Zdroj: Shutterstock
„Už jste to slyšeli? Blíží se revoluce v oblasti zpracovávání osobních údajů. Podnikatelům budou hrozit likvidační pokuty, které můžou dosahovat astronomické výše. Další nesmyslný výmysl byrokratů z Bruselu je tady!“ Některá média informují o evropské směrnici na ochranu osobních údajů s velkou hysterií. Podle odborníků přitom není důvod k panice, pokud firmy nebudou GDPR zcela ignorovat. Navíc platí, že pokud podnikající subjekt splňoval aktuální legislativní předpisy, nemusí se toho pro něj 25. května, kdy vstoupí GDPR v účinnost, zas tolik změnit.
Základní rada by proto mohla znít: nenechávejte vše na poslední chvíli. Právě to by totiž mohla být největší komplikace. Například podle průzkumů společností O₂ a Bureau Veritas dosud v souvislosti s GDPR nepodnikla žádné kroky víc než polovina firem, kterých se nařízení týká. Nové nařízení o ochraně osobních údajů musí řešit například e-shopy, hotely, cestovní kanceláře, ale i sdružení vlastníků bytových jednotek. Závěr května tak může být pro řadu subjektů celkem krušný.
Co si o GDPR myslí advokáti, ekonomové, tvůrci legislativy a zástupci podnikatelů? Na co by si podle nich měli dávat podnikatelé a firmy největší pozor? A jaké mýty se v souvislosti s GDPR (ať už v médiích nebo mezi samotnými podnikateli) nejčastěji šíří?
advokát, KPMG Legal
Pominul bych ty nejrozšířenější mýty, například že GDPR je revolucí v oblasti ochrany osobních údajů, že pokuty budou likvidační nebo že nová úprava bude platit později, protože se do května 2018 nestihne přijmout český adaptační zákon. Rád bych ale mírnil určité zděšení, se kterým se v praxi často setkáváme.
Slýcháme například, že je potřeba do května 2018 dosáhnout stoprocentní míry souladu s GDPR. To není úplně pravda, stoprocentní souladnost totiž neexistuje nebo je neúměrně drahá. Je proto nutné zdůraznit zásadu přiměřenosti, která se objevuje na několika místech GDPR.
Doporučuji proto pragmatický a metodický přístup k implementaci nařízení, aby nebyla zbytečně drahá, dala se efektivně řídit a do května 2018 jste stihli vyřešit skutečně to, co je z pohledu ochrany soukromí a osobních údajů nejzásadnější. Současně platí, že funkční procesní nebo metodické řešení je často jednodušší a levnější než robustní IT řešení. Už dnes vidíme, že řada organizací má naplánovanou implementaci do druhé poloviny roku 2018 a zásahy do IT ještě později. I to je v pořádku, pokud by okamžité zásahy byly neúměrně náročné nebo nákladné.
poslanec za Piráty, šéf podvýboru pro e-government
Na příchod GDPR by se měly připravit zejména firmy, které ve velkém zpracovávají osobní údaje. To znamená například operátoři, poskytovatelé internetového připojení nebo agentury zaměřující se na shromažďování a vyhodnocování velkého množství dat. Ke každé agendě je při jejím vyhodnocování nutno přistupovat v daném kontextu. To znamená hlavně zpracovávat jen to, co je opravdu třeba k uváděné činnosti. V opačném případě mít zajištěn souhlas (či zákonný důvod).
GDPR nebude mít prakticky žádný dopad na drobné firmy a živnostníky, kteří osobní údaje shromažďují zpravidla jen pro uzavření smlouvy s klienty a pro fakturaci svých objednávek. Na dodavatele nábytku nebo instalatéra, kteří shromažďují osobní údaje čistě jen pro účely komunikace se svými zákazníky, tak určitě nedopadá například povinnost mít svého pověřence pro ochranu osobních údajů nebo riziko vysokých pokut za porušení GDPR. Ve vládním návrhu nového implementačního zákona je dokonce i možnost pokutu zcela odpustit, pokud jde o drobné pochybení.
ekonomická poradkyně Zastoupení Evropské komise v ČR
Nejvíc se rozšířil mýtus, že GDPR představuje zásadní revoluci v ochraně osobních údajů. Není to tak. Velká část pravidel už je obsažena ve stávající české legislativě, konkrétně v zákoně 101/2000 Sb., o ochraně osobních údajů. Pokud tedy firma tento zákon už teď dodržuje, s velkou pravděpodobností bude i v souladu s GDPR.
Jiným z mýtů je, že s přípravou na GDPR je lepší počkat, až bude schválen český adaptační zákon. V případě GDPR se nejedná o směrnici, nýbrž o nařízení. Jako takové se začne aplikovat 25. 5. 2018 ve všech členských státech, a to i v případě, že Česká republika nestihne svůj vlastní adaptační zákon schválit. S přípravou tedy nečekejte!
Není možné si koupit řešení na klíč. Každá firma má vzhledem k GDPR jiné potřeby. Nezáleží přitom na velikosti firmy, ale povaze její činnosti. I malá digitální firma, která systematicky zpracovává údaje, bude muset zavést přísnější opatření. Výjimky z GDPR se vztahují pouze na firmy s méně než 250 zaměstnanci, u nichž zpracování není pravidelnou činností, a nepracují s citlivými osobními údaji. Tyto firmy nemusejí vést evidenci o zpracování ani jmenovat pověřence pro ochranu osobních údajů.
advokát, zakladatel DostupnyAdvokat.cz
Nový právní rámec na ochranu osobních údajů vznikl s cílem maximálně hájit práva obyvatel Evropské unie proti neoprávněnému zacházení s jejich osobními údaji. V praxi jde však spíš o sjednocení a prohloubení stávající úpravy. Navíc česká úprava byla vždy přísnější než průměr Unie, takže nejde o revoluci. Podnikatelé by si nicméně měli dát dobrý pozor na úpravu svých obchodních podmínek, měli by vytvořit alespoň základní vnitřní směrnici, jak s daty zacházet, a také přehledně své klienty informovat nejen o nových právech dle GDPR, jako je třeba právo na zapomenutí či přenositelnost údajů. Novou úpravu totiž může zneužít konkurence ke konkrétním udáním.
Mýtem je naopak to, že by už nebylo vůbec možné bez nového výslovného souhlasu podle GDPR rozesílat marketingová sdělní na dlouhodobě pracně vytvořené databáze klientů. Podmínky lze upravit tak, že to bude možné. Mýtem je samozřejmě i samotná revoluční povaha nové úpravy, která, jak je uvedeno výše, pouze prohlubuje současný právní stav.
senior manager BDO Advisory
Zavedení principů GDPR se navzdory časté představě firem netýká jen bezpečnostních nebo IT oddělení, ale všech zaměstnanců, kteří by mohli přijít do styku s osobními údaji. Většina z nich totiž nějaké osobní údaje zpracovává, včetně těch v papírové podobě. Před stanovením doporučení pro implementaci GDPR je proto nutné zmapovat aktuální stav ochrany osobních údajů ve firmě. To se ale neobejde bez přesných vstupních dat.
Nové směrnice zároveň nemusejí vyžadovat složitější procesy než doposud. Při řádné evidenci údajů stačí pro jakýkoliv úkon pouze několik kliknutí. Subjekty, které jsou v souladu se zákonem o ochraně osobních údajů, už navíc většinu náležitostí budou splňovat. Častým mýtem je také to, že osobní údaje lze ošetřit generálním souhlasem nebo souhlasy navíc. Souhlas ale musí být vyjádřen vždy jednoznačně a za konkrétním účelem. Pověřenec dokonce může být zaměstnancem společnosti, musí však být nezávislý a splňovat kvalifikační předpoklady.
místopředseda Asociace malých a středních podniků a živnostníků ČR
Pokud jsou podnikatelé s implementací na začátku, nejdůležitější je vnitřní analýza procesů. Samozřejmě pomáhají právníci, popřípadě IT specialisté, nicméně hlavní práce zůstává na podnikateli. On musí vědět, které osobní údaje zpracovává, z jakého titulu, k čemu je potřebuje, kde je uchovává, kdo k nim má přístup atd. To je zpravidla nejtěžší část, protože podnikatelé mají v této oblasti mnohdy značný nepořádek.
Malé firmě většinou postačí, když se zaměří na to, jestli osobní údaje zpracovává po celou dobu na základě oprávněného podkladu, subjekt údajů je vždy řádně informován o zpracování a údaje jsou v bezpečí.
Asociace malých a středních podniků a živnostníků spustila portál GDPR bez obav, kde jsou praktické informace pro podnikatele, jak k GDPR přistoupit. Základním pravidlem bezpochyby je, že GDPR nelze přehlížet a je třeba začít alespoň ty nejdůležitější opatření v jeho smyslu přijímat. I z hlediska případného správního řízení je vždy lepší být „na dobré cestě“ ke správnému nastavení než se tvářit, že GDPR neexistuje.
Za největší mýty lze považovat tvrzení, že přináší zcela nové zásady pro zpracování osobních údajů a ukládání pokut bude likvidační s ohledem na jejich možnou výši. Základní zásady totiž zůstávají v podstatě stejné, pouze většina společností nezpracovávala osobní údaje v souladu se stávající právní úpravou, a proto je nařízení GDPR tak obávané. Na ukládání pokut se pak vztahují právní zásady pro správní řízení, a i u nás převládají právní závěry, že nelze ukládat likvidační pokuty, a naopak je nutné vždy přihlédnout k osobním a majetkovým poměrům daného subjektu.
Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu
Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.
MEDICÍNA A BYZNYS
Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.
BYZNYS JE HRA
„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.
Penzijko s finančním bonusem
Založte si penzijko Conseq a získejte nejen státní příspěvky a daňovou úsporu, ale i bonus pro věrné klienty.
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
13. 4. 2018 17:01, Ramesse II.
No zatím jako občan tuto bruselskou šaškárnu odnáším tím, že stále někam běhám po bankách a pojišťovnách podepisovat něco, co jsem už jednou podepsal při podpisu smlouvy, jen asi v trochu jiné podobě (což je jedno, když banka nebo pojišťovna nebude mít moje údaje, asi těžko uzavře smlouvu s anonymem).
Takže řádově 20 hodin ztraceného času pro nic a za nic, jen že nějací ko*oti v Bruselu potřebují zdůvodnit svojí existenci a svoje platy a tak vymyslí nějakou pakárnu na lidi, aby ukázali, kdo vydává příkazy a kdo podle nich musí skákat.
Příspěvek s nejvíce zápornými hlasy
16. 4. 2018 7:30, Mirek
Musíte vylézt z lesa, josefe:-)))
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem příspěvků.