EU nachystala nové obecné nařízení o ochraně osobních údajů, které se přitom týká i velké části Čechů. Nad GDPR se však vznáší některé otazníky. A objevuje se i kritika. Dle některých dobrý záměr, dle jiných jen nové povinnosti pro úřady a především pro podnikatele. Na které se navíc Česko nepřipravuje tak úplně včas. Opozice z toho viní vládu, lidovci mluví o velkém strašáku, který se objevil. Proč?
Co se skrývá pod poměrně děsivě znějící zkratkou GDPR? Vychází z anglického překladu General Data Protection Regulation a jedná se o novou, revoluční legislativu EU, která si za cíl klade výrazně vyšší ochranu osobních dat občanů.
Tohle obecné nařízení EU o ochraně osobních údajů má přitom sjednotit právní ochranu osobních údajů ve všech členských státech. V Česku však hrozí, že se adaptační zákon nepřipraví prosadit do 25. května, kdy má GDPR začít platit. Teprve 21. března se jím totiž bude zabývat vláda.
Podle vicepremiéra a ministra životního prostředí Richarda Brabce (ANO), se vláda bude snažit navrhnout poslancům, aby zákon schválili ve zrychleném režimu už v prvním čtení, uvedl před časem v Partii na Primě. Česko přitom není jedinou zpozdilou zemí.
GDPR budí zájem také proto, že to je jedno z nařízení, které se skutečně dotkne velké skupiny obyvatel. Dopadne totiž skutečně na každého, kdo s osobními údaji při svém podnikání či působení pracuje.
Týká se všech firem, státních institucí, neziskových organizací i osob samostatně výdělečně činných, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Nová legislativa tak dopadne na každého, kdo schraňuje osobní údaje svých klientů - ať už je to elektrikář nebo kadeřnice, týká se škol, které si vedou seznamy žáků a rodičů.
Souhlas se zpracováním osobních údajů podle nových pravidel musí dát miliony lidí. Obnovou tak bude muset projít drtivá většina databází, kterými disponují například internetové obchody, ale i lékaři, školy či zaměstnavatelé.
Osobní údaj je široký pojem. Podle GDPR se ještě rozšiřuje oproti tomu, co bylo za osobní údaj považováno dřív. Ve chvíli, kdy je organizace, firma či státní správa schopná informace o majetkových či zdravotních poměrech nebo o politických názorech propojit s konkrétním člověkem, s konkrétním jménem, už to osobní údaj je.
Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.
Osobní data tvoří důležitou a nedílnou součást naší osobní identity. Proto představují pro velkou škálu subjektů cennou a strategicky významnou komoditu. Z těchto v podstatě protichůdných zájmů vyplývá nutnost nastolit mezi nimi jistou rovnováhu, a o to se právě GDPR pokouší.
Je řada typů podnikání, které spoléhají na sběr osobních údajů, případně na nákup databází. Zejména v oblasti maloobchodu v sektorech, jako jsou telekomunikace, energetika, finanční služby. Tyto si budou muset dávat větší pozor na to, kde osobní údaje vzaly a zda se v databázi objevily legálně.
Největším „strašákem“ se pro mnohé stane oznamovací povinnost v případě narušení bezpečnostních opatření. Už by se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se to stalo v minulosti třeba v případě společnosti Yahoo.
Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat nejpozději do 72 hodin od okamžiku, kdy se o incidentu dověděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.
Jak jsou podnikatelé na GDPR připraveni, to Hospodářská komora ČR zjišťovala v interním šetření, tzv. Komorového barometru, které realizovala na přelomu ledna a února 2018. Do šetření se zapojilo 580 respondentů – členů Hospodářské komory ČR všech velikostí a oborů.
Z šetření vyplynulo, že se ochranou osobních údajů zabývá už přes 80 % českých firem. Zatímco před pár měsíci to byla ani ne polovina podnikatelů. Zlepšení situace je dáno i tím, že komora nabízí speciální semináře nebo příručky pro podnikatele.
Přesto se Hospodářská komora ČR domnívá, že 25. května 2018 zasáhne GDPR až pětinu (19%) firem nepřipravenou. „Vedle povinností plynoucích z aktuálně platného zákona o ochraně osobních údajů se nezajímají ani o změny, které musí zavést v souvislosti s obecným nařízením o ochraně osobních údajů (GDPR),“ uvedla pro Blesk Zprávy právní expertka Hospodářské komory Lucie Plachá. „Zájem o problematiku ochrany osobních údajů pak roste s velikostí firmy. Zatímco se o ni zajímá 72 % mikrofirem, u firem nad 250 zaměstnanců to je již 95 %,“ dodává Plachá.
Situace však nemusí být nyní v Česku tak dramatická, jak někteří varují. „Neschválení adaptačního zákona povede pouze k drobným nejasnostem, popřípadě k rozporu mezi různými právními předpisy. Z nich však bude mít nařízení GDPR vždy větší právní sílu,“ uvedl novinářům Zdeněk Tomíček, místopředseda představenstva Asociace malých a středních podniků a živnostníků ČR.
Tato asociace již loni v prosinci uvedla, že směrnice může být „bičem“ na firmy. „Dle mého názoru je největší problém v tom, že se podnikatelé musejí nějak vypořádat s novým právním předpisem, v rámci jehož výkladu je mnoho otazníků. Důvodem je mimo jiné použití mnoha vágních slovních obratů v samotném textu GDPR. Pokud se podnikatelé ′netrefí′, hrozí jim vysoké pokuty,“ varoval Tomíček.
První místopředseda KDU-ČSL Marian Jurečka varuje, že zavedení nařízení provází v Česku řada nejasností. „Ministerstvo vnitra by mělo dbát na to, aby se nařízení zavedlo v klidu. Každý by měl mít dost prostoru na to se s novou legislativou seznámit - aniž by se bál, že mu hned první týden někdo přijde dát vysokou pokutu. Veřejné subjekty by navíc měly být ze sankcí vyjmuty úplně,“ míní.
Upozorňuje právě na sankce při porušení povinnosti, kdy lze udělit pokutu až 20 milionů eur (cca. 540 milionů korun). „GDPR tady zatím nad námi visí jako velký strašák,“ okomentoval poslanec za KDU-ČSL Vít Kaňkovský. Není přitom vyloučené, že pokuty by se mohly rozdávat již 25. května, varuje Jurečka. Lidovci proto předkládají novelu zákona, která by vedla k tomu, že si členský stát může za určitých podmínek stanovit vlastní pravidla ohledně pokut pro veřejný sektor.
Předseda STAN Petr Gazdík se domnívá, že norma v EU začne platit bez ohledu na to, kdy bude přijata v Česku. Důsledkem neschválení budou především komplikace pro všechny, koho se GDPR týká. „Bude platit nějaké evropské nařízení, pro které ale vláda nepřizpůsobila domácí podmínky, takže výsledkem může být nekompatibilita a nepřehledné právní prostředí,“ uvedl Gazdík pro Blesk Zprávy.
Starostové a nezávislí by nicméně zrychlený režim pro přijetí adaptačního zákona podpořili, pokud v návrhu zákona neshledají problém. „Něco takového se mělo už dávno probírat v řádných čteních a nenechávat to na poslední chvíli. Jednoznačně se jedná o laxní přístup Sobotkovy i Babišovy vlády,“ dodává Gazdík.
Podle poslance Pirátů Ondřeje Profanta se GDPR dotýká širokého okruhu úřadů a organizací. Zorganizovali proto ve Sněmovně seminář, který se primárně zaměřil na povinnosti obcí, aby poskytly přehledné informace starostům a dalším zastupitelům, „protože se v souvislosti s přijetím nařízení objevilo velké množství konzultačních firem, které nabízejí nákladná a nadbytečná opatření,“ uvedl Profant, zabývající se vedle politiky i výpočetními technologiemi.
Podle Markéty Pekarové Adamové, 1. místopředsedkyně TOP 09, měla vláda dva roky na to, aby zákon připravila a nechala projít klasickým legislativním procesem v parlamentu. „Vláda přípravu tohoto zákona naprosto zanedbala a řeší ho pět minut po dvanácté, Evropský parlament přijal nařízení již v dubnu 2016. Teď se snaží zákon protlačit ve zrychleném jednání bez projednání ve výborech, kde by se daly odstranit nedostatky vládního návrhu. Je totiž pravděpodobné, že zákon bude obsahovat i věci, které se samotnou implementací nesouvisejí, “ uvedla pro Blesk Zprávy.
TOP 09 Zrychlené projednání nepodpoří, protože by nemohla pomocí pozměňovacích návrhů zákon opravit, aby byl co nejkvalitnější. Podle Pekarové Adamové v případě, že zákon nebude schválen do 25. května, vejde v platnost samotné nařízení Evropské unie, které bude upraveno českým zákonem až později.
To, že neexistuje prováděcí předpis, vnímá jako velký problém Martin Kupka (ODS). „Vznikají obrovské škody soukromým firmám i státní správě, protože nikdo přesně neví, co má dělat," uvedl pro Blesk Zprávy. Podle Kupky to není jednoduchá norma a pokud to vláda do této chvíle nebyla schopná doplnit, může být problém normu přijmout ve zkrácené době. „Nechceme vydávat bianco šek. Abychom neschválili něco, co může vyvolat ještě další náklady a problémy navíc. My chceme přispět k tomu, aby tady byla kvalitní norma, která by na jedné straně chránila data občanů a na druhou stranu tu nebyla nesmyslná byrokracie,“ doplnil.
Podle Michaely Dolenské, tiskové mluvčí hnutí SPD Tomia Okamury „SPD nebude podporovat implementaci legislativy EU, která otravuje lidi,“ uvedla pro Blesk Zprávy.
Místopředseda výboru pro evropské záležitosti poslanec Jiří Valenta (KSČM) se domnívá, že GDPR je legislativou, která byla nutná, aby se zabránilo zneužívání dat v globalizovaném moderním světě.
„Co se týče samotného adaptačního zákona k GDPR, není nutno propadat panice, i když laxnost vlády, jak této, tak té minulé, je v tomto ohledu až trestuhodná,“ uvádí Valenta pro Blesk Zprávy. „Bohužel tady je, snad i účelově, šířena panika zejména směrem k malým firmám, účetním kancelářím, ambulantním lékařům apod. Tento vzniklý, abnormální stav, tedy kombinace laxnosti české vlády a šíření nesmyslné paniky, povede jen k dalšímu zhoršování obrazu EU v očích české veřejnosti, a tentokráte dosti nezaslouženě,“ dodává Valenta.
14°C
Buďte první, kdo se k tématu vyjádří.