Už víc než měsíc platí nová pravidla ochrany osobních údajů, známá pod zkratkou GDPR. Česko ale – na rozdíl od většiny ostatních evropských zemí – stále nemá vlastní zpřesňující zákon. Naposledy ho měla sněmovna na programu minulý týden.
„Druhé čtení teoreticky mohlo proběhnout, ale z časových důvodů v Poslanecké sněmovně se nestihlo. Takže uvidíme, zda ho sněmovna zvládne v příštím týdnu svého jednání, to znamená od desátého. Pokud ne, tak by to znamenalo prodloužení celého procesu až do podzimu,“ uvedl ministr vnitra a místopředseda dolní komory Jan Hamáček (ČSSD).
Adaptační zákon může snížit výši pokut a stanovit výjimky, na které se nařízení nebude vztahovat. Dokud ho ale parlament nepřijme, platí předpisy v původní podobě. Už nyní však přípravy na GDPR zabraly firmám hodně času, zvláště těm, které pracují s velkým množstvím osobních dat.
„Pro nás dělá asi šedesát pracovníků, každý z nich musel projít školením, takže nás to stálo víc jak sto hodin práce,“ konstatuje obchodní ředitel společnosti FG Forrest Jan Severa. Firma se věnuje analýzám webů, návrhům stránek nebo vytváření e-shopů, a na zavedení GDPR se tak chystala víc než rok.
Za celková opatření zaplatila firma přes milion korun a náklady zřejmě ještě nejsou u konce. „Může přijít právě s adaptačním zákonem nové vysvětlení nebo požadavek, které nás donutí zásadně změnit naše systémy,“ poukazuje Severa.
GDPR zasáhlo školy, lékaře i banky
S ochranou osobních dat se musejí vypořádat třeba také nemocnice. Interní ambulance ve Stodu na jižním Plzeňsku pro komunikaci například používá E-zprávu. S ní má obvodní lékař informace v počítači dřív, než propuštěná pacientka dojede sanitkou domů. Veškerá data jsou přitom chráněná šifrováním, aby splňovala bezpečnostní nařízení.
„Je to zabezpečená komunikace mezi dvěma zdravotnickými zařízeními, máme oba jistou, že na druhé straně jsou zdravotnická zařízení,“ vysvětluje předseda Petr Šonka ze Sdružení praktických lékařů.
Kromě lékařů GDPR zasáhlo třeba také školy nebo banky. Nový adaptační zákon by pak měl lidem především umožnit větší kontrolu nad jejich údaji.
„To, co máme v návrhu zákona dnes, je rozšíření právě na oblast ochrany osobních údajů z hlediska nařízení GDPR, které stanovuje další a nové podmínky pro fyzické osoby typu: ‚Chci být zapomenut, mám nárok na opravu toho mého údaje, chci vědět, proč a kde mě evidujete‘,“ říká advokát Jiří Matzner. Zákon by měl být také zpřesněním pro Úřad pro ochranu osobních údajů, který dodržování nařízení kontroluje.
Od zavedení GDPR přišlo na ÚOOÚ kolem pěti set stížností. Některé z nich ale spadají ještě do období před pětadvacátým květnem, tedy před platností zákona. Těch aktuálně řešených je momentálně šest. „Nedá se předjímat, jak dlouho ty kontroly budou trvat, je to otázka třeba měsíců, kdy mohou být uzavřeny,“ říká mluvčí úřadu Tomáš Paták. Za porušení nařízení ve spojení s ochrannou osobních údajů v Česku zatím žádné pokuty nepadly.
