysoké pokuty i trestní postih. Správce nebo zpracovatel osobních údajů, který poruší povinnost uloženou zákonem o ochraně osobních údajů, může být úřadem potrestán pokutou do výše deseti milionů korun, v případě opakovaného prohřešku až 20 milionů. Pokutu lze uložit ještě tři roky poté, kdy k porušení zákona došlo. Zákon dále zpřísňuje možnosti trestněprávního postihu konkrétních jednotlivců. V první řadě ukládá všem fyzickým osobám, které v rámci své činnosti (například jako zaměstnanci) přijdou do styku s osobními údaji, povinnost mlčenlivosti o těchto údajích i o bezpečnostních opatřeních k jejich ochraně, a to i po skončení zaměstnání či příslušných prací. Neoprávněné nakládání s osobními údaji může vést k trestu odnětí svobody až na dobu pěti let. Pokud jde o kontrolu, úřad rozhodně není odkázán na blahovůli kontrolovaných. Správce nebo zpracovatel, který maří kontrolu, může být, a to i opakovaně, potrestán pokutou do výše jednoho milionu. Jakékoliv osobě, například zaměstnanci správce, která úřadu odmítne poskytnout součinnost, navíc hrozí pokuta do výše 25 tisíc korun, která může být uložena i opakovaně. Jelikož Úřad pro ochranu osobních údajů dosud nebyl vytvořen, je těžké odhadovat, jak tvrdý postup zvolí při uvádění nového zákona do života. Zákon je totiž koncipován tak složitě a přísně, že v některých případech je takřka nemožné mu beze zbytku a jednoznačně vyhovět. Úřad by proto nepochybně měl ihned po svém zřízení připravit jasné instrukce pro veřejnost, které tento komplikovaný předpis pomohou vysvětlit, a také připravit vzorové formuláře, souhlasy a dokumenty, které jsou k řádnému splnění povinností podle zákona nezbytné. Zákon platí i bez úřadu. I když Úřad pro ochranu osobních údajů ještě neexistuje, většina z uvedených povinností musí být v plném rozsahu plněna již od 1. června 2000. Zákon stanoví pouze dvě odkladné výjimky. Každý, kdo k 1. červnu shromažďoval a zpracovával osobní údaje a vztahuje se na něj oznamovací povinnost vůči úřadu, musí tuto povinnost splnit nejpozději do 1. prosince 2000 (pokud ovšem bude do té doby úřad vůbec zřízen). Druhá výjimka se týká shromažďování a jiného zpracování osobních údajů před 1. červnem 2000, které je každý povinen uvést do souladu s novým zákonem nejpozději do 1. června 2001. Přísná ochrana osobních údajů se tak stala tvrdou realitou a nezbývá než se jí urychleně přizpůsobit. Manažeři obchodních společností i podnikatelé – fyzické osoby by proto měli zajistit, aby jejich režim nakládání s osobními údaji vyhovoval zpřísněným požadavkům zákona. V případě větších společností bude předtím nejspíše nutné provést důkladnou právní a technologickou analýzu používaných informačních systémů, a to včetně procesů získávání osobních údajů, jejich uchovávání a dalšího rozšiřování. Důležitou součástí této analýzy musí být také důkladná kontrola technického zabezpečení počítačově uchovávaných dat. Nový zákon o ochraně osobních údajů sice již platí, jak se však zdá, většina podnikatelů ho zatím ignoruje. Přestože sankce za jeho porušování v tuto chvíli nemá kdo uložit, může být současné porušování zákonných povinností potrestáno i následně. Navíc je nepochybné, že úřad dříve či později vznikne. Poté, co média přinesou první zprávy o kontrolách a ukládaných pokutách, může být na provedení nápravných opatření již pozdě. Kromě toho platí, že čím dříve začnou podnikatelé a subjekty státní správy a samosprávy zacházet s osobními údaji v souladu se zákonem, tím méně práce budou mít s následným uváděním vadného stavu do pořádku. Autoři tohoto článku si nekladli za cíl pouštět se do čistě odborné právnické debaty nad novou podobou zákona, ale pokládali za nutné na něj touto formou širší veřejnost upozornit, a tím také nastartovat potřebnou diskusi. Pokud se toto podaří, pak tento příspěvek splnil svoji úlohu.