Článek ve formátu PDF je možné stáhnout
zde.
Obecné nařízení k ochraně osobních dat GDPR (General Data Protection Regulation) je doposud nejobsáhlejší a také nejpřísnější opatření EU k ochraně osobních dat. K tomu je třeba vědět, že zákonné opatření EU může mít formu směrnice, nebo formu nařízení. Laicky řečeno: směrnici musí přijmout a do formy zákona zpracovat národní parlamenty, zatímco nařízení EU platí přímo – národní parlamenty je nemohou změnit, ale naopak mají povinnost upravit ostatní zákony tak, aby byly s nařízením v souladu. V případě GDPR už nařízení bylo vydáno a nabude účinnosti 25. května 2018. Avšak není podrobněji rozpracováno, prováděcí předpisy ani závazné výklady dosud nejsou zpracovány, a není tedy žádný důvod očekávat, že by před datem účinnosti nastalo nějaké podstatné zlepšení.
Závaznost nařízení a jeho pravidla
Protože nová pravidla byla přijata formou nařízení, platí ve všech státech EU jednotně. Nařízení s sebou nese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzívnější spolupráci dozorových orgánů. Pokuty mohou být pro české firmy likvidační – dosahují až 20 milionů eur, popř. až 4 % celosvětového obratu. Je překvapující, že většina společností, kterých se GDPR týká, přitom zachovává přezíravý klid. Mlčky – avšak nesprávně – předpokládají, že otázky ochrany osobních dat za ně vyřeší jejich dodavatel informačních systémů. Mnozí totiž ani nevědí (či nechtějí vědět), zda se na ně GDPR vůbec vztahuje. Oproti současnému zákonu č. 101/2000 Sb. je nařízení EU mnohem přísnější. Vedle takových odvětví, která jsou výslovně vyjmenována (např. zdravotnictví, školství), se vztahuje na kamerové systémy, na veškeré internetové obchody, věrnostní karty či zaměstnavatele s větším množstvím zaměstnanců. Vztahuje se též na orgány samosprávy a orgány veřejné moci. Například obce při plnění většiny svých úkolů osobní údaje zpracovávají – shromažďují, zaznamenávají, strukturují nebo pozměňují. Podle jejich údajů lze (přímo či nepřímo) identifikovat subjekt, tedy fyzickou osobu. Tím se ocitají v roli správce, popř. zpracovatele. Podle nařízení se veškeré subjekty musí připravit na:
- realizaci informační povinnosti k fyzickým osobám,
- nová či rozšířená práva fyzických osob, např. právo na omezení zpracování, právo na přenositelnost osobních údajů, právo na opravu osobních údajů,
- povinnost vést záznamy o činnostech zpracování.
Změny oproti současnému zákonu
Mnohé mechanismy, které GDPR obsahuje, jsou již známy z dosavadní právní úpravy. Podle nového nařízení se ale např. rozšiřuje definice osobních údajů. Nově sem spadají i technické parametry, jako e-mailová a IP adresa nebo „cookies“ v zařízení uživatele. Nová je také kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu. Zavádějí se i nové povinnosti zpracovatelů údajů.
Protože je situace v každé firmě nebo ve správním orgánu jiná, individuální, musí být také individuální jejich projekt práce s osobními údaji. Není možné, aby se určitý subjekt spolehl na obecnou šablonu, např. od svého dodavatele informačních systémů. Navíc práce s dokumentací GDPR není jednorázová akce, ale dlouhodobý a složitý proces. Někteří správci osobních údajů mají novou povinnost, ustanovit si tzv. pověřence pro ochranu dat (DPO, Data Protection Officer). Na jednu stranu je to vcelku pochopitelné, protože povinnosti plynoucí z GDPR jsou náročné, a tak se jim musí věnovat vyškolený pracovník. Na jeho odbornost jsou kladeny dosti vysoké požadavky, protože DPO musí mít odpovídající znalosti o výpočetní technice, ale také musí mít právní znalosti, zejména z oblasti správního práva, protože veškerá jednání před Úřadem pro ochranu osobních údajů probíhají podle správního řádu. A navíc, protože je situace velmi zamlžená, musí mít dostatek času (a také trpělivosti) na to, aby sbíral a vyhodnocoval jednotlivé části judikátů, výkladů a vysvětlení, jak budou postupně vznikat. Na druhé straně však, jako odborník, ponese značnou odpovědnost.
Pravděpodobný postup
Ze všech těchto důvodů není možné reálně očekávat, že by funkci DPO na sebe vzal dodavatel informačních systémů. Spíše lze předpokládat, že se jí ujmou specializované firmy, které budou služby DPO na komerční bázi zajišťovat. Jejich zázemí bude pokrývat jedna nebo několik advokátních kanceláří specializovaných na správní právo a budou disponovat odborníky akreditovanými pro GDPR.
Jiným velkým problémem je hlášení incidentů. Nařízení GDPR striktně předepisuje, že každé porušení pravidel manipulace s osobními údaji musí být okamžitě nahlášeno Úřadu pro ochranu osobních údajů. Pro nahlášení stanovuje dobu maximálně 72 hodin, což je nutné chápat jako krajní mez, jejíž překročení bude sankcionováno. Pro mnoho firem to nebude snadné dodržet.
GDPR zavádí složitý komplex pravidel a povinností – navíc v situaci, kdy chybí jakákoliv prováděcí legislativa a judikatura.
Nabídka školení
V dané situaci je nejdůležitějším úkolem poskytnout zainteresované veřejnosti co nejvíce zasvěcených informací. Specializovaná školení pořádá společnost Služby pro vědu a výzkum, s. r. o. Veškerá školení, určená pro manažery, výkonné pracovníky i DPO, se konají v Praze-Dejvicích a zajišťují je kvalifikovaní odborníci na právní otázky stejně jako na informatiku a zabezpečení informačních systémů. Termíny a možnost přihlášení zájemci najdou na webové stránce pořadatele, https://gdprsystems.cz, nebo si je mohou vyžádat na adrese info@gdprsystems.cz.
Josef Kokeš, Služby pro vědu a výzkum, s. r. o.
(josef.kokes@gdprsystems.cz)