Jakákoliv informace obecně je aktivum. Osobní údaje jsou aktivem každé fyzické osoby. Proto stojí za ochranu zrovna tak, jako si chráníme svůj byt nebo automobil. Z tohoto pohledu je Nařízení EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů jistě chvályhodný počin. Ovšem je potřeba, aby organizacím přešla do krve i etika ochrany osobních údajů zrovna tak, jako dnes už většině organizací přešla do krve péče o ochranu životního prostředí nebo obecně společenská odpovědnost (Corporate Social Responsibility).
Ve své knize Data Ethics: The New Competitive Advantage (Etika informací: Nová konkurenční výhoda) píší autoři Gry Hasselbalch a Pernille Tranberg následující: „Společnosti, které v dnešní době „velkých dat“, ctí etické zásady, dělají pro ochranu osobních údajů víc než jen to, že jsou v souladu s platnou legislativou. Ctí ducha a vizi platné legislativy, bedlivě naslouchají svým zákazníkům a implementují věrohodnou a transparentní politiku pro management osobních údajů. Zpracovávají pouze nezbytně nutný rozsah osobních údajů a vyvíjejí takovou podnikovou kulturu a organizační struktury, které zaručují důvěrnost informací. Některé společnosti vyvíjejí a navrhují nové produkty a služby od počátku tak, aby svou vnitřní strukturou ctily principy ochrany osobních údajů (Privacy by Design).“
Podívejme se však na některé principy a zásady Nařízení EU 2016/679 (obecné nařízení o ochraně osobních údajů), tak jak je vykládá český Úřad pro Ochranu osobních údajů, které dle mého názoru snižují hodnověrnost Nařízení EU 2016/679 v očích podnikatelů a snižují vůli podnikatelů, společností a organizací ztotožnit se s ním. (Pokoušel jsem se získat výklad přímo od institucí EU, byl jsem však odkázán na český ÚOOÚ.)
V Nařízení EU 2016/679 se několikrát uvádí, že má být brán zvláštní zřetel na MSP 1). A sice v preambuli Nařízení EU 2016/679 v odstavcích (13), (98), (132) a (167) a v článku 30 odstavec 5. a v článcích 40 a 42 v odstavci 1.
V článku 30 odstavci 5. se celkem logicky uvádí: „Povinnosti uvedené v odstavcích 1 a 2 (povinnost vést záznamy o činnostech zpracování; pozn. autora) se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, …“
Tento článek je uzamčen
Článek mohou odemknout uživatelé s odpovídajícím placeným předplatným, nebo přihlášení uživatelé za Prémiové body PLPřidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: PV
