GDPR na startu. Pětina firem o něm nic neví, spousta se bojí

Počátkem roku prohlásil ministr vnitra Lubomír Metnar, že unijní nařízení o ochraně osobních údajů není žádnou revolucí. Firmy se však bojí. Především vysokých nákladů na zavedení, zbytečné byrokracie ze strany státních orgánů a také velkých pokut, které jim za nedostatky hrozí. Ty mohou dosáhnout v přepočtu až stamilionové výše.

Stát zaspal, převládlo strašení

Obávané evropské nařízení platí od tohoto pátku. Dvacet procent českých firem ale neví, že vůbec existuje, případně netuší, co to pro ně znamená. To vyplývá z průzkumu, který provedla společnost EOS Group. „K nelichotivým výsledkům českých firem dochází pravděpodobně v důsledku nízké osvěty,“ reaguje na výsledky Vladimír Vachel, jednatel agentury EOS Group. A má s čím srovnávat. Má k dispozici průzkum ze sedmnácti evropských zemí. Podstatně lepší výsledky má v Evropě například Dánsko, tam o něm vědí a něco pro ně dělají téměř tři čtvrtiny těch, kterých se dotýká.

Podle Vachla bylo chybou, že hlavní aktivitu přenechal stát komerčním subjektům, které nabízely hlavně školení a poradenství. „Synonymem k pojmu GDPR se tak stala slova sankce a pokuta, vlastní přínos nového nařízení tak zcela zapadl,“ dodává Vachel. To, že české firmy zavedení GDPR leckdy podcenily, připomíná také Jakub Kejval ze společnosti Bureau Veritas, která se poradenství v této oblasti věnuje. „Podmínkám nevyhoví v den, kdy GDPR začne platit, podle mého odhadu asi 85 procent těch, kterých se to týká,“ říká Kejval. Mnoho firem podle něho se v problematice neorientuje ani neví, ze kterého konce začít. Mají firmy panikařit? Kejval se domnívá, že pokud se zaměří alespoň na hlavní zásady, není třeba propadat zbytečné skepsi.

Kontroly? Budou chodit nejdřív jen na udání

„Netřeba se ani přiznávat Úřadu pro ochranu osobních údajů,“ radí Kejval a dodává, že úřad nemá na rozsáhlé kontroly kapacity a bude zpočátku chodit jen na udání. Lépe jsou na tom bezesporu ti, kteří se zaměřili na přípravu s dostatečným předstihem. „GDPR se věnujeme již řadu měsíců, abychom byli připraveni,“ řekl deníku Metro mluvčí cestovní kanceláře Fischer Jan Bezděk. Týká se to především ujednání mezi cestovkou a jejími smluvními partnery. Podle něj klient při uzavírání smlouvy o zájezdu žádné zásadní změny nepocítí. „Před podpisem mu ale nově předložíme informační memorandum, ve kterém ho budeme informovat o jeho právech a povinnostech naší společnosti v souvislosti s nakládáním s osobními údaji,“ upřesňuje Jan Bezděk z CK Fischer.

Máte právo na absolutní vymazání z databáze, kterou o vás firmy vedou. Souhlas mrtvých na parte nebude potřeba Obecné nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation) bylo přijato jako Nařízení Evropského parlamentu a Rady Evropské unie 27. dubna 2016. Jedná se o ochranu fyzických osob v souvislosti se zpracováním osobních údajů a o volný pohyb těchto údajů. GDPR dává lidem, kterým údaje patří, do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, budou moci například vznést námitku proti zpracování, aby správce jejich osobní údaje dál zpracovával, nebude-li k tomu mít závažné, prokazatelné důvody. Každý občan by měl rovněž mít přístup k údajům, které o něm společnosti shromažďují, a tento přístup by měl být ideálně přímý a on-line. Zcela novým prvkem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány veškeré její osobní údaje, které správce (firma, e-shop a další) o občanovi původně měl. Dochází také k rozšíření definice osobních údajů. Nově sem spadají technické parametry, jako je e-mail, IP adresa nebo takzvané cookies v zařízení uživatele. Jaké osobní údaje spadají pod působnost GDPR? Mezi obecné osobní údaje se počítá jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, jsou mezi nimi i organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Naopak z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. K otištění jména nebožtíka na úmrtním oznámení nebude proto nutný jeho souhlas, jak se občas v „zaručených varováních“ na internetu uvádí.