JUDr. Tereza Kunertová, LL.M., Ph.D.
Co se aktuálně děje na evropské legislativní scéně?
Česká asociace pojišťoven pečlivě sleduje regulatorní snahy orgánů Evropské unie, která mají co dočinění s pojišťovnictvím. Výsledkem je detailní přehled o všech evropských aktivitách, jež v nejbližší, ale i vzdálenější budoucnosti ovlivní pojistný trh u nás. Jednou z posledních regulací, která byla schválena Evropským parlamentem 14. dubna, je návrh obecného nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR). GDPR je součástí celkové reformy ochrany osobních údajů v EU cílící na modernizaci těchto pravidel. Ochrana osob v souvislosti se zpracováních jejich osobních údajů je vnímána jakožto základní právo zakotvené v Listině základních práv EU i samotné Smlouvě o fungování EU. Není tak divu, že se vzrůstající tendencí k ochraně základních práv v Evropské unii dochází i k zpřísnění pravidel pro zpracování osobních údajů v EU. Vzhledem k dosavadní roztříštěné úpravě zpracování osobních údajů způsobenou rozdíly v provádění a uplatňování původní směrnice 95/46/ES v jednotlivých členských státech, byla zvolena forma nařízení. Nová legislativa se dotkne mimo jiné i pojišťoven v České republice. Dva roky ode dne, kdy nařízení GDPR vstoupí v platnost (tj. cca konec května 2018), bude přímo použitelné ve členských státech a závazné v celém svém rozsahu pro všechny subjekty v EU. Ochrana poskytovaná nařízením GDPR by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. Nařízení GDPR se však nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, tedy bez jakékoliv souvislosti s profesní nebo obchodní činností.
Novinky v nařízení GDPR
Nařízení GDPR přináší jednotnou sadu pravidel, platnou v celé EU a dopadající na evropské společnosti i na společnosti mimo EU, které nabízejí online služby v Evropské unii. GDPR je poměrně komplexní materie, jejíž analýza je mimo možnosti tohoto příspěvku. Zmiňme tak alespoň pár zásadních změn, které regulace přináší. Tou první je zpřísnění podmínek pro získávání souhlasů se zpracováním osobních údajů. Již nebude možné dovozovat konkludentní souhlas (právní úkon učiněný jiným způsobem než ústně nebo písemně) tak jako dosud tím, že klient využil službu a byl pouze seznámen se zpracováním jeho osobních údajů. Souhlas bude muset být poskytnut aktivně (zaškrtnutím políčka, změnou nastavení soukromí atd.). Při přechodu na nový režim platí, že souhlasy, které byly podle stávající právní úpravy získány za podmínek vyhovujících nové právní úpravě, jsou nadále platné. Oproti tomu v případě ostatních souhlasů, u nichž podmínky získání neodpovídají nové právní úpravě, je nutné jejich opětovné získání. Další klíčová změna nařizuje, že za splnění podmínek v nařízení GDPR má jednotlivec právo na výmaz jeho osobních údajů a poskytovatel služby povinnost tyto osobní údaje bez zbytečného odkladu vymazat. Za splněné podmínky se počítá např. odpadnutí účelu pro zpracování osobních údajů, odvolání souhlasu se zpracováním osobních údajů nebo protiprávní zpracování osobních údajů. Na závěr ještě uveďme, že dosavadní úprava skrze směrnici EU pocházela z 90. let, kdy celý digitální svět byl ještě v plenkách. Z toho důvodu vnímáme veskrze pozitivně potřebu větší ochrany spotřebitelů při využívání on-line služeb nebo speciálního režimu dětí při zakládání účtů na sociálních sítích. Na druhou stranu ale neuvážený zákaz či přespřílišné omezení zpracování osobních údajů (např. o zdravotním stavu) ze strany poskytovatelů finančních produktů může vést u pojišťoven k nemožnosti konkrétního zhodnocení rizik, bez čehož by pojišťovny nebyly schopny dostát svým závazkům v poskytování optimálních produktů na míru svých klientům. V současné době tedy ČAP připravuje seminář pro členy cílený na povinnosti pojišťoven při zpracovávání osobních údajů dle nařízení GDPR.