Nebojte se GDPR
S blížící se účinností nového nařízení EU týkající se ochrany osobních údajů (tzv. GDPR) se s informacemi o něm doslova „roztrhl pytel“. To má však za následek i to, že řada těchto informací je přinejmenším zavádějící. Pojďme se teď společně na některé z nich podívat a řekněme si, co je na nich pravdivé a co ne.
Informace: GDPR znamená naprostou revoluci v oblasti ochrany osobních údajů.
Pravda: V souvislosti s GDPR je vhodnější mluvit spíše o evoluci než o revoluci. Na rozdíl od současné právní úpravy dle zákona o ochraně osobních údajů se totiž GDPR snaží více reagovat na vývoj v oblasti moderních technologií. Cílem GDPR je také co nejvíce sjednotit ochranu osobních údajů po celé Evropské unii. Navíc změn, které GDPR přináší a jsou výrazné, není mnoho.
Informace: GDPR není nijak přínosné, znamená jenom zvýšení nákladů a byrokracie.
Pravda: S tímto tvrzením se můžeme setkat velice často a je nesmírně zavádějící. Hlavním účelem GDPR je ochrana fyzických osob (subjektů údajů). Ačkoliv si to možná ani neuvědomujeme, obrovská spousta osobních údajů nás všech je každý den zpracovávána množstvím společností a může být snadno zneužita.
Ať už mluvíme např. o souborech cookies (které monitorují náš pohyb na webových stránkách) nebo o kamerových systémech (které monitorují náš pohyb v obchodech nebo v kancelářích), stále dochází k získávání našich osobních údajů. Nad všemi těmito osobními údaji bychom měli mít kontrolu. S tím souvisí právo na informace o zpracování, právo na podání námitky a v neposlední řadě také právo na výmaz osobních údajů. To vše nám GDPR garantuje.
To, že GDPR znamená zvýšení nákladů pro firmy je spíše důsledkem toho, že většina společností ochranu osobních údajů doposud podceňovala.
Informace: Úřady budou za každé porušení ochrany osobních údajů ukládat pokuty v řádech desítek milionů eur.
Pravda: I podle dnešní právní úpravy má Úřad pro ochranu osobních údajů pravomoc ukládat pokuty až do výše 10.000.000 Kč. Nejvyšší pokuta, kterou tento Úřad udělil, však nedosahovala ani do poloviny této výše.
Výše pokut dle GDPR má mít spíše odrazující účinek a cílí primárně na velké firmy, jako jsou banky, pojišťovny, marketingové agentury nebo poskytovatelé informačních služeb (jako např. sociální sítě), které denně nakládají s osobními údaji statisíců lidí. Předpokládáme, že u menších podnikatelů, u kterých není zpracování osobních údajů tak rozsáhlé (a v takovém množství), se výše udělovaných pokut nijak výrazně nezmění. Pokuta navíc není jedinou sankcí, kterou může Úřad udělit (může např. upozornit na porušování GDPR nebo udělit napomenutí).
Informace: Každý správce osobních údajů musí jmenovat pověřence pro ochranu osobních údajů.
Pravda: Osoba pověřence je novinkou v oblasti ochrany osobních údajů, ale to rozhodně neznamená, že se dotkne všech správců. Běžný e-shopař či jiný menší podnikatel s největší pravděpodobností nebude muset pověřence jmenovat. Tato povinnost se týká primárně úřadů, škol či společností, které zpracovávají tzv. citlivé údaje (jako je rasa nebo politické přesvědčení) nebo které rozsáhle monitorují subjekty údajů (jako např. již zmíněné marketingové agentury). GDPR navíc umožňuje, aby více správců „sdílelo“ jednoho pověřence, což by mohlo pomoci snížit náklady.
A na koho se můžete obrátit, pokud vám něco není jasné? Napište nám a my vám rádi poradíme se v právní úpravě zorientovat. Doporučujeme vám také sledovat stránky Úřadu pro ochranu osobních údajů, který zveřejňuje stanoviska k různým otázkám z oblasti ochrany osobních údajů.