Ochrana osobních údajů se stala důležitou pro celou Evropskou unii. Proto 25. května 2018 vstupila v účinnost Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dle jen GDPR).
Obecné nařízení předpokládá navazující vnitrostátní úpravu zákonem. Ten však v České republice neexistuje. Ve lhůtě dvou let vláda mohla zákon navrhnout a zpřesnit výklad zákona a tím zjednodušit život takřka všem právnickým osobám, které GDPR ve stejné lhůtě implementovaly. Tuto šanci vláda nevyužila, návrh zákona vláda schválila až letos a ten je teprve nyní projednáván poslaneckou sněmovnou. Opozice chce dosáhnout dočasného snížení sankcí.
Vzbudit démona Evropské unie a „jejich“ nařízení (se kterými máme společné jen to, že se ČR účastní jejich projednávání a hlasuje o nich) je jednodušší než třikrát vyslovit Brusel. S ochranou osobních dat (dále GDPR) to bylo podobné. Navíc na vzbuzení strachu bylo dost času, protože byla stanovena dvouletá lhůta od přijetí nařízení po jeho účinnost. A není náhodou, že nejčastěji se hovořilo a hovoří o drakonických sankcích dosahujících milionů korun.
To mělo za následek na jedné straně to, že podnikatelé, kteří do té doby ignorovali náš zákon o ochraně osobních údajů, začali brát tuto problematiku vážně, na straně druhé se objevilo množství velmi dobře naceněných nabídek, které prodávaly „řešení GDPR“.
Paradoxně se GDPR vyplatilo těm poctivým. Těm, kteří ve svém podnikání neignorovali zákon o osobních údajích. Jejich adaptace na narození GDPR bude vlastně poměrně jednoduchá. Z principu se totiž k datům svých zaměstnanců a klientů chovají odpovědné již nyní.
Problémy s GDPR
Problém je, že kolem GDPR vznikla celá řada zmatků, které dovedly některé k názoru, že musí přestat podnikat, nebo zaplatit desítky tisíc specializované právní kanceláři. Jiní zase hledali někoho nebo něco, aby to „byrokratické nařízení EU“ nemuseli vůbec řešit a měli papír, že „to“ mají v pohodě. Jiní, podobně odpovědní podnikatele jim s radostí nabízeli školení a razítka i s certifikáty, jejichž hodnota se rovná hodnotě pylu na parapetů okna kanceláře. Přitom GDPR nemá podnikání zkomplikovat, jen má narovnat práci s osobními daty, ke kterým se dnes neoprávněně přistupuje jako k bezplatným.
Jiné firmy se pustily do svědomitě přípravy. Jmenovaly odpovědného zaměstnance, toho vybavily sérii školení, aby jim po jejich absolvování vysvětlil, že nesmí dělat nic, pokud na to nemají souhlas, a ten souhlas mít nemůžou, protože se na něj nemůžou ptát lidí bez souhlasu. V této fázi řada dosud proevropsky smýšlejících podnikatelů a živnostníků mohla začít zvažovat míru své podpory společné Evropě. Samozřejmě zbytečně.
Situace se začala měnit vlastně až v březnu 2018. Na internetu se objevila celá řada rozumně koncipovaných návodů. A některé z nich jsou dokonce zdarma. Objevilo se také větší množství expertů a vyšší procento těch, kteří dali slyšet, že se GDPR dá zvládnout i bez milionových investic. Ti nejaktivnější dokonce začali publikovat, že GDPR je příležitostí pro firmy a jejich procesní a bezpečnostní audit. A mají pravdu. Optimisté tvrdí, že takové přednastavení procesu ve firmě je očišťující. Může vést k omezení zbytečné byrokracie a zjednoduší dost věcí. Třeba i to, že se skartují papíry, které jsou nadbytečné.
Co je GDPR?
Předně GDPR je o nastavení procesů, pro které je důležité držet se principů, které GDPR zavádí. Proto primárně GDPR řeší experti na zavádění norem ve firmách, právníci jsou potřeba jen tam, kde je to účelné. GDPR je souhrn pravidel, podle kterých byste měli upravit své chování a procesy ve firmě s respektem k osobním datům a k tomu, že nejste ani FBI, ani BIS, abyste na své klienty nebo zaměstnance věděli všechno nebo si alespoň všechno uchovávali. A v horším případě i prodávali dál.
A logicky, protože se mění nástroje i samotné procesy, není nastavení GDPR jednorázovou akcí. Minimálně jednou do roka byste si měli udělat audit s přihlédnutím k novým skutečnostem a vyhodnotit si, zda nepotřebujete změnu. S tím souvisí i to, že jsme se v Evropské unii domluvili na tom, že pravidla budou stejná pro všechny země (nikdo nemá žádnou výhodu a naopak), takže od 25. května můžeme očekávat začátek seriálu výkladů vyhodnocování jednotlivých částí, protože není nic živějšího než technologie a není nic pomalejšího než legislativní změny.
Mimochodem, celý ten zmatek a debata kolem výkladu nařízení GDPR pramení ze dvou věcí: neexistuje transpoziční český zákon, který by nařízení zpřesnil, protože evidentně vládě byly dva roky málo a evropské nařízení obsahuje tzv. recitály, tedy něco, co je u nás asi nejblíže důvodové zprávě k zákonu. A tyhle recitály obsahují podmiňovací způsob, což je voda na mlýn na právní výklady.
Principy GDPR
Transparentnost a zákonnost – prostě řekněte, na co ta data potřebujete a na jak dlouho je budete mít. Data zpracováváte na základě právního důvodu, musí být jasný účel a ten účel musí být legální. Jedním z právních důvodů je souhlas, který může být kdykoliv odvolán.
Bezpečnost – data budete mít zabezpečena. Nebudou se válet po stole, ale hlavně nebudou „někde na webu“ nejlépe v podobě excelovské tabulky bez hesla.
Minimalizace údajů a doba jejich uchování – shromažďovat jen co je nutné a na dobu nezbytně nutnou.
Držte se principů.
Jak na GDPR?
Přestože je GDPR vpravdě novou věcí, která je skutečně revolucí, není třeba mít obavy. Měníme princip: místo „rakouských“ přesných pravidel proces založený na hodnocení rizika. Začněte u toho, že si uvědomíte, jak data, která používáte, vznikají. Jak s nimi pracujete, proč je vlastně chcete mít a jak je ukládáte a likvidujete. Nezapomínejte, že osobni data se týkají fyzických, a ne právnických osob. Nepočítejte ale s tím, že byste GDPR dali v jedné pauze místo oběda. Prostě to není věc na pět minut. Pokud byste měli pocit, že se ztrácíte, dejte si poradit. Vězte ale, že vy jako správce osobních údajů máte vlastní odpovědnost, kterou na nikoho nepřevedete. Buďte poctiví k sobě i k datům lidí, kteří vám je svěřili. Firmy, které budou poctivé a upřímné ve svém přístupu, na GDPR ve finále vydělají.
Závěry
• Předně GDPR je o nastavení procesů, pro které je důležité držet se principů, které GDPR zavádí. Proto primárně GDPR řeší experti na zavádění norem ve firmách, právníci jsou potřeba jen tam, kde je to účelné.
• GDPR je příležitostí pro firmy a jejich procesní a bezpečnostní audit. Může vést k omezení zbytečné byrokracie a zjednoduší dost věcí.
• Správce osobních údajů má vlastní odpovědnost, kterou na nikoho nepřevedete.
• Není třeba mít obavy. Začněte u toho, že si uvědomíte, jak data, která používáte, vznikají. Jak s nimi pracujete, proč je vlastně chcete mít a jak je ukládáte a likvidujete. Držte se principů GDPR – zejména transparentnosti, bezpečnosti a zákonnosti. A ukládejte jen nezbytné údaje.
Autor: Jaroslav Poláček, analytik TOPAZ
Článek byl publikován také na: http://forum24.cz/vydesit-a-vyfakturovat-prochazi-ochrana-osobnich-dat-revolucni-zmenou/
text si můžete stáhnout také zde: http://www.top-az.eu/files/downloads/vydesit-a-vyfakturovat.pdf