Právo 

GDPR: Právníkova zpráva o stavu nařízení o ochraně osobních údajů

Pokud se v posledních několika měsících pohybujete v byznysu nebo veřejné správě, tato zkratka na vás utočí ze všech stran. Zásadní otázka ale zní: Blíží se opravdu konec světa? Skončí ochrana osobních údajů v podobě, v jaké ji známe? Přichází revoluce? Asi vás zklamu. Ne tak úplně, protože vše je třeba brát s chladnou hlavou a tam, kde ostatní vidí rizika a nebezpečí, hledat spíše příležitost.

Než si dovolím poskytnout zprávu o stavu, kterou slibuje titulek, nejprve pro osvěžení několik časových údajů a čísel právních předpisů.

GDPR, neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bylo přijato 27. dubna 2016 a bude účinné od 25. května 2018. Nařízení bude přímo aplikovatelné na území Evropské unie bez nutnosti provedení zákonem v jednotlivých státech.

Nová „stojednička“ nastupuje
Nicméně v srpnu 2017 byl zveřejněn návrh českého zákona o zpracování osobních údajů z dílny Ministerstva vnitra, který byl připraven ve spolupráci s Úřadem pro ochranu osobních údajů (ÚOOÚ) a má nahradit stávající zákon č. 101/2000 Sb. Návrh zákona se snaží neduplikovat jednotlivé články GDPR, ale upravuje vesměs ty instituty, kde byla členským státům dána možnost vlastního uvážení při volbě vhodné právní úpravy.

Jaká je v kontextu GDPR současná situace na trhu? Základní zjišťovací dotazy mohou být:

  • Jsou již všichni na novou úpravu připraveni?
  • Je připravena alespoň většina?
  • Je vůbec někdo připraven?
  • Není už dokonce pozdě na to, se připravit?

Možná vás překvapí, že odpověď je ve všech případech NE. Ale popořadě. Na jakoukoli novou úpravu nejsou nikdy připraveni všichni.

Nesmyslné vyčkávání

  • Není připravena ani většina subjektů, kterým GDPR ukládá povinnosti. Pokud byste byli banka, jiná finanční instituce, mobilní operátor nebo přední výrobní společnost, případně jiná robustní organizace, ve které se zpracovává velký objem osobních údajů, určitě u vás běží alespoň v nějaké fázi projekt na GDPR. Z řady publikovaných průzkumů ale vyplývá, že většina ostatních stále vyčkává, případně žije v domnění, že není nutné cokoli dělat.
  • Otázka, zda je vůbec někdo připraven, je mírně záludná. Zaprvé účinnost GDPR nastane letos v květnu. V současnosti tedy stále neexistuje povinnost, být s nařízením v souladu. Zadruhé v tuto chvíli není známa (a v květnu 2018 ani nebude) výkladová praxe vztahující se k GDPR. Tzn. jak k praktické aplikaci GDPR přistoupí jednotlivé orgány. Pokud tedy někdo deklaruje, že je, nebo v květnu 2018 bude, ZCELA V SOULADU S GDPR, jedná se o situaci, kdy je přání  otcem myšlenky.
  • Konečně asi nejdůležitější je informace, zda už není pozdě něco dělat, pokud zatím nebylo v oblasti GDPR učiněno nic. Taktika strkání hlavy do písku není ta nejvhodnější. Navíc některá porušení GDPR budou tak očividná (např. obsah webových stránek), že je ÚOOÚ bude schopen odhalit automatizovaně. Zároveň lze i předpokládat, že pokud na vás dolehne kontrola Úřadu a bude zjištěno porušení GDPR, bude vám pravděpodobně přičteno k dobru, pokud Úřad bude schopen dohledat, že jste danou problematiku alespoň začali řešit.

Odpověď na poslední výše uvedenou otázku tedy zní – nejenom, že v tuto chvíli není pozdě. Ono vlastně nikdy nebude pozdě se (alespoň zkusit) připravit. Je třeba si jen zvolit správné řešení. V tuto chvíli některé firmy potřebují řešení GDPR za pár desítek tisíc korun, jiné za pár desítek milionů. Poměrně důležité je, aby se tyto dvě kategorie vzájemně neprohodily. Úplná detektivní práce

 

Ochrana osobních údajů (GDPR)

Čtěte dále

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right