Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

Očima expertů: GDPR nahání strach

Z Obecného nařízení o ochraně osobních údajů (GDPR) se stal strašák podnikatelů. Je důvod k obavám? Na co by si měly firmy dát největší pozor? A jaké mýty se v souvislosti s tímto opatřením nejčastěji šíří?

„Už jste to slyšeli? Blíží se revoluce v oblasti zpracovávání osobních údajů. Podnikatelům budou hrozit likvidační pokuty, které můžou dosahovat astronomické výše. Další nesmyslný výmysl byrokratů z Bruselu je tady!“ Některá média informují o evropské směrnici na ochranu osobních údajů s velkou hysterií. Podle odborníků přitom není důvod k panice, pokud firmy nebudou GDPR zcela ignorovat. Navíc platí, že pokud podnikající subjekt splňoval aktuální legislativní předpisy, nemusí se toho pro něj 25. května, kdy vstoupí GDPR v účinnost, zas tolik změnit.

Základní rada by proto mohla znít: nenechávejte vše na poslední chvíli. Právě to by totiž mohla být největší komplikace. Například podle průzkumů společností O₂ a Bureau Veritas dosud v souvislosti s GDPR nepodnikla žádné kroky víc než polovina firem, kterých se nařízení týká. Nové nařízení o ochraně osobních údajů musí řešit například e-shopy, hotely, cestovní kanceláře, ale i sdružení vlastníků bytových jednotek. Závěr května tak může být pro řadu subjektů celkem krušný. 

Co si o GDPR myslí advokáti, ekonomové, tvůrci legislativy a zástupci podnikatelů? Na co by si podle nich měli dávat podnikatelé a firmy největší pozor? A jaké mýty se v souvislosti s GDPR (ať už v médiích nebo mezi samotnými podnikateli) nejčastěji šíří?

Viktor Dušek

advokát, KPMG Legal

Viktor Dušek
+20
+
-

Pominul bych ty nejrozšířenější mýty, například že GDPR je revolucí v oblasti ochrany osobních údajů, že pokuty budou likvidační nebo že nová úprava bude platit později, protože se do května 2018 nestihne přijmout český adaptační zákon. Rád bych ale mírnil určité zděšení, se kterým se v praxi často setkáváme.

Slýcháme například, že je potřeba do května 2018 dosáhnout stoprocentní míry souladu s GDPR. To není úplně pravda, stoprocentní souladnost totiž neexistuje nebo je neúměrně drahá. Je proto nutné zdůraznit zásadu přiměřenosti, která se objevuje na několika místech GDPR.

Doporučuji proto pragmatický a metodický přístup k implementaci nařízení, aby nebyla zbytečně drahá, dala se efektivně řídit a do května 2018 jste stihli vyřešit skutečně to, co je z pohledu ochrany soukromí a osobních údajů nejzásadnější. Současně platí, že funkční procesní nebo metodické řešení je často jednodušší a levnější než robustní IT řešení. Už dnes vidíme, že řada organizací má naplánovanou implementaci do druhé poloviny roku 2018 a zásahy do IT ještě později. I to je v pořádku, pokud by okamžité zásahy byly neúměrně náročné nebo nákladné.

Ondřej Profant

poslanec za Piráty, šéf podvýboru pro e-government

Ondřej Profant
-12
+
-

Na příchod GDPR by se měly připravit zejména firmy, které ve velkém zpracovávají osobní údaje. To znamená například operátoři, poskytovatelé internetového připojení nebo agentury zaměřující se na shromažďování a vyhodnocování velkého množství dat. Ke každé agendě je při jejím vyhodnocování nutno přistupovat v daném kontextu. To znamená hlavně zpracovávat jen to, co je opravdu třeba k uváděné činnosti. V opačném případě mít zajištěn souhlas (či zákonný důvod).

GDPR nebude mít prakticky žádný dopad na drobné firmy a živnostníky, kteří osobní údaje shromažďují zpravidla jen pro uzavření smlouvy s klienty a pro fakturaci svých objednávek. Na dodavatele nábytku nebo instalatéra, kteří shromažďují osobní údaje čistě jen pro účely komunikace se svými zákazníky, tak určitě nedopadá například povinnost mít svého pověřence pro ochranu osobních údajů nebo riziko vysokých pokut za porušení GDPR. Ve vládním návrhu nového implementačního zákona je dokonce i možnost pokutu zcela odpustit, pokud jde o drobné pochybení.

Pavlína Žáková

ekonomická poradkyně Zastoupení Evropské komise v ČR

Pavlína Žáková
-2
+
-

Nejvíc se rozšířil mýtus, že GDPR představuje zásadní revoluci v ochraně osobních údajů. Není to tak. Velká část pravidel už je obsažena ve stávající české legislativě, konkrétně v zákoně 101/2000 Sb., o ochraně osobních údajů. Pokud tedy firma tento zákon už teď dodržuje, s velkou pravděpodobností bude i v souladu s GDPR.

Jiným z mýtů je, že s přípravou na GDPR je lepší počkat, až bude schválen český adaptační zákon. V případě GDPR se nejedná o směrnici, nýbrž o nařízení. Jako takové se začne aplikovat 25. 5. 2018 ve všech členských státech, a to i v případě, že Česká republika nestihne svůj vlastní adaptační zákon schválit. S přípravou tedy nečekejte!

Není možné si koupit řešení na klíč. Každá firma má vzhledem k GDPR jiné potřeby. Nezáleží přitom na velikosti firmy, ale povaze její činnosti. I malá digitální firma, která systematicky zpracovává údaje, bude muset zavést přísnější opatření. Výjimky z GDPR se vztahují pouze na firmy s méně než 250 zaměstnanci, u nichž zpracování není pravidelnou činností, a nepracují s citlivými osobními údaji. Tyto firmy nemusejí vést evidenci o zpracování ani jmenovat pověřence pro ochranu osobních údajů.

Ondřej Preuss

advokát, zakladatel DostupnyAdvokat.cz

Ondřej Preuss
0
+
-

Nový právní rámec na ochranu osobních údajů vznikl s cílem maximálně hájit práva obyvatel Evropské unie proti neoprávněnému zacházení s jejich osobními údaji. V praxi jde však spíš o sjednocení a prohloubení stávající úpravy. Navíc česká úprava byla vždy přísnější než průměr Unie, takže nejde o revoluci. Podnikatelé by si nicméně měli dát dobrý pozor na úpravu svých obchodních podmínek, měli by vytvořit alespoň základní vnitřní směrnici, jak s daty zacházet, a také přehledně své klienty informovat nejen o nových právech dle GDPR, jako je třeba právo na zapomenutí či přenositelnost údajů. Novou úpravu totiž může zneužít konkurence ke konkrétním udáním.

Mýtem je naopak to, že by už nebylo vůbec možné bez nového výslovného souhlasu podle GDPR rozesílat marketingová sdělní na dlouhodobě pracně vytvořené databáze klientů. Podmínky lze upravit tak, že to bude možné. Mýtem je samozřejmě i samotná revoluční povaha nové úpravy, která, jak je uvedeno výše, pouze prohlubuje současný právní stav.

Miroslav Kvapil

senior manager BDO Advisory

Miroslav Kvapil
-1
+
-

Zavedení principů GDPR se navzdory časté představě firem netýká jen bezpečnostních nebo IT oddělení, ale všech zaměstnanců, kteří by mohli přijít do styku s osobními údaji. Většina z nich totiž nějaké osobní údaje zpracovává, včetně těch v papírové podobě. Před stanovením doporučení pro implementaci GDPR je proto nutné zmapovat aktuální stav ochrany osobních údajů ve firmě. To se ale neobejde bez přesných vstupních dat.

Nové směrnice zároveň nemusejí vyžadovat složitější procesy než doposud. Při řádné evidenci údajů stačí pro jakýkoliv úkon pouze několik kliknutí. Subjekty, které jsou v souladu se zákonem o ochraně osobních údajů, už navíc většinu náležitostí budou splňovat. Častým mýtem je také to, že osobní údaje lze ošetřit generálním souhlasem nebo souhlasy navíc. Souhlas ale musí být vyjádřen vždy jednoznačně a za konkrétním účelem. Pověřenec dokonce může být zaměstnancem společnosti, musí však být nezávislý a splňovat kvalifikační předpoklady.

Zdeněk Tomíček

místopředseda Asociace malých a středních podniků a živnostníků ČR

Zdeněk Tomíček
+3
+
-

Pokud jsou podnikatelé s implementací na začátku, nejdůležitější je vnitřní analýza procesů. Samozřejmě pomáhají právníci, popřípadě IT specialisté, nicméně hlavní práce zůstává na podnikateli. On musí vědět, které osobní údaje zpracovává, z jakého titulu, k čemu je potřebuje, kde je uchovává, kdo k nim má přístup atd. To je zpravidla nejtěžší část, protože podnikatelé mají v této oblasti mnohdy značný nepořádek.

Anketa

Která odpověď se vám líbí?

Malé firmě většinou postačí, když se zaměří na to, jestli osobní údaje zpracovává po celou dobu na základě oprávněného podkladu, subjekt údajů je vždy řádně informován o zpracování a údaje jsou v bezpečí.

Asociace malých a středních podniků a živnostníků spustila portál GDPR bez obav, kde jsou praktické informace pro podnikatele, jak k GDPR přistoupit. Základním pravidlem bezpochyby je, že GDPR nelze přehlížet a je třeba začít alespoň ty nejdůležitější opatření v jeho smyslu přijímat. I z hlediska případného správního řízení je vždy lepší být „na dobré cestě“ ke správnému nastavení než se tvářit, že GDPR neexistuje.

Za největší mýty lze považovat tvrzení, že přináší zcela nové zásady pro zpracování osobních údajů a ukládání pokut bude likvidační s ohledem na jejich možnou výši. Základní zásady totiž zůstávají v podstatě stejné, pouze většina společností nezpracovávala osobní údaje v souladu se stávající právní úpravou, a proto je nařízení GDPR tak obávané. Na ukládání pokut se pak vztahují právní zásady pro správní řízení, a i u nás převládají právní závěry, že nelze ukládat likvidační pokuty, a naopak je nutné vždy přihlédnout k osobním a majetkovým poměrům daného subjektu.

Finmag na jaro

Přemek Forejt: Parádu vykouzlíte i z lowcostu. Z flákače se špatnými známkami jedním z nejlepších šéfkuchařů. Za hvězdou české gastronomie musíte do Olomouce.


Jak umlčet média. Fake news, poplašné e-maily, útoky politiků na novináře a média. Rozhovor s ředitelem Nadačního fondu nezávislé žurnalistiky Josefem Šlerkou.


Pomůžu ti zažít slast. Lidé s postižením taky potřebují sex, někdy ale nemají jak své potřeby naplnit. Pomáhají jim profesionální sexuální asistentky.

Ondřej Tůma

Ondřej Tůma

Vystudoval žurnalistiku na Fakultě sociálních věd Univerzity Karlovy. Studoval také na Fakultě humanitních studií v Praze a na Goethe-Universität ve Frankfurtu nad Mohanem. Má za sebou stáže v Českém rozhlase a Lidových novinách.... Více o autorovi.

Komentáře

Celkem 9 komentářů v diskuzi

Příspěvek s nejvíce kladnými hlasy

Richard Malaschitz | 13. 4. 2018 10:09

Nemali by ste zavádzať a zlahčovať situáciu. Úradník môže prísť, skontrolovať a dať vysokú pokutu. Má tu moc - aj keď podľa zákona môže pokutu nedať, tak mu zákon ale aj umožňuje pokutu dať a úradníci to často robia za úplne malé prehrešky (napríklad, že na bločku z pokladne nie je čas s presnosťou na sekundy a pod.). Aj drobný živnostník (kaderník, zubár, eShop) spracováva osobné údaje (telefónne čísla, adresy), môže si evidovať ďalšie osobné dáta (vlasy, zuby, ...), niekedy poskytuje tieto dáta iným firmám (eShop posiela údaje prepravnej firme, zubár posiela údaje do laboratória) a v zmysle GDPR by mal mať minimálne zmluvu s týmito ďalšími firmami o spravovaní týchto údajov. Štát sa správa často ako zákerný nepriateľ podnikateľov, ktorý číha na ich chyby. A GDPR mu dáva do rúk obrovskú zbraň.

+20
+
-

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.

OK