Řada firem bude mít problémy se soubory osobních dat

Od od 1. června začal platit nový Zákon o ochraně osobních údajů, který přináší některé zcela zásadní změny do způsobu, jakým fyzické a právnické osoby smějí nakládat s údaji osobního charakteru. Tím vzrostla podnikatelská rizika, které si většina firem zatím plně neuvědomuje, a které souvisí s uchováváním osobních dat v databázích firem. Předchozí zákony byly velmi obecné a nestanovily žádné účinné kontrolní mechanismy ani sankce pro případ jejich porušení.

Rozšířilo se tak všeobecné přesvědčení, že jakékoliv údaje o jakémkoliv člověku jsou víceméně volným zbožím, s nímž je každému dovoleno libovolně nakládat.

Pojem osobní údaj nový zákon pojímá velmi široce. Osobními údaji se rozumí v podstatě jakékoliv informace o člověku, které ho buď samostatně nebo v kombinaci s jinými údaji umožňují bez větších obtíží identifikovat.

Vzhledem k volné definici pojmu osobní údaj, zákon dopadne na většinu databází, které čeští podnikatelé vytvářejí a uchovávají o fyzických osobách, tedy o svých zaměstnancích, zákaznících, klientech, nebo dodavatelích.

Zákon se přitom vztahuje na databáze uchovávané jak v elektronické, tak i v papírové podobě.

Firma je tak povinna každou osobu, o níž shromažďuje, uchovává či jinak zpracovává osobní údaje, rozsáhle poučit o jejích právech podle zákona a poskytnout jí detailní informace například ohledně účelu, trvání a rozsahu zpracování osobních údajů, dále o tom, kdo tyto osobní údaje správci poskytl (pokud je správce získal jinak než přímo od příslušné osoby) a komu tyto osobní údaje budou dále zpřístupněny.

Zpracovávat osobní údaje je (s některými výjimkami) možné pouze s písemným souhlasem osoby, které se tato data týkají.

Zákon přináší povinnost předem oznámit Úřadu pro ochranu osobních údajů započetí jakéhokoliv shromažďování či jiného zpracovávání osobních údajů (například zřízení databáze o zákaznících).

Úřad je povinen do 30 dní rozhodnout o tom, zda databázi zaregistruje, či ji nepovolí vzhledem k tomu, že neodpovídá zákonu. Pokud úřad v uvedené  lhůtě žádné rozhodnutí nevydá, má se automaticky za to, že databázi zaregistroval.

Zákon také podrobně stanoví povinnosti správce týkající se obsahu a zabezpečení databáze.

Podle nového zákona je předávání osobních údajů do zahraničí možné pouze do států, které mají srovnatelnou ochranu osobních údajů jako Česká republika (tuto podmínku nesplňují mimo jiné USA či Velká Británie).

Jinak je takový převod možný pouze se souhlasem dotčené osoby či při splnění dalších zákonem stanovených podmínek.

Správce nebo zpracovatel databáze, který poruší zákon, může dostat pokutu až 10 milionů korun, přičemž pokutu vymáhá finanční úřad. Pokutu lze udělit ještě po třech letech od prohřešku.

Neoprávněné nakládání s osobními údaji může vést k trestu odnětí svobody až na dobu tří let. Zákon ukládá např. všem zaměstnancům, kteří přijdou do styku s osobními údaji, povinnost mlčenlivosti o těchto údajích, bezpečnostních opatřeních k jejich ochraně, a to i po skončení zaměstnání.

Správce nebo zpracovatel, který maří kontrolu Úřadu pro ochranu osobních údajů, může být (i opakovaně), potrestán pokutou do výše jednoho milionu korun.

Jakékoliv osobě, například zaměstnanci správce, která úřadu odmítne poskytnout součinnost, navíc hrozí pokuta do výše 25 tisíc korun, která může být rovněž uložena opakovaně.

Úřadu pro ochranu osobních údajů byly svěřeny rozsáhlé kontrolní a sankční pravomoci. Jelikož Úřad pro ochranu osobních údajů dosud nebyl vytvořen, je otázkou, jak tvrdý postup zvolí při uvádění nového zákona do života.

Úřad by měl podle odborníků po svém zřízení připravit jasné instrukce pro veřejnost, které tento komplikovaný předpis pomohou vysvětlit, a také připravit vzorové formuláře, souhlasy a dokumenty, které jsou k řádnému splnění povinností podle zákona nezbytné.

Přestože Úřad pro ochranu osobních údajů ještě neexistuje, většina z uvedených povinností musí být v plném rozsahu plněna již od 1. června 2000.

Analýzu o dopadech nového zákona zpracovala poradenská společnost Arthur Andersen.