Pro nové evropské nařízení č. 2016/679 se vžila zkratka GDPR (z anglického označení General Data Protection Regulation). V České republice nahradí současný zákon o ochraně osobních údajů (101/2000 Sb.) a stalo se tak automaticky. Jako dozorový orgán zůstává Úřad pro ochranu osobních údajů (ÚOOÚ).
Přestože je GDPR označováno jako „revoluční změna“, jde spíše o evoluci dřívější evropské právní úpravy z roku 1995. Oproti našemu zatím platnému zákonu sice některé nové povinnosti přibyly, ale podstatné prvky zůstaly zachovány. Prakticky se nezměnilo vymezení pojmu toho, co jsou osobní údaje, stejný význam má i jejich zpracování. Proč je tedy GDPR takovým strašákem? Především proto, že direktiva obsahuje ustanovení o horní hranici sankce, která může být až 4 % celosvětového obratu firmy. V souvislosti s tím existuje také řada mýtů. Především je to výše sankce – ÚOOÚ má horní hranici správních pokut ve výši deset milionů korun a navíc se hodlá držet principu, že sankce má být odrazující, účinná a především přiměřená. Na výši sankce bude mít vliv především to, zda a jak správci doloží technická a organizační opatření, která vynaložili na to, aby porušení GDPR předešli.
Dvouleté období před začátkem účinnosti se mělo využít k tomu, aby se zpracování osobních údajů uvedlo do souladu s GDPR. Bohužel v Česku nebyla žádná včasná oficiální informační kampaň, a tak většina organizací start zaspala. Iniciativy se chopily technologické firmy, které začaly rychle pracovat na tom, aby jejich informační systémy byly s novým nařízením v souladu, a produkty s označením jako „GDPR ready“ jsou pro ně novou obchodní příležitostí. To je v pořádku, jen je třeba dávat pozor, aby naše obavy nebyly zneužity pro nepřiměřené navýšení ceny služeb.
Bohužel zanedbání včasné přípravy se může odrazit na nákladech, dělat věci ve spěchu se může prodražit. V případě GDPR je navíc častým případem situace, kdy firmy a organizace otázku ochrany osobních údajů v minulosti zanedbaly a nesplňují ani požadavky dosud platného zákona. Jak hluboko musíme sáhnout do peněženky? Menší a střední organizace mohou využít služby externího odborníka, s nímž spolupracují průběžně a který pak může vykonávat i funkci pověřence pro ochranu osobních údajů (DPO). Jeho konzultace si nemusí vyžádat mnoho času, často stačí jeden nebo dva pracovní dny měsíčně, a tomu odpovídá jeho odměna. Pokud je málo času, často nezbývá, než opatřit si podrobný audit, který nabízí i řada specializovaných právních kanceláří. Pro menší subjekty s jednoduchou organizační strukturou, mezi něž mohou patřit třeba hotely, e-shopy, cestovní agentury, školy a školky, bytová družstva nebo lékařské a veterinární ordinace, mohou náklady činit okolo 100 tisíc korun. Přitom jde jen o částku za procesní a právní audit, který případně zahrnuje i proškolení zaměstnanců. K tomu ještě přibudou náklady na organizační opatření a potřebné technické zajištění (hardware i software).
Pro větší subjekty s komplikovanější organizační strukturou mohou být náklady mnohonásobně vyšší. Podle statistiky Asociace právní ochrany jsou průměrné náklady v tomto případě necelého půl milionu korun – opět jen za poradenské služby včetně auditu a proškolení managementu a zaměstnanců.
Kdy a jak začít? V každém případě bezodkladně, zajištění plného souladu může ve firmách trvat i déle než rok. V případě sporu s regulátorem se každý krok počítá, a tak neopomeňte přijatá opatření a nastavené procesy zdokumentovat. Pro začátek se soustřeďte na tři zásadní kroky:
1. Proveďte inventuru osobních údajů, které zpracováváte, a ověřte, zda pro zpracování máte právní důvod. Pokud je jediným právním důvodem předchozí souhlas, pak ověřte, že je i nadále platný. Musí být svobodný, informovaný a udělený pro konkrétní účely. Pokud tomu tak není, vyžádejte si souhlas nový.
2. Zkontrolujte, zda se zpracování osobních údajů děje v souladu s právním důvodem. Protože mezi zpracování patří i prohlížení záznamů, dbejte na to, aby každý pracovník měl přístup jen k údajům, které potřebuje. Nedovolte, aby zaměstnanci ukládali citlivé údaje mimo informační systém nebo mimo určené a zabezpečené úložiště.
3. Zamyslete se nad svou infrastrukturou, a to z hlediska funkčnosti, spolehlivosti a hlavně bezpečnosti. Můžete uvažovat třeba o přechodu na cloudové řešení, kdy řádní poskytovatelé navíc zaručují již nyní i soulad s novou direktivou.