Očima expertů: GDPR nahání strach

Ondřej Tůma | rubrika: Očima expertů | 13. 4. 2018 | 5 komentářů
Z Obecného nařízení o ochraně osobních údajů (GDPR) se stal strašák podnikatelů. Je důvod k obavám? Na co by si měly firmy dát největší pozor? A jaké mýty se v souvislosti s tímto opatřením nejčastěji šíří?
Očima expertů: GDPR nahání strach

Zdroj: Shutterstock

„Už jste to slyšeli? Blíží se revoluce v oblasti zpracovávání osobních údajů. Podnikatelům budou hrozit likvidační pokuty, které můžou dosahovat astronomické výše. Další nesmyslný výmysl byrokratů z Bruselu je tady!“ Některá média informují o evropské směrnici na ochranu osobních údajů s velkou hysterií. Podle odborníků přitom není důvod k panice, pokud firmy nebudou GDPR zcela ignorovat. Navíc platí, že pokud podnikající subjekt splňoval aktuální legislativní předpisy, nemusí se toho pro něj 25. května, kdy vstoupí GDPR v účinnost, zas tolik změnit.

Základní rada by proto mohla znít: nenechávejte vše na poslední chvíli. Právě to by totiž mohla být největší komplikace. Například podle průzkumů společností O₂ a Bureau Veritas dosud v souvislosti s GDPR nepodnikla žádné kroky víc než polovina firem, kterých se nařízení týká. Nové nařízení o ochraně osobních údajů musí řešit například e-shopy, hotely, cestovní kanceláře, ale i sdružení vlastníků bytových jednotek. Závěr května tak může být pro řadu subjektů celkem krušný. 

Co si o GDPR myslí advokáti, ekonomové, tvůrci legislativy a zástupci podnikatelů? Na co by si podle nich měli dávat podnikatelé a firmy největší pozor? A jaké mýty se v souvislosti s GDPR (ať už v médiích nebo mezi samotnými podnikateli) nejčastěji šíří?

Viktor Dušek

advokát, KPMG Legal

Viktor Dušek
+5
+
-

Pominul bych ty nejrozšířenější mýty, například že GDPR je revolucí v oblasti ochrany osobních údajů, že pokuty budou likvidační nebo že nová úprava bude platit později, protože se do května 2018 nestihne přijmout český adaptační zákon. Rád bych ale mírnil určité zděšení, se kterým se v praxi často setkáváme.

Slýcháme například, že je potřeba do května 2018 dosáhnout stoprocentní míry souladu s GDPR. To není úplně pravda, stoprocentní souladnost totiž neexistuje nebo je neúměrně drahá. Je proto nutné zdůraznit zásadu přiměřenosti, která se objevuje na několika místech GDPR.

Doporučuji proto pragmatický a metodický přístup k implementaci nařízení, aby nebyla zbytečně drahá, dala se efektivně řídit a do května 2018 jste stihli vyřešit skutečně to, co je z pohledu ochrany soukromí a osobních údajů nejzásadnější. Současně platí, že funkční procesní nebo metodické řešení je často jednodušší a levnější než robustní IT řešení. Už dnes vidíme, že řada organizací má naplánovanou implementaci do druhé poloviny roku 2018 a zásahy do IT ještě později. I to je v pořádku, pokud by okamžité zásahy byly neúměrně náročné nebo nákladné.

Ondřej Profant

poslanec za Piráty, šéf podvýboru pro e-government

Ondřej Profant
+7
+
-

Na příchod GDPR by se měly připravit zejména firmy, které ve velkém zpracovávají osobní údaje. To znamená například operátoři, poskytovatelé internetového připojení nebo agentury zaměřující se na shromažďování a vyhodnocování velkého množství dat. Ke každé agendě je při jejím vyhodnocování nutno přistupovat v daném kontextu. To znamená hlavně zpracovávat jen to, co je opravdu třeba k uváděné činnosti. V opačném případě mít zajištěn souhlas (či zákonný důvod).

GDPR nebude mít prakticky žádný dopad na drobné firmy a živnostníky, kteří osobní údaje shromažďují zpravidla jen pro uzavření smlouvy s klienty a pro fakturaci svých objednávek. Na dodavatele nábytku nebo instalatéra, kteří shromažďují osobní údaje čistě jen pro účely komunikace se svými zákazníky, tak určitě nedopadá například povinnost mít svého pověřence pro ochranu osobních údajů nebo riziko vysokých pokut za porušení GDPR. Ve vládním návrhu nového implementačního zákona je dokonce i možnost pokutu zcela odpustit, pokud jde o drobné pochybení.

Pavlína Žáková

ekonomická poradkyně Zastoupení Evropské komise v ČR

Pavlína Žáková
+7
+
-

Nejvíc se rozšířil mýtus, že GDPR představuje zásadní revoluci v ochraně osobních údajů. Není to tak. Velká část pravidel už je obsažena ve stávající české legislativě, konkrétně v zákoně 101/2000 Sb., o ochraně osobních údajů. Pokud tedy firma tento zákon už teď dodržuje, s velkou pravděpodobností bude i v souladu s GDPR.

Jiným z mýtů je, že s přípravou na GDPR je lepší počkat, až bude schválen český adaptační zákon. V případě GDPR se nejedná o směrnici, nýbrž o nařízení. Jako takové se začne aplikovat 25. 5. 2018 ve všech členských státech, a to i v případě, že Česká republika nestihne svůj vlastní adaptační zákon schválit. S přípravou tedy nečekejte!

Není možné si koupit řešení na klíč. Každá firma má vzhledem k GDPR jiné potřeby. Nezáleží přitom na velikosti firmy, ale povaze její činnosti. I malá digitální firma, která systematicky zpracovává údaje, bude muset zavést přísnější opatření. Výjimky z GDPR se vztahují pouze na firmy s méně než 250 zaměstnanci, u nichž zpracování není pravidelnou činností, a nepracují s citlivými osobními údaji. Tyto firmy nemusejí vést evidenci o zpracování ani jmenovat pověřence pro ochranu osobních údajů.

Ondřej Preuss

advokát, zakladatel DostupnyAdvokat.cz

Ondřej Preuss
+8
+
-

Nový právní rámec na ochranu osobních údajů vznikl s cílem maximálně hájit práva obyvatel Evropské unie proti neoprávněnému zacházení s jejich osobními údaji. V praxi jde však spíš o sjednocení a prohloubení stávající úpravy. Navíc česká úprava byla vždy přísnější než průměr Unie, takže nejde o revoluci. Podnikatelé by si nicméně měli dát dobrý pozor na úpravu svých obchodních podmínek, měli by vytvořit alespoň základní vnitřní směrnici, jak s daty zacházet, a také přehledně své klienty informovat nejen o nových právech dle GDPR, jako je třeba právo na zapomenutí či přenositelnost údajů. Novou úpravu totiž může zneužít konkurence ke konkrétním udáním.

Mýtem je naopak to, že by už nebylo vůbec možné bez nového výslovného souhlasu podle GDPR rozesílat marketingová sdělní na dlouhodobě pracně vytvořené databáze klientů. Podmínky lze upravit tak, že to bude možné. Mýtem je samozřejmě i samotná revoluční povaha nové úpravy, která, jak je uvedeno výše, pouze prohlubuje současný právní stav.

Miroslav Kvapil

senior manager BDO Advisory

Miroslav Kvapil
+18
+
-

Zavedení principů GDPR se navzdory časté představě firem netýká jen bezpečnostních nebo IT oddělení, ale všech zaměstnanců, kteří by mohli přijít do styku s osobními údaji. Většina z nich totiž nějaké osobní údaje zpracovává, včetně těch v papírové podobě. Před stanovením doporučení pro implementaci GDPR je proto nutné zmapovat aktuální stav ochrany osobních údajů ve firmě. To se ale neobejde bez přesných vstupních dat.

Nové směrnice zároveň nemusejí vyžadovat složitější procesy než doposud. Při řádné evidenci údajů stačí pro jakýkoliv úkon pouze několik kliknutí. Subjekty, které jsou v souladu se zákonem o ochraně osobních údajů, už navíc většinu náležitostí budou splňovat. Častým mýtem je také to, že osobní údaje lze ošetřit generálním souhlasem nebo souhlasy navíc. Souhlas ale musí být vyjádřen vždy jednoznačně a za konkrétním účelem. Pověřenec dokonce může být zaměstnancem společnosti, musí však být nezávislý a splňovat kvalifikační předpoklady.

Zdeněk Tomíček

místopředseda Asociace malých a středních podniků a živnostníků ČR

Zdeněk Tomíček
+11
+
-

Pokud jsou podnikatelé s implementací na začátku, nejdůležitější je vnitřní analýza procesů. Samozřejmě pomáhají právníci, popřípadě IT specialisté, nicméně hlavní práce zůstává na podnikateli. On musí vědět, které osobní údaje zpracovává, z jakého titulu, k čemu je potřebuje, kde je uchovává, kdo k nim má přístup atd. To je zpravidla nejtěžší část, protože podnikatelé mají v této oblasti mnohdy značný nepořádek.

Anketa

Která odpověď se vám líbí?

Malé firmě většinou postačí, když se zaměří na to, jestli osobní údaje zpracovává po celou dobu na základě oprávněného podkladu, subjekt údajů je vždy řádně informován o zpracování a údaje jsou v bezpečí.

Asociace malých a středních podniků a živnostníků spustila portál GDPR bez obav, kde jsou praktické informace pro podnikatele, jak k GDPR přistoupit. Základním pravidlem bezpochyby je, že GDPR nelze přehlížet a je třeba začít alespoň ty nejdůležitější opatření v jeho smyslu přijímat. I z hlediska případného správního řízení je vždy lepší být „na dobré cestě“ ke správnému nastavení než se tvářit, že GDPR neexistuje.

Za největší mýty lze považovat tvrzení, že přináší zcela nové zásady pro zpracování osobních údajů a ukládání pokut bude likvidační s ohledem na jejich možnou výši. Základní zásady totiž zůstávají v podstatě stejné, pouze většina společností nezpracovávala osobní údaje v souladu se stávající právní úpravou, a proto je nařízení GDPR tak obávané. Na ukládání pokut se pak vztahují právní zásady pro správní řízení, a i u nás převládají právní závěry, že nelze ukládat likvidační pokuty, a naopak je nutné vždy přihlédnout k osobním a majetkovým poměrům daného subjektu.

PODZIMNÍ FINMAG JE TADY. NA CO SE MŮŽETE TĚŠIT?

Finmag předplatnéZdroj: Finmag

„Jsme dostupný luxus a lidé chtějí nějakou radost. Když už nemohou hýřit, tak aspoň budou mít na stole dobré pití,“ řekl Jiřímu Nádobovi šéf Mattoni 1873 Alessandro Pasquale.

FIN V kanceláři šéfa Impact Hubu • Jakub Žofčák o byznysových souvislostech etikety • Robert Vlach o rozdílu mezi freelancery a zaměstnanci • Elonova obrana „čisté“ Tesly střílí vedle. • Mnohé firmy čekají problémy spojené s insolvencí a možná i trestní odpovědností. Jak se mají chovat?

MAG Tomáš Eckschlager a Lukáš Drásta zrekonstruovali bývalý klášter a vybudovali atypický domov pro seniory • Klára Moldová oživila historickou školu T. G. Masaryka • New York: hlavní město světa, nebo samozvaný král sebestředných sociopatů? • Conversky nosí hvězdy popkultury, to je ale až jejich druhý život

Sdílejte článek, než ho smažem

Líbil se vám článek?

+10
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 5 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

13. 4. 2018 17:01, Ramesse II.

No zatím jako občan tuto bruselskou šaškárnu odnáším tím, že stále někam běhám po bankách a pojišťovnách podepisovat něco, co jsem už jednou podepsal při podpisu smlouvy, jen asi v trochu jiné podobě (což je jedno, když banka nebo pojišťovna nebude mít moje údaje, asi těžko uzavře smlouvu s anonymem).

Takže řádově 20 hodin ztraceného času pro nic a za nic, jen že nějací ko*oti v Bruselu potřebují zdůvodnit svojí existenci a svoje platy a tak vymyslí nějakou pakárnu na lidi, aby ukázali, kdo vydává příkazy a kdo podle nich musí skákat.

+6
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

16. 4. 2018 7:30, Mirek

Musíte vylézt z lesa, josefe:-)))

Zobrazit celé vlákno

-5
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem příspěvků.

A tohle už jste četli?

EET definitivně končí. Nevrátí se ani jako dobrovolná

25. 11. 2022 | Petr Kučera | 1 komentář

EET definitivně končí. Nevrátí se ani jako dobrovolná

Podnikatelé se už nebudou muset znovu zapojit do elektronické evidence tržeb (EET), jejímž původním cílem bylo omezit daňové úniky. Definitivní zrušení této povinnosti dnes potvrdili... celý článek

Mateřská a rodičovská pro OSVČ v roce 2023. Kdo má nárok a jak se počítá

20. 11. 2022 | Jiří Hovorka

Mateřská a rodičovská pro OSVČ v roce 2023. Kdo má nárok a jak se počítá

Kdy má podnikatelka nárok na mateřskou a jak je to s čerpáním rodičovského příspěvku? Poradíme. Máme i kalkulačky.

Sociální pojištění OSVČ 2023. Minimální zálohy a pravidla

15. 11. 2022 | Jiří Hovorka

Sociální pojištění OSVČ 2023. Minimální zálohy a pravidla

Jak se platí zálohy na důchodové pojištění podnikatelů? Kolik dělá nemocenské pojištění? A co se mění pro rok 2023? Tady je přehled.

Zdravotní pojištění OSVČ 2023. Minimální zálohy a pravidla

15. 11. 2022 | Jiří Hovorka

Zdravotní pojištění OSVČ 2023. Minimální zálohy a pravidla

Novou výši minimální zálohy musí podnikatelé zaslat na účet zdravotní pojišťovny nejpozději do osmého února.

E-shopy čekají změny. Nová pravidla poznáte už brzo

7. 11. 2022 | Petr Kučera

E-shopy čekají změny. Nová pravidla poznáte už brzo

Provozovatelé e-shopů dostanou nechtěnou vánoční nadílku. Novela, která přináší největší změny pravidel za poslední roky, totiž začne platit zrovna během hlavní nákupní sezóny.

Partners Financial Services

Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.