Už se to blíží. Od konce května budou muset všechny firmy splňovat požadavky, které přináší nové evropské nařízení o ochraně osobních údajů, tzv. General Data Protection Regulation, známé pod zkratkou GDPR.
GDPR je novou legislativou Evropské unie, jejímž záměrem je přispět k vyšší ochraně osobních dat občanů. Zároveň ale klade vysoké nároky na instituce, firmy, podnikatele, včetně OSVČ, jak musí tato data chránit. Co to v reálu obnáší?
Obsah článku
Je na místě panika?
GDPR nařízení vstoupí v účinnost 25. května tohoto roku, tedy za necelé dva měsíce. Přitom v některých oblastech chybí jasná pravidla, jak mají být instrukce GDPR vykládány. Subjekty, kterých se nařízení bude přímo týkat, se tak v současné době mnohdy vyskytují ve vzduchoprázdnu. Nařízení mezi zúčastněnými proto spíše vyvolává paniku, a to především pro velmi vysoké sankce, které za jeho nedodržení hrozí. Ty se mohou vyšplhat až k neuvěřitelným dvaceti milionům eur, nebo až do výše čtyř procent ročního obratu. Takové částky by pro většinu podnikatelů znamenaly jediné – konec podnikání. Jak tomu zabránit?
Obraťte se na odborníky
Jistým světýlkem na konci tunelu jsou přibývající vodítka (závazné výklady) evropského a českého úřadu pro ochranu osobních údajů a rovněž návrh novely zákona, která má evropská pravidla pro ochranu osobních dat upřesnit v českém prostředí. Tu ovšem český parlament nestihne přijmout. Většina firem si tak pokládá otázku, co s tím. My jednoznačně doporučujeme obrátit se na odborníky, kteří se v oboru pohybují a GDPR mají v malíčku. Firmu na novou normu připraví a vy tak budete moci klidně spát. Pojďme si ale osvětlit, co GDPR vůbec je a k čemu bude sloužit.
Co je GDPR?
Ačkoliv se používá i označení GDPR směrnice, přesný název je Obecné nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Dle jeho autorů se má jednat o nejvíce ucelený soubor pravidel ochrany dat na světě, což samo o sobě už vzhledem k poměrně častým únikům dat ze sociálních médií a jejich následnému zneužití zní jako dobrá myšlenka. Realita, alespoň ve formě, ve které byla podnikatelům v Česku přednesena, ale už děsí. Nařízení se totiž týká ohromného počtu podnikatelů – firem, institucí, ale i jednotlivců, které nějakým způsobem nakládají s osobními daty, ať již svých zaměstnanců, dodavatelů či klientů. Ti všichni budou nuceni svůj nevyhovující způsob zpracování osobních údajů upravit. Pokud tak neučiní, vystavují se výše zmíněným sankcím. Pokud se jim chtějí vyhnout, musí zrevidovat své informační systémy a postupy, jak s osobními údaji nakládají. Situace zcela jistě zpřehlední tzv. rozšířený datový GDPR audit vzor, který v krátkém čase do května 2018 usnadní další kroky.
Proč Evropa potřebuje lepší ochranu dat?
Současná aféra týkající se zneužití dat milionů uživatelů Facebooku je jedním z příkladů. Je otázkou, zda její načasování je náhodné, ale to rozebírat nebudeme. Hlavním důvodem je skutečnost, že evropská legislativa je v tomto směru zastaralá a už vůbec nepočítá s nástrahami internetu, kterých přibývá závratnou rychlostí. Úmluva o ochraně osob se zřetelem na automatizované zpracování dat byla přijata před 36 lety, což je, vezmeme-li v potaz rychlost, jakou se vyvíjejí technologie, opravdu dlouhá doba. Odborníci se shodují, že technologický pokrok už teď má minimálně pětiletý náskok.
GDPR je tu pro vás
Jasná pravidla ochrany bylo také nutné stanovit s ohledem na různé vnímání pojmu svoboda jednotlivce napříč jednotlivými zeměmi. Osobní data jsou součástí naší osobní identity a jako taková mají pro mnoho subjektů velkou cenu. My sami jsme význam osobních dat až doposud spíše podceňovali. Data mnohdy rozdáváme komukoliv, kdo o ně požádá. Jen si sami vzpomeňte, kolikrát jste i při nákupu zboží pro denní potřebu vyplňovali formuláře se všemi vašimi údaji. A obdrželi jste za ně maximálně slevovou kartičku. O dalším osudu svých dat a obchodování s nimi nemáte nejmenší tušení. A to se GDPR snaží změnit.