Jak se vás dotkne GDPR?

GDPR (General Data Protection Regulation) je zkratkou pro obecné nařízení o ochraně osobních údajů. Účinnost nabude 25. 5. 2018 a výrazně zvýší ochranu osobních údajů všech občanů Evropské unie, Norska, Islandu a Lichtenštejnska.

Připravili jsme si pro vás na dané aktuální téma rozhovor z „první ruky“. Na naše otázky ohledně GDPR odpověděl doc. Ing. Josef Kokeš, CSc. ze společnosti GDPR Systems, s.r.o., který se v současnosti zaměřuje na GDPR a přípravu DPO (Data Protection Officer – pověřenec pro ochranu osobních údajů).

Nařízení o ochraně osobních údajů se dotkne úplně každého

1. GDPR nabude účinnosti 25. 5. 2018. Jak bude probíhat aplikace v ČR?

​Aplikace bude probíhat tak trochu "po česku". Výklady GDPR se již objevují i od českého ÚOOÚ a do budoucna bude mít význam hlavně výklad Soudního dvora EU, protože nařízení potřebuje vykládat stejně v rámci celé Evropy. To ale neznamená, že byste měli aplikaci GDPR ignorovat - spíše je to výzva, zkusit se rozhlédnout po někom, kdo to umí.

2. Dotýká se nařízení všech subjektů, které pracují s osobními údaji nebo jsou i určité výjimky? Jaké povinnosti jim přibydou?

Z působnosti GDPR jsou vyňaty soudy a orgány činné v trestním řízení, naopak pod něj spadá veškerá veřejná správa, zdravotnictví, a také všichni, kdo nějakým způsobem podnikají. Dotýká se úplně každého: pro fyzické osoby přináší spíše práva, do podnikání přivádí dost obtížně splnitelné povinnosti.

Navenek to může vypadat tak, že fyzické osoby získávají 6 práv:

• právo na přístup a opravu
• právo vznést námitku proti zpracování údajů
• právo na omezení údajů
• právo na výmaz údajů
• právo nebýt předmětem automatizovaného rozhodování
• právo na přenositelnost

Správci údajů dostávají tomu odpovídající povinnosti, jenomže ono to není tak jednoduché. Ten, kdo spravuje něčí údaje, je vůbec nebude smět ani sbírat a uchovávat, pokud k tomu nemá legální důvod.

Takže nadále už nepůjde vést si třeba katalog potenciálních zákazníků, které jsme si našli na internetu. Představa, že si z internetu stáhnete několik formulářů, vyplníte si je a tím budete v souladu s GDPR, není jenom naivní – je přímo nebezpečná!

3. Co by se díky novým povinnostem o ochraně osobních údajů mělo "ve světě" změnit?

Teoreticky by lidé měli být lépe chráněni před:

• ​všemi druhy obtěžování
• marketingovými telefonáty
• nevyžádanými sděleními

Také by měli být chráněni před závažnějšími druhy útoků, např. před​ krádeží celé identity.

Je řada firem, kterým emailem posíláte kopii svého občanského průkazu a pasu, namátkou mne napadají třeba cestovní kanceláře. A teď si představte, že by se tyhle doklady dostaly do nepovolaných rukou. Dva doklady stačí, aby se útočník vydával za vás a vybral vám účet, případně ještě přidal hezkou hypotéku na váš byt. Samozřejmě to poběžíte ohlásit na PČR, která starý občanský průkaz zablokuje - a od té chvíle jste skončili úplně. Na náhradní doklad vám banka nový účet neotevře. Karta nefunguje. Auto řídit nemůžete. Zámečník vám neotevře dveře do bytu, lékař vás neošetří. Před tímhle hororem byste teoreticky měli být trochu chránění.

K GDPR přistupujte se selským rozumem

4. Máte nějakou univerzální radu pro subjekty, které si na změny budou zvykat? Dá se správná ochrana citlivých dat shrnout do několika vět?

Nenechte se vyděsit marketingovým strašením a vždycky ke všemu přistupujte s chladným "selským" rozumem.

Celé GDPR si můžete zjednodušeně představit jako jakousi obdobu Bezpečnosti a ochrany zdraví při práci (tzv. BOZP).​ Tak, jako bezpečnostní referent prochází pracoviště a hledá potenciálně nebezpečná místa, tak pověřenec pro ochranu osobních údajů hledá místa, kde je riziko úniku osobních údajů. Jako zaměstnanci podstupují bezpečnostní školení a testy BOZP, tak budou muset podstupovat školení a testy z hlediska ochrany osobních údajů. Jako se všechny úrazy musí hlásit, tak se i veškeré bezpečnostní incidenty budou muset hlásit Úřadu pro ochranu osobních údajů.

5. Jaké sankce hrozí při porušení nebo ignoraci GDPR?

​Na GDPR nejvíc přitahují pozornost ty hrozné pokuty až 20 miliónů EUR, i víc.​ Nebo 10 miliónů EUR, když se incident nenahlásí do 72 hodin. To je mediální klenot, o kterém se dobře píše, s mrazením v zádech přemýšlí a dobře nadává v hospodě u piva.

Skutečnost je trochu jiná. Dobře to vystihuje scénka z mé oblíbené knížky, ve které hrdina říká svému příteli právníkovi: "Když budeš svým klientům vykládat, co všechno nesmějí, tak umřeš hladem. Oni to dobře vědí sami. Tvým úkolem je pro ně vymyslet, jak mají udělat to, co chtějí, přestože se to obecně nesmí." Jinými slovy - nic se nejí tak horké, jak se to uvařilo, ale je potřeba vědět, jak na to.

Při výpočtu sankcí se, samozřejmě, zvažují závažnosti porušení. Snaha o nápravu a okamžité ohlášení mají důležitý úkol jako polehčující okolnosti.

Na naše otázky odpovídal pan doc. Ing. Josef Kokeš, CSc. ze společnosti GDPR Systems, s.r.o. My za rozhovor děkujeme a věříme, že byl přínosný i pro vás.