GDPR: Právníkova zpráva o stavu

Analýza

GDPR: Právníkova zpráva o stavu

GDPR. GDPR? GDPR! Pokud se v posledních alespoň několika měsících pohybujete v byznysu, nebo veřejné správě, tato vtíravá zkratka na Vás utočí ze všech stran. Zásadní otázka ale zní: Blíží se opravdu konec světa ochrany osobních údajů, tak jak jej známe? Přichází revoluce, o které všichni mluví? Možná Vás jako právník zklamu, když napíši – NE TAK ÚPLNĚ. Jako vždy je třeba vše brát s chladnou hlavou. A tam, kde ostatní vidí rizika a nebezpečí, možná hledat spíše příležitost.

Než si dovolím poskytnout zprávu o stavu, kterou slibuje titulek, nejprve pro osvěžení několik časových údajů a čísel právních předpisů.

GDPR, neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) bylo přijato 27. dubna 2016 a bude účinné od 25. května 2018. Nařízení bude přímo aplikovatelné na území Evropské unie bez nutnosti provedení zákonem v jednotlivých státech. 

Nová „stojednička“ nastupuje

Nicméně v srpnu 2017 byl zveřejněn návrh českého zákona o zpracování osobních údajů z dílny Ministerstva vnitra, který byl připraven ve spolupráci s Úřadem pro ochranu osobních údajů a má nahradit stávající zákon č. 101/2000 Sb. Návrh zákona se snaží neduplikovat jednotlivé články GDPR, ale upravuje vesměs ty instituty, kde byla členským státům dána možnost vlastního uvážení při volbě vhodné právní úpravy.

A nyní již k zajímavějšímu – jaká je tedy současná situace na trhu, kde je „GDPR“ slovo(?), které nejčastěji slyšíte od Vašich poradců. Možné základní zjišťovací dotazy mohou být: Jsou již všichni na novou úpravu připraveni? Nebo je připravena alespoň většina? Je vůbec někdo připraven? Není už dokonce pozdě na to, se připravit? Možná Vás překvapí, že odpověď je ve všech případech NE. Ale popořadě.

Na jakoukoli novou úpravu nejsou nikdy připraveni všichni. První otázka byla tedy rychlá – na rozcvičení.

Nesmyslné vyčkávání

Není ani připravena většina subjektů, kterým GDPR ukládá povinnosti. Pokud byste byli banka, jiná finanční instituce, mobilní operátor, nebo přední výrobní společnost, případně jiná robustní organizace, ve které se zpracovává velký objem osobních údajů, určitě už u Vás běží alespoň v nějaké fázi projekt na GDPR. Z řady publikovaných průzkumů ale vyplývá, že většina ostatních stále vyčkává, případně žije v domnění, že není nutné cokoli dělat.

Otázka, zda je vůbec někdo připraven, je mírně záludná. Zaprvé účinnost GDPR nastane až příští rok v květnu. V současnosti tedy stále neexistuje povinnost, být s nařízením v souladu. Zadruhé v tuto chvíli není známa (a v květnu 2018 ani nebude) výkladová praxe vztahující se k GDPR. Tzn. jak k praktické aplikaci GDPR přistoupí jednotlivé orgány. Pokud tedy někdo deklaruje, že je, nebo v květnu 2018 bude, ZCELA V SOULADU S GDPR, zažívá situaci, kdy se přání stává otcem myšlenky.

Konečně asi nejdůležitější je informace, zda už není pozdě něco dělat, pokud zatím nebylo v oblasti GDPR učiněno ničeho. Bez ohledu na zbývající čas není třeba dramaticky zdůrazňovat, že taktika strkání hlavy do písku není ta nejvhodnější. Navíc některá porušení GDPR budou tak očividná (např. obsah webových stránek), že je Úřad pro ochranu osobních údajů bude schopen odhalit automatizovaně. Zároveň lze i předpokládat, že pokud na Vás následně dolehne kontrola Úřadu a bude zjištěno porušení ustanovení GDPR, bude Vám pravděpodobně přičteno k dobru, pokud Úřad bude schopen dohledat, že jste problematiku ochrany osobních údajů dle nové úpravy alespoň začali řešit.

Úplná odpověď na poslední otázku tedy zní – nejenom, že v tuto chvíli není pozdě. Ono vlastně nikdy nebude pozdě se (alespoň zkusit) připravit. Je třeba si jen zvolit správné řešení. V tuto chvíli některé firmy potřebují řešení GDPR za pár desítek tisíc korun, jiné za pár desítek milionů. Poměrně důležité je, aby se tyto dvě kategorie vzájemně neprohodily.

Byl pro Vás tento článek přínosný?

Související články