Aktualizace souhlasu se zpracováním osobních údajů podle GDPR nutností?
Nové nařízení Evropské unie o ochraně osobních údajů, známé rovněž pod zkratkou GDPR, již klepe na dveře. Ačkoliv se nová evropská pravidla začnou uplatňovat až od května 2018, s ohledem na náročnost jejich implementace přistupuje celá řada společností k přípravám již nyní. Pomoci jim při tom mohou pokyny vytvořené tzv. pracovní skupinou podle článku 29 nebo návody vydávané jednotlivými národními regulátory. Aktuálně například zveřejnil svá doporučení týkající se požadavků na souhlas se zpracováním osobních údajů britský dozorový úřad.
Nařízení GDPR (General Data Protection Regulation) obsahuje, jako téměř každá nová regulace, mnoho nejasných bodů, jejichž výklad bude nutné teprve vytvořit. První zásadnější interpretační vodítka nabídla v prosinci loňského roku pracovní skupina podle článku 29 směrnice 95/46/ES (tzv. WP29), která je nezávislým evropským poradním orgánem složeným ze zástupců národních regulátorů.
WP29 připravila a zveřejnila například pokyny, jak přistupovat k novému právu na přenositelnost osobních údajů. Tento dokument čeká však ještě vzhledem k početným připomínkám v rámci veřejné konzultace v brzké době novelizace. Dále pak představila pokyny pro výkon funkce pověřence pro ochranu osobních údajů. Zavedení povinnosti mít v určitých případech pověřence je totiž pro správce z mnoha členských států novinkou, Českou republiku nevyjímaje. A konečně pracovní skupina vydala pokyny pro určení vedoucího dozorového úřadu, což souvisí se snahou o zavedení tzv. principu one-stop-shop ve vztahu k dozorovým úřadům jednotlivých členských států v případě přeshraničního zpracování osobních údajů.
S ohledem na přímou závaznost nařízení ve všech členských státech dojde zcela jistě k postupnému sjednocování praxe ochrany osobních údajů v celé EU. Proto budou pro české správce relevantní nejen výkladová stanoviska Úřadu pro ochranu osobních údajů, ale i dalších evropských regulátorů. Aktuálně zveřejnil své doporučení týkající se souhlasu se zpracováním osobních údajů britský dozorový úřad. Důležitým bodem je například potvrzení názoru, o kterém se zatím mluvilo jen velmi potichu. A to, že souhlas bude nutné získat pro každý účel a způsob zpracování zvlášť. Takový přístup dosud nebyl v praxi běžný. V této souvislosti doporučení obsahuje také významné upozornění, že dříve získané souhlasy nevyhovující vysokým standardům podle GDPR bude nutné získat znovu. V opačném případě nebude možné osobní údaje dále zpracovávat. Je proto vhodné přizpůsobit stávající souhlasy požadavkům GDPR co nejdříve, aby nebylo nutné souhlasy obdržené od nových klientů před účinností GDPR vyžadovat následně znovu. Pokud máte zájem o konzultaci v oblasti GDPR, kontaktujte nás.