První náznaky připravovaných změn v ochraně osobních údajů

Od 1.1. 2012 začal být účinný zákon č. 468/2011 Sb., kterým došlo mj. k novelizaci zákona o elektronických komunikacích, zákona o ochraně osobních údajů a zákona o službách informační společnosti.

Jedna z novinek letošního roku se týká zmírnění právní úpravy v oblasti nevyžádaných obchodních sdělení. Novela zákona č. 480/2004 Sb., o službách informační společnosti stanoví, že pokutu do výše 10.000 000,- Kč může Úřad pro ochranu osobních údajů udělit právnické osobě, která hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení:

• bez souhlasu adresáta,
• neoznačené jasně a zřetelně jako obchodní sdělení,
• skrývající nebo utajující totožnost odesílatele, jehož jménem se komunikace uskutečnila,
• neobsahující platnou adresu, na niž by adresát mohl odeslat žádost o ukončení takové komunikace, nebo
• bez toho, že by zákazníkovi poskytla možnost jasně, zřetelně, jednoduchým způsobem, zdarma nebo na svůj účet udělit či odmítnout souhlas s využitím jeho elektronického kontaktu při zaslání každé jednotlivé zprávy,

Nově jsou tedy sankce omezeny na rozesílání obchodních sdělení, které je buď hromadné nebo opakované, a které je v rozporu s výše uvedenými podmínkami. Pojmy „hromadné“ nebo „opakované“ bude samozřejmě třeba v praxi vyložit, nicméně inspiraci lze čerpat v jiných evropských zemích. Např. v Nizozemí, úřad zasahuje až v případě, dosáhne-li počet stěžovatelů počtu čtyřiceti.

Na druhou stranu byla do zákona o službách informační společnosti nově vložena možnost postihovat za šíření nevyžádaných obchodních sdělení i fyzické osoby, které nejednají v rámci jejich podnikatelské činnosti, a které poruší výše uvedené podmínky pro zasílání obchodních sdělení. Pokuta je v tomto případě do 100.000,- Kč. Částečně tedy může jít o nástroj, který by mohl být teoreticky použit u virálního marketingu. Tento postih by byl samozřejmě využit až v případě, že by si skutečně někdo stěžoval a byly by opět naplněny pojmy „hromadné“ nebo „opakované“

Rokem 2012 startují změny, které jsou připraveny Evropskou komisí v oblasti ochrany osobních údajů, kde se očekává v souladu s materiálem vypracovaným v roce 2010, revize směrnice o ochraně osobních údajů z roku 1995, která již dalece zaostala za technologickým vývojem.

Obecně bude docházet ke zpřísnění podmínek pro zpracování osobních údajů. První vlaštovkou je novela zákona o elektronických komunikacích, která zatím jen pro podnikatele poskytující veřejně dostupnou službu elektronických komunikací (do budoucna by se mělo jednat o jakékoli správce databází) zavádí tzv. oznamovací povinnost vůči Úřadu pro ochranu osobních údajů v případech porušení ochrany osobních údajů fyzických osob. Důsledek pro praxi je takový, žepokud dojde k porušení ochrany osobních údajů (např. zcizení notebooku obsahující databázi s osobními údaji, proniknutí do databáze ze strany hackera, atd.), tak je poskytovatel povinen takové porušení neprodleně Úřadu pro ochranu osobních údajů oznámit a zároveň v tomto oznámení uvést, jaké má toto porušení důsledky a jaká technická opatření poskytovatel přijal nebo navrhuje přijmout. Podrobnosti takového oznámení včetně příslušného formuláře zveřejnil Úřad pro ochranu osobních údajů na jeho stránkách 6.3. 2012. Zároveň novela zákona řeší druhý stupeň takového porušení, tj. případ, kdy se jedná o porušení ochrany osobních údajů způsobilé ovlivnit zvlášť závažným způsobem soukromí fyzické osoby (tento pojem bude muset být v praxi postupně vyložen, ale lze předpokládat, že půjde např. o únik citlivých údajů, atp.) nebo poskytovatel nepřijal příslušná opatření, kterými lze stav napravit. V tomto případě musí býtoznámení o porušení sděleno nejen dozorovému úřadu, ale i dotčenému subjektu údajů, o jehož údaje se jedná. Stejně tak i úřad může poskytovateli uložit povinnost, aby subjekt údajů o porušení také informoval.

Každý poskytovatel veřejně dostupné služby elektronických komunikací navíc povede evidenci takovýchto porušení, včetně dopadů a informací o přijatých opatřeních. Úřad pro ochranu osobních údajů je zákonem zmocněn vydat vyhlášku, která upraví přesné podmínky vedení takové evidence.

V zákoně o ochraně osobních údajů došlo přijetím výše uvedeného zákona č. 468/2011 Sb., také k několika drobným změnám. Jednou z těchto změn je i důraz na řešení problémů při zpracování osobních údajů přímo mezi subjektem údajů a správcem databáze. Úřad pro ochranu osobních údajů byl totiž dle dosavadní ne zcela jasné právní úpravy často zahlcován zbytečnými podněty a stížnostmi ze strany subjektů údajů, které mohly být vyřešeny operativně přímo mezi správcem a subjektem údajů. Uvedenou změnu lze považovat zcela jistě za pozitivní, zejména z toho pohledu, že často se přes úřad řešily nesmyslné stížnosti, kde šlo mnohdy spíše o určitou odvetu ze strany subjektu údajů - zákazníků a zbytečně byla zahajována i některá správní řízení.