Omyl první: GDPR přeci neplatí přímo, čekáme na český zákon
Jak vyplývá již ze samotného názvu General Data Protection Regulation, GDPR je nařízením, tedy „evropským zákonem“, který platí pro všechny členské země EU, a tedy i pro ČR, přímo a nevyžaduje nutně novou národní legislativu.
Pokud by s ním však byly stávající národní předpisy v rozporu, automaticky pozbývají platnosti dnem zahájení účinnosti nařízení. Na nový zákon o zpracování osobních údajů tedy není nutné čekat, GDPR se aplikuje přímo.
Národní legislativa může obsahovat jisté variace, zpřísnění nebo změkčení nařízení v některých ohledech. Zákon o zpracování osobních údajů však těchto možností převážně nevyužívá, převzala nařízení tak, jak je. Jednou z mála výjimek je zúžení vymezení „veřejné instituce“, kterou GDPR definuje.
Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy
Podle českého práva by to pak měla být taková organizace, která je zřízena zákonem a současně vykonává veřejnou moc – tedy autoritativně rozhoduje o právech a povinnostech občanů. To je důležité pro odlišení pozice správců údajů, kteří mají nebo nemají povinnost jmenovat pověřence.
Omyl druhý: GDPR mi vůbec nic dobrého nepřinese, je to jen zátěž a nový evropský výmysl
Ano, splnění GDPR je administrativně náročné. Ano, každou firmu zcela jistě bude stát nějaké peníze a úsilí, aby se s touto novou legislativou seznámila a uvedla ji do praxe. Ano, přijímáním podobných předpisů Evropská unie popírá sama sebe, když na jedné straně už několik let vehementně snižuje administrativní zátěž firem a na straně druhé ji přidává obdobnými předpisy.
GDPR platí nejen pro firmy, ale i pro všechny veřejné instituce, a tedy i pro stát, samosprávy, orgány státní a veřejné moci.
Ale slyšeli jste někdy o tom, jak Velký bratr sleduje občany v Číně nebo jiných třetích zemích? Co vše o nich shromažďuje, jak s informacemi nakládá a jak jich využívá pro profilování a třídění občanů a firem? Nic z toho by se v EU nikdy nemohlo stát, dokud je zde pevná právní regulace v oblasti ochrany soukromí a osobních údajů.
GDPR platí nejen pro firmy, ale i pro všechny veřejné instituce, a tedy i pro stát, samosprávy, orgány státní a veřejné moci. Jedinou výjimku mají orgány činné v trestním řízení, ale i ty musejí potřebu získávání informací vždy pečlivě odůvodňovat a vázat na probíhající vyšetřování trestných činů. Pokud tu evropská regulace ochrany osobních dat bude, nemůže se legálně stát, že o Vás nebo o Vaší firmě bude někdo jiný shromažďovat a zpracovávat více informací, než nezbytně potřebuje k naplnění své povinnosti, smlouvy, ochraně svých oprávněných zájmů nebo ochraně Vašeho života a zdraví. GDPR má tedy mimo zátěž, kterou s sebou přináší, i své světlé stránky.
Omyl třetí: GDPR je úplná revoluce v práci s osobními údaji, musíme vše zbourat a začít znovu
Věděli jste, že už od roku 1995 v EU platila směrnice o ochraně osobních údajů? A to, že máme v Česku od roku 2000 zákon o ochraně osobních údajů, pro Vás také není novinkou, viďte? A znáte obsah tohoto zákona a všechna práva subjektů a povinnosti správců, které z něj vyplývají?
Pokud jste na všechny otázky odpověděli kladně, jistě pro Vás nebude novinkou, že například právo na výmaz údajů by již v praxi Vaší firmy mělo fungovat téměř dvacet let. Zásada omezeného uchování osobních dat zakotvená v zákoně č. 101/2000 Sb. ho už totiž obsahuje. Měli byste také být připraveni na poskytování všech údajů o tom, jaká data o konkrétní osobě zpracováváte.
A v neposlední řadě byste měli vědět, jak pracovat s obchodními sděleními, a koupené a převzaté databáze kontaktů by pro Vás měly být tabu. Pokud jste doposud ochranu údajů u Vás ve firmě nepodceňovali, GDPR pro Vás bude jen několika kroky navíc směrem k lepšímu zabezpečení osobních dat a eliminaci rizik, která při nakládání s nimi vznikají. Praxe v českých firmách je však často zcela opačná – doposud ochranu dat svých zaměstnanců a klientů vůbec neřešily, a GDPR je tedy pro ně šokem a studenou sprchou.
Jak tyto omyly řešit v praxi
Osobní údaje jako správci zpracovávají všechny firmy – všechny totiž mají zaměstnance, klienty, zákazníky, partnery, kteří jsou fyzickými osobami, a tedy nositeli (subjekty) osobních údajů, jejichž práva mají být chráněna.
Neberte GDPR jen jako nutné zlo, ale i jako příležitost, jak si v datech (a to nejen osobních) ve Vaší firmě udělat pořádek a zavést třeba i nový systém pro jejich získávání, správu, uchovávání a zabezpečení.
Sebekriticky se podívejte, nakolik Vaše firma doposud brala vážně povinnosti vyplývající z dosud platného zákona o ochraně osobních údajů a identifikujte si úzká místa, u nichž byste rychle měli začít se změnami, které povedou k lepšímu zabezpečení osobních dat. Odpovědi na nejožehavější otázky Vám dají snad i další články o GDPR, které pro Vás připravujeme.
Související články
Redakčně upraveno