K 25. květnu letošního roku nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Firmy jsou vystaveny extrémnímu tlaku, aby zajistily, že se v jejich podniku budou uchovávat data a nakládat s nimi v souladu s tímto nařízením. Ne vždy k tomu však mají přesné a úplné informace. Výsledkem je obrovský chaos, který na trhu panuje. Podniky zavádí opatření, která je často stojí spoustu prostředků, aniž by vedla k zamýšlenému výsledku. Tím je slovy nařízení přijetí takových technických a organizačních opatření firem jako správců údajů, která povedou k zabezpečení nakládání s osobními údaji a splnění povinností správců údajů i naplňování práv subjektů údajů. Svaz průmyslu a dopravy ČR proto na svých stránkách postupně zveřejní sérii populárně-naučných článků, kterými vysvětlí nejčastější mýty a omyly o GDPR a dá firmám praktické návody, jak případné omyly napravit. Přinášíme nyní první z nich.
OMYL PRVNÍ: GDPR PŘECI NEPLATÍ PŘÍMO, ČEKÁME NA ČESKÝ ZÁKON
Častým omylem je, že GDPR je směrnice a ke svému převedení do národního práva tedy vyžaduje nový zákon, který ovšem stále ještě visí v Poslanecké sněmovně. Chyba lávky – jak vyplývá již ze samotného názvu General Data Protection Regulation, GDPR je nařízením, tedy „evropským zákonem“, který platí pro všechny členské země EU, a tedy i pro ČR, přímo a nevyžaduje nutně novou národní legislativu. Pokud by s ním však byly stávající národní předpisy v rozporu, automaticky pozbývají platnosti dnem zahájení účinnosti nařízení. Na nový zákon o zpracování osobních údajů tedy není nutné čekat, GDPR se aplikuje přímo.
Národní legislativa může obsahovat jisté variace, zpřísnění nebo změkčení nařízení v některých ohledech. Zákon o zpracování osobních údajů však těchto možností převážně nevyužívá, převzala nařízení tak, jak je. Jednou z mála výjimek je zúžení vymezení „veřejné instituce“, kterou GDPR definuje. Podle českého práva by to pak měla být taková organizace, která je zřízena zákonem a současně vykonává veřejnou moc – tedy autoritativně rozhoduje o právech a povinnostech občanů. To je důležité pro odlišení pozice správců údajů, kteří mají nebo nemají povinnost jmenovat pověřence. Další důležitá odchylka by se mohla týkat diferenciace výše pokut pro jednotlivé typy správců údajů – uvažuje se o tom, že např. školy, obce nebo dokonce všichni veřejnoprávní správci by mohli být zcela nebo zčásti zproštěni sankcí. Za Svaz průmyslu však doufáme, že k tomu nedojde, protože takové nastolení nerovnosti mezi správci údajů by nebylo fér a ve výsledku by ani nepřispělo řádnému uplatnění nařízení.
OMYL DRUHÝ: GDPR MI VŮBEC NIC DOBRÉHO NEPŘINESE, JE TO JEN ZÁTĚŽ A NOVÝ EVROPSKÝ VÝMYSL
Ano, splnění GDPR je administrativně náročné. Ano, každou firmu zcela jistě bude stát nějaké peníze a úsilí, aby se s touto novou legislativou seznámila a uvedla ji do praxe. Ano, přijímáním podobných předpisů Evropská unie popírá sama sebe, když na jedné straně už několik let vehementně snižuje administrativní zátěž firem a na straně druhé ji přidává obdobnými předpisy.
Ale slyšeli jste někdy o tom, jak Velký bratr sleduje občany v Číně nebo jiných třetích zemích? Co vše o nich shromažďuje, jak s informacemi nakládá a jak jich využívá pro profilování a třídění občanů a firem? Nic z toho by se v EU nikdy nemohlo stát, dokud je zde pevná právní regulace v oblasti ochrany soukromí a osobních údajů. GDPR platí nejen pro firmy, ale i pro všechny veřejné instituce, a tedy i pro stát, samosprávy, orgány státní a veřejné moci. Jedinou výjimku mají orgány činné v trestním řízení, ale i ty musejí potřebu získávání informací vždy pečlivě odůvodňovat a vázat na probíhající vyšetřování trestných činů. Pokud tu evropská regulace ochrany osobních dat bude, nemůže se legálně stát, že o Vás nebo o Vaší firmě bude někdo jiný shromažďovat a zpracovávat více informací, než nezbytně potřebuje k naplnění své povinnosti, smlouvy, ochraně svých oprávněných zájmů nebo ochraně Vašeho života a zdraví. GDPR má tedy mimo zátěž, kterou s sebou přináší, i své světlé stránky.
OMYL TŘETÍ: GDPR JE ÚPLNÁ REVOLUCE V PRÁCI S OSOBNÍMI ÚDAJI, MUSÍME VŠE ZBOURAT A ZAČÍT ZNOVU
Věděli jste, že už od roku 1995 v EU platila směrnice o ochraně osobních údajů? A to, že máme v Česku od roku 2000 zákon o ochraně osobních údajů, pro Vás také není novinkou, viďte? A znáte obsah tohoto zákona a všechna práva subjektů a povinnosti správců, které z něj vyplývají?
Pokud jste na všechny otázky odpověděli kladně, jistě pro Vás nebude novinkou, že například právo na výmaz údajů by již v praxi Vaší firmy mělo fungovat téměř dvacet let. Zásada omezeného uchování osobních dat zakotvená v zákoně č. 101/2000 Sb. ho už totiž obsahuje. Měli byste také být připraveni na poskytování všech údajů o tom, jaká data o konkrétní osobě zpracováváte. A v neposlední řadě byste měli vědět, jak pracovat s obchodními sděleními, a koupené a převzaté databáze kontaktů by pro Vás měly být tabu. Pokud jste doposud ochranu údajů u Vás ve firmě nepodceňovali, GDPR pro Vás bude jen několika kroky navíc směrem k lepšímu zabezpečení osobních dat a eliminaci rizik, která při nakládání s nimi vznikají. Praxe v českých firmách je však často zcela opačná – doposud ochranu dat svých zaměstnanců a klientů vůbec neřešily, a GDPR je tedy pro ně šokem a studenou sprchou.
JAK TYTO OMYLY ŘEŠIT V PRAXI
Nenechávejte se ukolébat neověřenými informacemi, že GDPR se Vás netýká, týká jen okrajově anebo bude týkat teprve poté, co bude přijat zákon o zpracování osobních údajů. Osobní údaje jako správci zpracovávají všechny firmy – všechny totiž mají zaměstnance, klienty, zákazníky, partnery, kteří jsou fyzickými osobami, a tedy nositeli (subjekty) osobních údajů, jejichž práva mají být chráněna.
Neberte GDPR jen jako nutné zlo, ale i jako příležitost, jak si v datech (a to nejen osobních) ve Vaší firmě udělat pořádek a zavést třeba i nový systém pro jejich získávání, správu, uchovávání a zabezpečení.
Sebekriticky se podívejte, nakolik Vaše firma doposud brala vážně povinnosti vyplývající z dosud platného zákona o ochraně osobních údajů a identifikujte si úzká místa, u nichž byste rychle měli začít se změnami, které povedou k lepšímu zabezpečení osobních dat. Odpovědi na nejožehavější otázky Vám dají snad i další články o GDPR, které pro Vás připravujeme.
Svaz průmyslu a dopravy ČR se přípravě českých firem na GDPR věnuje soustavně již od počátku roku 2017. V prvním pololetí 2017 připravil sérii regionálních diskuzních fór pro firmy. Od června 2017 do dubna 2018 pak zorganizoval projekt Akademie GDPR. Spolu s partnery Svaz připravil celkem 22 tematických seminářů a workshopů věnovaných 17 tématům určených k praktické přípravě českých firem na účinnost GDPR. V roce 2018 také spustil e-learningovou platformu Vyškoleno CZ (www.vyskoleno.cz), kde mohou firmy absolvovat zevrubnou i základní verzi e-learningových kurzů k GDPR určeným jak pro vrcholový management firem a jejich pověřence nebo manažery pro ochranu osobních údajů, tak i pro běžné zaměstnance. Všechny tyto projekty Svaz realizuje v úzké partnerské spolupráci s Úřadem pro ochranu osobních údajů, který je také jejich odborným garantem.
Nyní Svaz připravuje sérii populárně-naučných článků, jejichž cílem je rozptýlit nejčastější dezinformace a dezinterpretace, které se ohledně GDPR na českém trhu vyskytují. Postupně se tak bude věnovat tématům:
- Kontext a souvislosti GDPR
- Souhlasy se zpracováním osobních údajů
- Pověřenci pro zpracování osobních údajů
- Přeshraniční přenosy osobních údajů
- Procesy implementace GDPR ve firmách
Mgr. Tereza Šamanová, tsamanova@spcr.cz