Co můžeme očekávat od GDPR a kdy začne platit?
Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation) je nová legislativa, která začne platit od 25. května 2018. Cílem je zvýšit ochranu osobních dat občanů/spotřebitelů, zvednout úroveň tuzemského podnikatelského prostředí prostřednictvím zodpovědného zacházení s osobními údaji.
Je však pravdou, že na straně firem či subjektů veřejné správy se GDPR odrazí ve zvýšené administrativní zátěži. Ochrana osobních údajů není novým tématem, v současné době ji upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů, nicméně je třeba upozornit, že GDPR přináší nové povinnosti. Mohu uvést např. zpřesnění souhlasu se zpracováním osobních údajů, pro některé subjekty zavádí povinnost jmenovat pověřence na ochranu osobních údajů (DPO – Data Protection Officer), dále je nezbytné vést záznamy o činnostech zpracování či při rizikových zpracováních bude povinností provést předchozí posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment) s možností využití konzultace s Úřadem pro ochranu osobních údajů.
Speciálně upozorňuji na povinnost ohlásit nejpozději do 72 hodin porušení ochrany dat Úřadu pro ochranu osobních údajů a bezodkladně také fyzické osobě, které se osobní data týkají.
Kdo je v ČR zodpovědný za legislativu týkající se GDPR a v jaké fázi se nachází připravovaný nový zákon ke zpracování osobních údajů?
Oblast ochrany osobních údajů je v kompetenci Ministerstva vnitra ČR, kontrolní funkce je svěřena Úřadu pro ochranu osobních údajů. Aktuálně probíhá meziresortní připomínkové řízení, v rámci kterého mají možnost jak úřady státní správy, tak podnikatelské svazy a odbory vyjádřit svá stanoviska k připravovanému zákonu. Tuto možnost využilo i MPO.
Jaké tedy MPO uplatnilo připomínky?
Měli jsme několik zásadních připomínek, které byly předkladatelem – Ministerstvem vnitra – akceptovány. Požadovali jsme např. lépe kvantifikovat administrativní a finanční zátěž na podnikatele či jasné stanovisko, zda nedošlo k tzv. gold-platingu, tedy neodůvodněnému přidávání povinností nad stanovený rámec EU.
Musí mít každý podnikatelský subjekt pověřence GDPR, a jaké sankce hrozí podnikatelům?
Nemusí. Paradoxně se celá debata v České republice vede o tom, že každý musí mít pověřence. Povinnost zřídit tuto funkci bude mít subjekt, který pracuje s rozsáhlou databází osobních údajů a systematicky tyto údaje zpracovává. Je nutné upozornit, že pověřenec nebude tvořit systém ochrany osobních údajů daného podnikatelského subjektu, ale bude jej dozorovat. Pověřenec může být zaměstnanec firmy, tato funkce může být ale zabezpečena i externě.
V každém případě má celkovou zodpovědnost za ochranu osobních údajů daný podnikatelský subjekt. Pokud se firmy či subjekty veřejné správy nepřizpůsobí novým pravidlům zpracování dat obsaženým v GDPR, hrozí jim pokuty až do výše 20 milionů Euro nebo do výše 4 % jejich ročního obratu při mimořádně významném porušení.
MPO je zodpovědné za podnikatelské prostředí, připravili jste nějaká podpůrná opatření pro podnikatele?
Předně, GDPR považujeme za legislativu se značným dopadem na každého podnikatele, zejména pak na mikropodniky a živnostníky. Proto jsme se v minulých měsících zaměřili na přípravu a implementaci opatření zacílených na intenzivnější přenos informací směrem k podnikatelům. Tato opatření jsme prodiskutovali s podnikatelskými svazy a asociacemi. Již nyní mohu říct, že se velmi úspěšně rozvíjí spolupráce MPO se Svazem průmyslu a dopravy ČR, Asociací malých a středních podniků a živnostníků ČR či Hospodářskou komorou ČR při podpoře osvěty na seminářích a konferencích.
V současné době ještě připravujeme poskytování informací o GDPR regionálními kancelářemi Agentury pro podporu podnikání a investic CzechInvest. Podnikatelé tedy dostanou základní informace o GDPR přímo v regionech, za což bych chtěl vedení Agentury CzechInvest poděkovat.
Jaká práva mají subjekty údajů? A jaké povinnosti mají správci a zpracovatelé?
Tyto subjekty údajů, kupř. spotřebitelé mají právo na informace, na přístup, na opravu, na výmaz, na omezení zpracování, na přenositelnost a také právo vznést námitku. Mezi základní povinnosti správců a zpracovatelů patří vedení záznamů o činnostech zpracování, které musí být dostupné na vyžádání dozorovému úřadu, malé a střední podniky do 250 zaměstnanců jsou ovšem z této povinnost vyňaty. Dále jde o povinnost zajistit odpovídající zabezpečení osobních údajů, rovněž povinnost ohlašovat bezpečnostní incidenty bez zbytečného odkladu do již zmíněných 72 hodin a v neposlední řadě povinnost provést posouzení vlivu na ochranu osobních údajů.
Co lze doporučit firmám?
V současné době má veřejnost z GDPR většinou strach, neboť nemá dostatek informací. Obavy vyplývají také z případných vysokých pokut. Firmám lze doporučit vypracování systémové analýzy, tzn. je třeba si zodpovědět otázky, jaké osobní údaje shromažďuji, kdo k nim má přístup, jak kontroluji oprávnění, jak likviduji-skartuji osobní údaje, pro které již nemám žádný účel, abych je shromažďoval, a zdali je bezpečnost na takové úrovni, aby byly osobní údaje, datové systémy dostatečně chráněny proti zneužití.
GDPR bude každopádně dopadat na všechny podnikatelské subjekty včetně drobných živnostníků. Povinnosti z GDPR pro jednotlivé podnikatele se neodvíjejí od velikosti podnikatelského subjektu, ale od činnosti, kterou podnikatel provádí, a od množství citlivých dat, která k tomu shromažďuje.
Chtěl bych zmínit, že poradenství a pomoc pro podnikatele nabízejí také podnikatelské svazy, rozvojové agentury a komory. Velká většina služeb, které jsme s těmito hospodářskými partnery diskutovali, je poskytována zcela zdarma, a jsou tedy připraveni pomoci.
Více informací k GDPR ZDE.
Psali jsme:
Komerční zpráva
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Barbora Richterová
