Unijní nařízení GDPR o ochraně při zpracovávání osobních údajů začne platit 25. května. Bude se týkat všech institucí, firem, podniků, ale i živnostníků či neziskových organizací, které pracují s osobními daty a shromažďují je.

Nařízení vyvolalo v Česku bouřlivou diskusi, zda se jedná víc o posílení práv občanů a ochranu dat, nebo spíše o šikanu zejména drobných podnikatelů, zvýšení byrokracie a vyhazování peněz.

Úpravy a zabezpečení IT infrastruktury stojí nemalé peníze. Podle velikosti firem od několika tisíc po milióny u nadnárodních firem.

Liknavost státu

Situaci výrazně ztěžuje fakt, že český stát při zavádění legislativy a metodiky zaspal, ačkoliv na to měl dva roky čas. Takže jen pár týdnů před začátkem platnosti GDPR není jasné, co se změní a jak konkrétně.

Návrh zákona je teprve v připomínkovém řízení a na každý paragraf existují různé právní pohledy.

Jasné jsou pouze tvrdé pokuty za neoprávněné nakládání s daty – až 20 miliónů eur (půl miliardy korun) či čtyři procenta z veškerého obratu podniku. Uvádí se, že má být brán ohled na okolnosti a vysoké pokuty se mají týkat hlavně velkých firem.

Nařízení je zaměřeno především na velké a nadnárodní společnosti typu Facebook či Google, telefonní operátory nebo zdravotní pojišťovny. Uzpůsobit se ale musí nejen firmy s více než 250 zaměstnanci. GDPR se stejně tak týká soukromých kadeřnic, které si vedou evidenci zákazníků, či malých e-shopů.

Předpokládá se, že nařízení zasáhne až pětinu tuzemských firem zcela nepřipravenou. Zavést příslušná opatření totiž může trvat i několik měsíců, záleží na velikosti firmy i objemu údajů, které shromažďují, upozornila Právo Hospodářská komora ČR.

Asi třetina podnikatelů přitom stále neví co dělat. Slabou útěchou jsou hlasy z úředních míst, že pro ty, kteří dodržují stávající zákon o ochraně osobních údajů, se toho moc nemění, a že Úřad pro ochranu osobních údajů, který bude provádět kontroly, by měl zpočátku postupovat zdrženlivě a na možné pochybení by měl upozorňovat, a ne rovnou udělovat sankce.

Stát podniky prozatím nijak nepřipravuje, dopady přitom budou na firmy všech velikostí a oborů Milena Jabůrková, Svaz průmyslu a dopravy

„Stát podniky prozatím nijak nepřipravuje, dopady přitom budou na firmy všech velikostí a oborů podnikání, kde se pracuje s osobními údaji,“ řekla Právu viceprezidentka Svazu průmyslu a dopravy Milena Jabůrková. Podle mluvčí vlády Barbory Peterové se návrhy zákona o zpracování osobních údajů a zákona, kterým se mění některé související normy, připravují. V současnosti na nich pracují experti při Legislativní radě vlády. Oba návrhy by měly být projednány a schváleny vládou ve druhé polovině března.

Jak to bude vypadat?

Přestože všichni čekají na národní legislativu a na výkladová vodítka, firmy by se měly s novými pravidly začít seznamovat. Nařízení jim dává poměrně jasné obrysy toho, jak budou jejich nové povinnosti vypadat.

Od května budou muset všechny instituce, firmy, ale i jednotlivci či sociální sítě, e-shopy, prodejci, tedy všichni, kteří shromažďují data či s nimi pracují, dávat pozor, zda se údaje v databázi objevily legálně, za jasně projeveného a informovaného souhlasu konkrétní osoby. Některé firmy už proto na svých webových stránkách návštěvníky nově žádají o souhlas se zpracováním údajů.

Poskytovatel údajů současně podle nařízení získá o údajích větší přehled i právo rozhodnout, co s nimi lze a nelze dělat. Má být posíleno právo na přístup, vznesení námitky, opravu, omezení zpracování údajů, jejich nepřenositelnost a nově i právo na jejich vymazání bez zbytečného odkladu.

GDPR v Česku přináší novou instituci pověřence pro ochranu osobních údajů. Povinnost mít pověřence bude platit pro některé firmy, které údaje spravují nebo zpracovávají.

Pověřenec má v podstatě koordinovat správu a ochranu registru a má být prostředníkem mezi firmou či úřadem a dozorovým orgánem. Pověřence mají mít i obce.

Co je osobní údaj Jméno, pohlaví, věk a datum narození, osobní stav, IP adresa, fotografické záznamy, e-mailová adresa, telefonní číslo, údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Genetické, biometrické údaje a osobní údaje dětí podléhají mnohem přísnějšímu režimu, než je tomu u obecných údajů. GDPR se nevztahuje na údaje zemřelých osob a údaje zpracované pro osobní potřebu bez dalšího šíření.