Plánované zavedení nového nařízení o ochraně osobních údajů (GDPR) představuje pro firmy i podnikatele velkého strašáka. Začne platit od května příštího roku a přinese velmi tvrdé pokuty pro všechny podniky, které zajistí nedostatečnou ochranu osobních údajů svých zákazníků, ale i zaměstnanců.
Protože se kolem této výrazné změny vyrojila řada spekulací a omylů, přinášíme pět největších mýtů, na které by firmy a podnikatelé neměli v příštích týdnech a měsících naletět.
Firmy by rozhodně neměly přípravu podcenit, protože sankce za porušení těchto předpisů budou velmi přísné. Tvrdě opatření dopadne především na živnostníky a malé podniky, které nemají často potřebné administrativní kapacity pro přípravu všech nutných kroků.
1. Času je dost
Poradenské firmy se ve své praxi často setkávají s přístupem, že s přípravou na GDPR není kam spěchat. Některé firmy dokonce odkládají první kroky až na jaro příštího roku. „Datum 25. května 2018 znamená pro všechny správce a zpracovatele osobních údajů ostrý provoz a nutnost dostát všem požadavkům stanoveným GDPR. Nebude už žádné další přechodné období pro přípravu,“ varuje Stanislav Klika z auditorské a poradenské společnosti BDO. Je proto třeba co nejdříve začít s analýzou připravenosti a opatření nezbytná pro dosažení souladu s novým nařízením, respektive náklady na tato opatření, zohlednit v rozpočtu na rok 2018.
2. GDPR je směrnice, závazný bude teprve nový zákon o ochraně osobních údajů
Dosavadní právní úprava ochrany osobních údajů vychází ze směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Česká republika implementovala směrnici zákonem č. 101/2000 Sb., o ochraně osobních údajů. „Nový předpis – GDPR - je však nařízení Evropské unie, které je závazné přímo pro fyzické a právnické osoby“, říká Stanislav Klika. Novela zákona o ochraně osobních údajů, případně nový zákon, bude upravovat některé dílčí otázky ochrany osobních údajů na národní úrovni. Například působnost a organizaci Úřadu pro ochranu osobních údajů. Těžiště právní úpravy však bude v GDPR.
3. Šifrování je povinné
GDPR stanoví, že správce a zpracovatel jsou povinni přijmout technická a organizační opatření pro zajištění bezpečnosti zpracovávaných osobních údajů. Tato opatření je nutné navrhnout tak, aby byla úměrná rizikům pro subjekty údajů plynoucích ze zpracování těchto údajů. GDPR doporučuje použití šifrování osobních údajů jako jedno z možných, ale nikoliv bezpodmínečně nutných bezpečnostních opatření. „Vždy bude záležet na významnosti identifikovaných rizik, stavu techniky a povaze, kontextu a účelům zpracování osobních údajů. Rozhodnutí, jakými prostředky zajistit bezpečnost osobních údajů, je primárně na správci a zpracovateli,“ podotýká Stanislav Klika.
4. Lze si vybrat, jaké povinnosti stanovené GDPR plnit
GDPR je založena na dvou základních principech: na principu odpovědnosti a přístupu založeném na riziku. Princip odpovědnosti spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Princip založený na riziku znamená, že správce musí od počátku zpracování brát v potaz rizika pro práva a svobody subjektů údajů, která s tímto zpracováním souvisí.
V užším smyslu je aplikace některých povinností stanovených GDPR podmíněna existencí rizika, případně vysokého rizika. Oba principy se uplatní současně.
„Setkali jsme se však také s názory, že si správce může vybrat, kterým principem se bude řídit. Pokud si, podle těchto názorů, zvolí ‚princip odpovědnosti‘, musí dodržet všechny povinnosti stanovené GDPR. Pokud si zvolí ‚přístup založený na riziku‘, uplatní se pouze některé povinnosti stanovené GDPR, avšak s vyšším rizikem postihu v případě narušení ochrany osobních údajů. Tyto názory samozřejmě nemají oporu v GDPR a správcům a zpracovatelům osobních údajů nedoporučujeme se jimi řídit,“ říká Stanislav Klika.
5. GDPR rozšiřuje definici osobního údaje
Nejčastěji se toto tvrzení objevuje v podobě, že osobními údaji byly až dosud pouze údaje identifikační, popřípadě přímo identifikující subjekt údajů. Již rozsudek Soudního dvora Evropské unie však konstatoval, že osobním údajem může být například i dynamická IP adresa. „Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů,“ upozorňuje Tomáš Paták z tiskového odboru Úřadu na ochranu osobních údajů.