GDPR se dotkne nás všech. Na co se máme připravit?
Hlavní český regulátor pro ochranu údajů je Úřad pro ochranu osobních údajů (ÚOOÚ). Úřad dohlížel nad kontrolou a plněním ochrany osobních údajů proti zneužití identity. Nyní se pravidla změní. Na co se připravit?
Na základě nové směrnice EU budou pravidla pro dodržování ochrany osobních dat podřízené obecnému nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation). Tento soubor pravidel bude doposud nejvíce uceleným souborem pravidel na ochranu dat na světě.
Na roli ÚOOÚ v rámci instituce dohlížející nad ochranou osobních údajů se nic nemění a úřad bude i nadále tuto funkci zastávat. Rozšíří se jeho pravomoci a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Jakékoli rozpory v rozhodování českého regulátora budou možné řešit s odvoláním na EDPB.
Nová pravidla jsou přijata formou evropského nařízení a budou mít jednotnou platnost ve všech zemích Evropské unie. Podřízenost EU je z důvodu nemožnosti jednotlivých států tato pravidla ohýbat a jakýmkoli způsobem přizpůsobovat zájmům svým i zájmům jednotlivým lobbistům.
Od května bude nová právní úprava
Nařízení začne v rámci celé Evropské unie platit dne 25. května 2018 a v Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
Rozhodnutí o platnosti nového nařízení nastalo v roce 2016 a od té doby do května 2018 nastalo období přípravy pro tento zákon.
Prováděcí zákon musí přijmout jednotlivé státy EU a upřesňuje blíže více než 50 bodů, které GDPR svěřuje do jejich národní pravomoci.
Směrnice General Data Protection Regulation se dotkne přímo anebo nepřímo každého jednotlivého občana Evropské unie. Především ale subjekty, které shromažďují nebo zpracovávají osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Instituce, firmy, ale i jednotlivci, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími, si budou muset osvojit nová pravidla zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.
Proč potřebujeme GDPR?
Legislativa, kterou se Evropská unie od roku 1995 je již zastaralá, a zákony na ochranu osobních údajů, které se jí řídily, již v dnešní době moderní výpočetní techniky nestačí. V době, kdy byl zákon uvedený v platnost, neexistovaly sociální sítě, cloudová úložiště dat ani řada dalších technologií.
Ani nové GDPR, které začne platit od roku 2018, nebude stačit modernímu rozvoji a bude zaostávat zhruba o pět let. Směrnice totiž nepočítá s takzvaným internetem věcí (IoT), či možností, že si zaměstnanci budou nosit domů počítače či mobilní telefony, protože jsou jejich vlastní.
Dalším důvodem přijetí směrnice GDPR je i zjištění, že tajné služby mimo prostor EU v minulosti shromažďovaly informace o občanech EU bez jejich vědomí. V tuto chvíli se dostáváme do rozdílné situace vnímání osobní svobody, a proto bylo nutné tato pravidla svázat a stanovit jim jasnou definici.
Tabulka 1: Rozdělení osobních a citlivých údajů
Osobní | Citlivé | |
Jméno | Rasa | |
Pohlaví | Sexuální orientace | |
Věk | Náboženství | |
Datum narození | Zdravotní stav | |
Rodné číslo | Tresty | |
Adresa | Genetické údaje | |
Osobní stav | Biometrické údaje | |
Podobizna |
Některé firmy nejsou na GDPR připraveny
„Z našeho listopadového průzkumu mezi 80 českými společnostmi se ukázalo, že 79 % z nich se stále necítí být připravených na GDPR,“ uvedl ředitel společnosti Safetica Technologies Petr Žikeš. Nepřipravenost dohromady s neúprosným termínem se pro mnohé firmy i jednotlivce stalo možností, jak vydělat peníze na neinformovaných zákaznících.
„Už za námi přišel zákazník s žádostí o pomoc poté, co zaplatil nemalé peníze za údajné vyřešení GDPR. Jako výstup však dostal jen dlouhou zprávu, se kterou nevěděl, co si počít,“ uvedla Sedláková z advokátní kanceláře Sedlakova Legal.
„Pokud vezmete přípravy na GDPR za špatný konec, mohou se vám dost prodražit. Ať už se je budete snažit zvládnout sami, ale GDPR nesplníte, anebo dáte důvěru nesprávné firmě,“ varoval Petr Žikeš. Nejdůležitější je, aby společnost, jejíž pomoc si firmy zvolí, měla přesah do více oblastí GDPR – kybernetické bezpečnosti, IT, práva atd. Jen tak bude společnost schopna provést je všemi důležitými kroky GDPR.
Společnosti čekají případně i sankce
Pakliže jakákoliv společnost bude ustavičně porušovat nebo nedodržovat zavedená nařízení, pak jí bude hrozit vysoká pokuta, která může být pro společnost i likvidační.
GDPR bere situaci okolo osobních údajů velmi vážně. Z toho důvodu výše jednotlivých pokut je i několikanásobně vyšší, než na jaké byly firmy doposud zvyklé. Maximální výše pokuty byla stanovena na 20 000 000 eur, nebo 4 % z celkového ročního obratu společnosti. Vždy bude platit vyšší z obou možností.