Cesta bez podrobné mapy. Česko stále nemá zpřesňující zákon kvůli GDPR

Už víc než měsíc platí nová pravidla ochrany osobních údajů, známá pod zkratkou GDPR. Česko ale – na rozdíl od většiny ostatních evropských zemí – stále nemá vlastní zpřesňující zákon. Naposledy ho měla sněmovna na programu minulý týden.

video

Česko stále nemá zpřesňující zákon kvůli GDPR

„Druhé čtení teoreticky mohlo proběhnout, ale z časových důvodů v Poslanecké sněmovně se nestihlo. Takže uvidíme, zda ho sněmovna zvládne v příštím týdnu svého jednání, to znamená od desátého. Pokud ne, tak by to znamenalo prodloužení celého procesu až do podzimu,“ uvedl ministr vnitra a místopředseda dolní komory Jan Hamáček (ČSSD).

Adaptační zákon může snížit výši pokut a stanovit výjimky, na které se nařízení nebude vztahovat. Dokud ho ale parlament nepřijme, platí předpisy v původní podobě. Už nyní však přípravy na GDPR zabraly firmám hodně času, zvláště těm, které pracují s velkým množstvím osobních dat.

„Pro nás dělá asi šedesát pracovníků, každý z nich musel projít školením, takže nás to stálo víc jak sto hodin práce,“ konstatuje obchodní ředitel společnosti FG Forrest Jan Severa. Firma se věnuje analýzám webů, návrhům stránek nebo vytváření e-shopů, a na zavedení GDPR se tak chystala víc než rok.

Za celková opatření zaplatila firma přes milion korun a náklady zřejmě ještě nejsou u konce. „Může přijít právě s adaptačním zákonem nové vysvětlení nebo požadavek, které nás donutí zásadně změnit naše systémy,“ poukazuje Severa.

Fakta Zavedení GDPR vyjde firmy na 25 miliard korun

Zavedení GDPR vyjde firmy na 25 miliard korun

Zavedení evropského nařízení o ochraně osobních údajů (GDPR) vyjde české firmy na 25 miliard korun. Většina firem však zaplatí do 50 tisíc korun. Naopak každá z více než pětiny velkých firem s více než 250 zaměstnanci na tato opatření vydala přes půl milionu korun. Vyplývá to z aktuálního šetření Hospodářské komory.
Pětina firem do deseti zaměstnanců také uvedla, že nemají s GDPR žádné výdaje, protože se na GDPR nijak zvlášť nepřipravovaly. Tyto firmy buď věří, že se jich nová regulace nedotkne, nebo spoléhají na to, že se důsledkům nějak vyhnou.
Podnikatelé nejčastěji uváděli, že zavádění GDPR je pro ně administrativně náročné. Nejmenší problémy pak měli s povinnými organizačními změnami a nastavením smluvních vztahů s partnery a klienty.
Zdroj: ČTK

GDPR zasáhlo školy, lékaře i banky

S ochranou osobních dat se musejí vypořádat třeba také nemocnice. Interní ambulance ve Stodu na jižním Plzeňsku pro komunikaci například používá E-zprávu. S ní má obvodní lékař informace v počítači dřív, než propuštěná pacientka dojede sanitkou domů. Veškerá data jsou přitom chráněná šifrováním, aby splňovala bezpečnostní nařízení.

„Je to zabezpečená komunikace mezi dvěma zdravotnickými zařízeními, máme oba jistou, že na druhé straně jsou zdravotnická zařízení,“ vysvětluje předseda Petr Šonka ze Sdružení praktických lékařů.

Kromě lékařů GDPR zasáhlo třeba také školy nebo banky. Nový adaptační zákon by pak měl lidem především umožnit větší kontrolu nad jejich údaji.

Fakta GDPR v otázkách a odpovědích

GDPR v otázkách a odpovědích

1) Proč slyším o GDPR ze všech stran právě v posledních týdnech a co ta zkratka vlastně znamená?
Pod zkratkou GDPR se skrývá obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation). Nařízení schválili evropští zákonodárci na jaře 2016 a dali podnikům a institucím, které využívají osobní data Evropanů, dva roky na to, aby se na nová pravidla připravily. Nařízení nabylo ve všech státech EU účinnosti 25. května.
2) Osobní údaje se však chrání už teď. Dokážete v jednom souvětí shrnout změny, které mě jako běžného občana – uživatele čekají?
Především dostanete nové informace. Nařízení totiž klade důraz na transparentnost, to znamená, že všechny firmy a instituce, které pracují s osobními údaji občanů, je budou muset informovat o tom, co s údaji o nich dělají. A získáte také nová práva, například právo žádat výmaz svých údajů z marketingových databází. Zvlášť v internetovém prostředí pak bude vítanou novinkou právo na přenositelnost. To umožní občanům zdarma žádat přenos svých osobních údajů od starého správce, například poskytovatele e-mailové schránky, k novému.
3) Týká se to i sociálních sítí? E-mailů?
Ano. Nařízení reaguje právě na rozvoj nových technologií a komunikačních nástrojů, které v 90. letech, kdy vznikala stará evropská směrnice o ochraně osobních údajů, často ještě vůbec neexistovaly.
4) Jak zjistím, která data o mně kdo uchovává? Můžu se přímo zeptat?
Ano. Správce nebo zpracovatel osobních údajů, od soukromých firem přes státní úřady, nemocnice až po neziskové organizace, vám musí sdělit, jaké osobní údaje o vás zpracovává a jaký je účel tohoto zpracování. Pokud organizace jmenuje pověřence pro ochranu osobních údajů – toho musí podle GDPR povinně mít například nemocnice, státní úřady, internetové vyhledavače nebo také mobilní operátoři – můžete se s dotazy obracet přímo na něj. V ostatních případech na jednatele nebo na zaměstnance, s nímž jste v minulosti komunikovali.
5) Firma odmítá moje data smazat, nekomunikuje. Jak postupovat dál?
V takovém případě můžete podat podnět k Úřadu pro ochranu osobních údajů, aby situaci prošetřil.
6) Informace o mně jsou na internetu nepravdivé nebo staré, jak se bránit?
Kontaktujte správce nebo zpracovatele dat, tedy například provozovatele internetových stránek, a požádejte ho o opravu osobních údajů. Vyhovět podle nařízení musí bez zbytečného odkladu.
7) Ve své živnosti mám několik databází zákazníků, existuje jednoduchý návod, co smazat, a co ne?
Na tuto otázku jednoduchá odpověď neexistuje. Nařízení dává pouze obecný návod a je na každé společnosti či živnostníkovi, aby si udělal analýzu osobních údajů, které o svých zákaznících, ale také třeba zaměstnancích, má a z jakého titulu je sbírá. Titulem opravňujícím ke sběru dat může být plnění smlouvy, plnění zákonné povinnosti, oprávněný zájem nebo také souhlas se zpracováním osobních údajů. Je na vás, abyste posoudili, zda takové oprávnění máte. Pokud ne, musíte osobní údaje smazat.
8) Mohu se povinnosti provádět vstupní analýzy k GDPR vyhnout tím, že všechny zákazníky, zaměstnance a lidi, s nimiž přicházím do kontaktu, požádám o souhlas se zpracováním osobních údajů?
Nikoliv. Naopak kvůli sbírání souhlasů v případech, že je nepotřebujete, protože vás ke zpracování opravňuje jiný titul – například povinnost plynoucí ze smlouvy – můžete od Úřadu pro ochranu osobních údajů dokonce dostat pokutu. Takové chování totiž úřad považuje za klamavé. Může v lidech vzbuzovat mylný dojem, že souhlas mohou později odvolat a správce bude muset na základě toho jejich údaje vymazat.
9) Kdo firmám a živnostníkům poradí s otázkami kolem nových pravidel ochrany osobních údajů?
V nabídkách poradenství se předhánějí advokátní kanceláře a nejrůznější konzultantské společnosti. Levnější je ale obvykle hledat pomoc u profesních organizací, jako je třeba Svaz průmyslu a dopravy nebo Hospodářská komora. Některé – například Česká stomatologická komora – zveřejnily také metodiky a návody, jak se na GDPR připravit. Základní otázky kolem nařízení zodpoví také ChatBot vytvořený ve spolupráci Svazu průmyslu a dopravy, ministerstva vnitra a společnosti IBM. Pokyny a výkladová stanoviska k novému nařízení jsou k dispozici také na webu Úřadu pro ochranu osobních údajů.
10) Týká se GPDR i úřadů či občanských spolků? Budou se data mazat i tam?
Evropské nařízení o ochraně osobních údajů se týká všech, kdo pracují s osobními údaji. Státní instituce, neziskové organizace, ale také bytová družstva nebo společenství vlastníků v tom nejsou výjimkou. To ale neznamená, že by musely osobní údaje hned mazat. Zvlášť státní instituce až na výjimky totiž sbírají osobní údaje ze zákona. Totéž platí také o osobních údajích vlastníků bytů nebo nájemníků, které sbírají společenství vlastníků jednotek.
11) Český zákon o zpracování osobních údajů, který reaguje na GDPR, teprve projednává sněmovna. Znamená to, že se Češi budou muset začít řídit novými pravidly až poté, co politici zákon schválí?
Ne. Nařízení je přímo účinné ve všech zemích Evropské unie. Bez ohledu na stav projednávání národních adaptačních zákonů začala ve všech členských zemích Unie nová pravidla platit 25. května. Členské státy si ve svých předpisech pouze mohou upravit ty oblasti, kde to Brusel výslovně umožnil. Nastavit si tak mohou například věk, do nějž budou muset zpracování osobních údajů dětí odsouhlasit rodiče. Oscilovat může mezi 13 a 16 lety. Český návrh zákona také snižuje pokuty, které hrozí za porušení nových pravidel orgánům veřejné moci, a nově upravuje i fungování Úřadu pro ochranu osobních údajů.

„To, co máme v návrhu zákona dnes, je rozšíření právě na oblast ochrany osobních údajů z hlediska nařízení GDPR, které stanovuje další a nové podmínky pro fyzické osoby typu: ‚Chci být zapomenut, mám nárok na opravu toho mého údaje, chci vědět, proč a kde mě evidujete‘,“ říká advokát Jiří Matzner. Zákon by měl být také zpřesněním pro Úřad pro ochranu osobních údajů, který dodržování nařízení kontroluje.

Od zavedení GDPR přišlo na ÚOOÚ kolem pěti set stížností. Některé z nich ale spadají ještě do období před pětadvacátým květnem, tedy před platností zákona. Těch aktuálně řešených je momentálně šest. „Nedá se předjímat, jak dlouho ty kontroly budou trvat, je to otázka třeba měsíců, kdy mohou být uzavřeny,“ říká mluvčí úřadu Tomáš Paták. Za porušení nařízení ve spojení s ochrannou osobních údajů v Česku zatím žádné pokuty nepadly.

Živě

Cesta bez podrobné mapy. Česko stále nemá zpřesňující zákon kvůli GDPR

Česko stále nemá zpřesňující zákon kvůli GDPR

GDPR zasáhlo školy, lékaře i banky

Hlavní zprávy

Živě

Česko stále nemá zpřesňující zákon kvůli GDPR

GDPR zasáhlo školy, lékaře i banky

Další z rubriky: Ekonomika

Japonsko začalo intervenovat na obranu slabé měny. Poprvé od roku 1998

Hlavní zprávy