Česko patří mezi osm z 28 členských států Evropské unie, které nestihly schválit svůj vlastní doprovodný zákon k novým pravidlům Evropské unie na ochranu osobních údajů (GDPR). Ta zde proto začnou od pátku 25. května platit v nejtvrdší možné podobě. A bude tomu tak až do té doby, než ČR přijme zákon upravený na domácí poměry. Tedy zřejmě na podzim.
GDPR začíná platit v nejtvrdší podobě, dokud ho poslanci nezměkčí výjimkami
Část poslanců chce využít právě projednávaný prováděcí zákon k GDPR k tomu, aby už nikomu za zveřejnění fotografie zloděje pokuta nehrozila, jako se tomu stalo v minulosti. Jiní pak třeba považují za klíčové, aby sankce nebyly uplatňovány vůči obcím či neziskovým organizacím.
Česko nestihlo schválit doprovodný zákon i přesto, že GDPR schválila Evropská unie už na konci dubna 2016. Kvůli zpoždění kritizovala ve čtvrtek část poslanců vládu Andreje Babiše (ANO).
„Proč se příprava adaptačního zákona tak protáhla? Nevadí vám právní nejistota, která se tak vytváří?“ ptala se například místopředsedkyně poslaneckého klubu STAN Věra Kovářová.
Na to Babiš reagoval, že by se měla spíše zeptat bývalého ministra vnitra Milana Chovance (ČSSD), „proč mu to trvalo rok a půl a proč to nedal do vlády“. Dodal, že jeho vláda to po svém nástupu začala řešit, ale připomínkové řízení je zdlouhavé. Chovanec se ve čtvrtek ke GDPR nevyjádřil.
Eurokomisařka pro spravedlnost, ochranu spotřebitelů a otázky rovnosti pohlaví Věra Jourová k tomu již dříve podotkla, že zaspala nejen česká vláda.
- Postihy za nerespektování GDPR jsou velmi razantní. Za méně závažná porušení hrozí pokuta až 250 milionů korun. Pokud je prohřešek velký, opakovaný nebo zasáhne hodně lidí, činí sankce až 500 milionů korun.
„Výše potenciálních sankcí, která je v té úpravě obsažená, je enormně vysoká. Nepředpokládám, že by v reálu v takto vysokých částkách byla vymáhána. Základní smysl je především preventivní,“ domnívá se advokát LP Legal Jan Bureš.
Na to, jak firmy a instituce plní nové nařízení, bude dohlížet Úřad pro ochranu osobních údajů (ÚOOÚ). Jedna kontrola může být i otázkou měsíců.
Vybraný subjekt dostane nejdříve oznámení o kontrole. Poté s ním bude zahájena kontrola. „Budeme mu říkat, co po něm vlastně chceme, subjekt si podklady připraví a my se s ním pak sejdeme,“ uvedl mluvčí ÚOOÚ Tomáš Paták.
Obecně úřad kontroluje třeba zabezpečení systémů nebo to, jestli k citlivým údajům nemají přístup nepovolané osoby. Při případném pochybení ale bude třeba přihlížet k tomu, zda firma zavedla nápravná opatření nebo jestli s kontrolorem spolupracuje.
Na GDPR se připravuje například agentura Wunderman, která se věnuje personalizované reklamě. Ta je založena tom, že podle toho, co si člověk třeba na internetu prohlíží nebo kupuje, se mu pak zobrazují další nabídky.
Zákazník má nově lépe vědět – protože bude k tomu dávat souhlas – jaká data o něm firma má a jak s nimi pracuje, uvedl expert na data v marketingu této agentury Milan Janecký.
Nová pravidla se dotknou například i developerů, kteří shromažďují data jak svých klientů, tak třeba dodavatelů. Ředitel Asociace developerů Tomáš Kadeřábek zmiňuje nárůst administrativy. Na druhou stranu věří, že výměnou za tuto zátěž získají společnosti v datech určitý řád.