GDPR je nejkomplexnějším souborem pravidel na ochranu dat na světě a týká se každého subjektu, který shromažďuje nebo zpracovává osobní údaje občanů EU, bez ohledu na jeho geografickou lokalitu. Jednoduše řečeno: Nařízení se dotkne prakticky každého, ať už firmy nebo jednotlivce, kdo zpracovává osobní údaje svých zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit metodiku zpracovávání osobních údajů. V případě porušení nařízení budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační.
Proč musí mít Evropa nové nařízení?
Legislativa EU, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá. V roce 1995, kdy začala platit současná směrnice na ochranu osobních údajů, neexistovaly sociální sítě, cloudová úložiště a řada dalších fenoménů dnešní doby. Zajímavostí je fakt, že nové nařízení začne být účinné až v roce 2018 a už nyní víme, že bude zaostávat za technologickým vývojem téměř o pět let, neboť nestačí držet krok s takovými jevy, jako jsou Internet of Things, další rozmach sociálních sítí, Big Data či BYOD (z anglického Bring Your Own Device – praxe, kdy si zaměstnanci nosí do práce vlastní technologická zařízení).
Jedním z dalších důvodů prosazení GDPR bylo odhalení Edwarda Snowdena o aktivitách tajných služeb USA, které ve velkém schraňovaly údaje o občanech EU.
S ohledem na rozdíly vnímání osobní svobody a odpovědnosti jednotlivce mezi Evropou a USA, je zřejmé, že se začínají objevovat i kritické hlasy na adresu nových unijních pravidel. Podle kritiků je evropská představa o nutnosti chránit občany před riziky digitálního prostředí ve srovnání se světem značně přehnaná a pro firmy, kterých se bude týkat, může znamenat zásadní konkurenční nevýhodu oproti všem, kteří tato pravidla nemají stejná.
Na druhou stranu si dovolím tvrdit, že nové nařízení přes všechny kritizované skutečnosti vnáší do oblasti ochrany dat nový rozměr a hlavně posiluje její společenskou důležitost, kterou si přes někdy až lehkovážné chování jak samotných nositelů dat, tak i jejich správců či zpracovatelů, ani neuvědomujeme. Poskytovat svá data se stalo už téměř automatickým zvykem, ať při vyplňování přihlašovacích údajů na internetu při nakupování či sdělováním údajů o svých platebních kartách nebo osobních dokladech. Aniž bychom si to uvědomovali, tak právě námi poskytnutá data jsou tím, o co mají všichni kolem nás obrovský zájem právě z důvodu jejich někdy až nevyčíslitelné obchodní nebo společenské hodnoty. Možná právě uvědomění si hodnoty svých dat a potřeby je mnohem více chránit před jakýmkoliv zneužitím stálo za rozhodnutím evropských institucí přijmout opatření, která mají znovu obnovit důvěru nositelů osobních údajů vůči institucím a obchodním společnostem, které po našich datech z různých, a ne pouze komerčních důvodů, tolik touží.
Osobní data na jednu stranu tvoří nedílnou součást naší osobní integrity a na druhou představují pro velkou škálu subjektů až strategicky významnou komoditu. Z těchto, v podstatě proti sobě jdoucích zájmů vyplývá povinnost nastolit mezi nimi jistou rovnováhu, a o to se GDPR právě pokouší.
Co je GDPR a jak bude aplikováno v ČR
Obecné nařízení na ochranu osobních údajů začne v celé EU platit v květnu 2018, a v ČR tak nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES a vzhledem k jeho přímé aplikovatelnosti rovněž i zákon č. 101/2000 Sb. Fakt, že nová pravidla byla přijata formou „nařízení“, s sebou nese nejpodstatnější efekt v tom, že budou platit ve všech státech EU jednotně a konzistentně bez možnosti národních vlád a zákonodárců je jakkoliv „ohnout“ či jinak přizpůsobit svým nebo různým lobbistickým potřebám, jak se stává v případech běžných směrnic. Nařízení s sebou přinese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzivnější spolupráci dozorových orgánů.
Právě čas od letošního dubna do května 2018 je jakýmsi přechodným obdobím, během něhož musí u všech, kterých se nařízení týká, dojít k zásadní revizi interních systémů a způsobu nakládání s osobními údaji. Aby to nebylo tak jednoduché, budou GDPR podléhat i společnosti mimo EU, které zpracovávají osobní údaje residentů EU v souvislosti s nabídkou zboží nebo služeb.
Dosud byl v oblasti ochrany údajů hlavním národním regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ). Podle posledních informací by měl v této funkci zůstat i nadále, nicméně s řadou upravených pravomocí, které budou odrážet vážnost celé reformy a zároveň jeho podřízenost novému celoevropskému orgánu European Data Protection Board (EDPB). Pokud nastane jakákoliv pochybnost o adekvátnosti rozhodnutí místního regulátora, vždy zde bude existovat možnost obrátit se na EDPB s žádostí o přezkoumání rozhodnutí. S ohledem na současný stav vymahatelnosti práv našich občanů u jakékoliv místní instituce to může přinést jen pozitivní dopad na zvýšenou důvěru v činnost odpovědných institucí, alespoň v oblasti ochrany osobních údajů.
Co se změní?
Nařízení GDPR přináší celou řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Zásadně se mění pojetí souhlasu ke zpracování osobních údajů. Stejně jako dosud musí být souhlas svobodný, určitý, informovaný a jednoznačný. Nově však bude muset být žádost o souhlas formulována tak, aby jí bylo jasně porozuměno. Souhlas se zpracováním osobních údajů bude muset být v případě uzavírání smlouvy oddělen tak, aby bylo jasné, že není bezpodmínečně nutný k uzavření dané smlouvy.
S GDPR dochází také k rozšíření pojmu „osobní údaj“, kam spadají i „technické“ údaje typu e-mailová adresa, IP adresa, soubory cookie. Nově je zavedena` klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim.
Naprosto novým elementem je „právo být zapomenut“, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. Značná pozornost je také věnována právu na přenositelnost údajů.
Největším strašákem se pro mnohé stane oznamovací povinnost v případě porušení zabezpečení. Mělo by se tedy stát minulostí, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se stalo nedávno například v případě společnosti Yahoo. Nově bude muset zpracovatel ohlásit ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset informovat i osoby/subjekty, kterých se únik týkal.
První kroky k zavedení GDPR
Implementace principu GDPR je zcela zásadní pro další bezproblémové fungování všech, kteří zpracovávají osobní údaje. Sankce, které hrozí v případě nedodržení nové legislativy, by mohly být až likvidační. Pokuta se může vyšplhat k 20 milionům eur, případně až ke čtyřem procentům celosvětového obratu společnosti za předchozí finanční rok.
Každá organizace, která zpracovává jakékoliv osobní údaje, tak nyní stojí před otázkami: Co dál? Jak postupovat? Čím začít? Prvním krokem by měla být důkladná analýza aktuálního stavu, která se bude skládat z několika dílčích fází. Ty odhalí, proč a jaká data zpracováváme a zda je to opravdu potřebujeme. Dále je zapotřebí odkrýt, podle jakých pravidel a jak s daty nakládáme, kam je ukládáme, zda o tom subjekty dostatečně informujeme. Rozhodně je na místě zhodnotit výhody a nevýhody zpracování všech dat a zvážit minimalizaci ukládaných údajů. A neméně podstatným krokem je položeni si otázky, zdali máme nám svěřená data dostatečně chráněna jak před vnějším, tak před vnitřním zneužitím. K tomuto procesu je ideální přizvat zkušeného partnera, který provede komplexní datovou analýzu a následně doporučí technické, právní a organizační opatření, která zajistí plnou kompatibilitu a soulad s novými pravidly plynoucími z GDPR.
Aktuální informace ohledně nařízení je možné čerpat také na doméně www.gdpr.cz, která se tomuto tématu podrobně věnuje.
