Co se skrývá pod zkratkou GDPR?
General Data Protection Regulation, tedy GDPR, je obecné nařízení na ochranu osobních údajů. Jedná se o nařízení Evropského parlamentu a Rady Evropské unie, které s sebou nese naprostou revoluci v oblasti ochrany, zpracování a uchovávání osobních údajů. Toto nařízení, které vzniklo 27. dubna 2016, je zároveň považované za nejucelenější soubor pravidel na ochranu dat na světě.
GDPR se týká firem, institucí i všech jedinců, kteří určitým způsobem zpracovávají osobní údaje evropských občanů. Tím nejsou myšleny pouze instituce na území Evropské unie, ale i celosvětové společnosti, které působí na evropském trhu a určitým způsobem také přijdou do styku s osobními údaji občanů Evropské unie. Evropská unie tímto nařízením cílí na co nejvyšší ochranu práv svých občanů.
GDPR jako noční můra malých a středních firem?
Firmy se nařízení ale spíše děsí, protože to pro ně představuje mnoho starostí a investovaných financí. Datum, kdy nařízení nabyde platnosti, je 25. května 2018. Velká část lidí, kterých se nařízení týká, stále neví, co vše by měly udělat pro to, aby nařízení splnily. Nařízení pro ně není natolik jasné, aby vše pochopili a mohli postupovat se stoprocentní jistotou správně. Právě proto si firmy najímají právníky a soukromé poradce, aby jim udělali školení a zavedli je tak hlouběji do této problematiky. S tím už jsou samozřejmě taky spojené náklady.
Ne každá společnost má natolik pružné systémy, že by jim stačilo pouze poupravit oddíly spravující shromažďování, zpracovávání a uchovávání osobních údajů klientů. Pro některé firmy bude určitě výhodnější vybudovat nové systémy, které GDPR budou splňovat. Jelikož se ale nařízení týká úplně všech, i malých firem, tak pro ně můžou být náklady vynaložené na dodržování nařízení otazníkem nad dalším pokračováním podniku.
Dalším strašákem firem jsou pokuty, které s sebou GDPR nese. Méně závažné provinění proti nařízení by mělo být nejdříve napomenuto, ale za nezavedení nařízení, jeho porušení nebo nepřipravenosti na nařízení hrozí vysoké finanční pokuty. Ty by ve většině případů pravděpodobně byly pro firmy likvidační. Maximální výše pokuty je 20 milionů eur, tj. kolem půl miliardy českých korun, nebo 4% z celkového ročního obratu firmy, záleží na tom, jaká částka bude vyšší. Vždy ale samozřejmě bude záležet na různých okolnostech, jako je typ, závažnost a délka porušování, také míra škody, počet poškozených lidí. Výši pokuty také ovlivní to, zda a jaké kroky se udělaly ke zmírnění těchto škod. Pokuty má na starost Úřad pro ochranu osobních údajů, jehož povinností je, aby pokuty byly přiměřené, odrazující a zejména účinné.
Jaké změny by firmy měly provést?
Firmy by zejména měly zpracovávat co nejméně údajů potřebných k chodu firmy, provozování své činnosti. Když už firma určité osobní údaje bude shromažďovat a zpracovávat, je potřeba dbát co největšího zabezpečení. Ať už se to týká zabezpečení technických, například vyšší zabezpečení sítě, nebo organizačních, kde je potřeba určit co nejméně osob, které k osobním datům budou mít přístup. Nařízení ukládá firmám povinnost zavedení technických, organizačních a procesních opatření, které prokážou dodržování GDPR. Firmy mají takové povinnost zaznamenávat zpracování osobních údajů a poskytnout jej dozorovému úřadu, který tyto postupy kontroluje.
Další novinkou pro podniky je pozice pověřence pro ochranu osobních údajů. O této pozici lze obecně říci, že dohlíží, aby všechny aktivity firmy byly v souladu s GDPR. Osoba na této pozici by měla být odborníkem na ochranu osobních údajů, aby mohla poskytovat odborné poradenství s plněním těchto povinností. Pověřenec pro ochranu osobních údajů musí dostat ve firmě potřebné zázemí pro vykonávání této činnosti, také ale musí být nezávislý a musí se vyhýbat střetu zájmů.
Přínos GDPR pro občany
Změn a přínosů je celá řada. Díky GDPR budou mít občané větší právo na opravu, vymazání či přenos údajů. Všichni občané budou mít možnost přístupu ke všem údajům o sobě, kterými podniky disponují, ať už se tyto údaje nachází na serveru podniku, nebo jsou pouze součástí přílohy emailové korespondence. Občané také budou mít přístup ke svým zdravotním záznamům, své zdravotní historii a budou si moci ověřit správnost svých údajů, případně požádat o změnu. Toto právo má ale omezení v otázkách národní a veřejné bezpečnosti, například u údajů tajných služeb, kde je národní a veřejná bezpečnost upřednostňována před právem občanů ověřitelnosti svých údajů. V případě, že například již nepovažujeme za potřebné, aby o nás určitá firma dále zpracovávala naše osobní údaje, máme možnost se přihlásit o vymazání údajů, jinými slovy máme právo být zapomenut.
Nařízení ePrivacy
Aktuálně Evropský parlament provedl další krok v ochraně osobních údajů. Doplnil GDPR o nařízení o ePrivacy. Jedná se o respektování soukromého života a ochrany osobních údajů v rámci elektronických komunikací. Jelikož je toto nařízení schválené teprve koncem října 2017, tak by se firmy nestihly přizpůsobit nařízení o ePrivacy do 25. května 2018, kdy přichází v platnost GDPR, a datum platnosti zatím není známý. Toto nařízení se týká především Over-The-Top služeb (OTT), mezi které spadají populární aplikace typu Messenger, Skype, WhatsApp, Viber. Změny se týkají také cookies, kde by měl být vyžadovaný souhlas v případě cookies třetích stran, nikoliv pro cookies poskytovatele.
Je takový stupeň ochrany osobních dat zapotřebí?
Vysoký stupeň ochrany osobních údajů je velice důležitý, už jen kvůli dnešní době. V době, kdy jsme se dočkali úbytku byrokracie, zároveň přichází jisté varování. Například zneužití znalosti rodného čísla jiné osoby pro finanční půjčku je reálné spíše pouze u pochybných společností poskytujících půjčky. Pokud ale někdo disponuje kopií občanského průkazu, kde zjistíme nejen rodné číslo, ale i číslo občanského průkazu a jako bonus můžeme tuto kopii doložit úvěrové společnosti, tak máme vyhráno. Samozřejmě závisí i na výši částky, kterou požadujeme, ale obecně lze říci, že s cizí kopií občanského průkazu nám několik úvěrových společností finanční půjčku rozhodně poskytne.
Jak se někdo dostane k takovému druhu citlivých osobních údajů?
Každá společnost, se kterou máme něco společného, si o nás vede záznamy, má tedy k dispozici naše osobní údaje. Takový eshop, kde rádi nakupujeme a máme tam registraci, zpracovává údaje jako je jméno a příjmení, telefonní číslo, adresa, e-mail. Telefonní operátoři, poskytovatelé internetového a televizního připojení, banky, ti všichni shromažďují a zpracovávají citlivé osobní údaje, k registraci online se zasílá scan občanského průkazu. Náš občanský průkaz je poté k dispozici všem, kdo mají přístup k té určité e-mailové schránce, na kterou jsme průkaz zasílali. Pokud zaměstnanec firmy ukládá osobní průkazy na firemní sdílený disk, tak je průkaz také dostupný všem s přístupem do této složky sdíleného disku. A takhle by se mohlo pokračovat dál, tím chci jen poukázat na to, jak se postupně zvětšuje počet osob s přístupem k těmto osobním údajům a s tím se potenciálně zvyšuje i riziko zneužití osobních údajů. V rámci firemního prostředí je tedy potřeba dodržovat určitá pravidla, bezpečnostní opatření, aby bylo co nejméně zaměstnanců, kteří mají k osobním údajům přístup, a aby lidé zvenčí se zlými úmysly měli co nejmenší šanci se dostat k takovému druhu citlivých osobních údajů, shromažďovat je a následně zneužívat.
Budoucnost?
Doufejme tedy, že GDPR nebude pouhou nepříjemností pro firmy, ale zejména přínosem pro občany, kteří se budou moci cítit o něco klidněji. Že díky GDPR bude co nejméně případů zneužití osobních údajů. V každém případě ale není dobré se spoléhat na to, že nás nařízení Evropského parlamentu a Rady Evropské unie ochrání před vším a my můžeme bezhlavě udávat citlivé údaje do všech možných formulářů na internetu. Je důležité začít u sebe a řešit shromažďování a bezpečnost našich osobních údajů ve vlastním počítači, případně e-mailu nebo cloudu. Je dobré být ostražitý, abychom se nenachytali na triky podvodníků, kteří udělají vše pro to, aby z nás tyto citlivé údaje dostali.
Použité zdroje:
NULÍČEK, Michal. GDPR — obecné nařízení o ochraně osobních údajů. Praha: Wolters Kluwer, 2017. Praktický komentář. ISBN 9788075527653.
ŽŮREK, Jiří. Praktický průvodce GDPR. Olomouc: ANAG, 2017. Právo (ANAG). ISBN 9788075540973.
HÁJKOVÁ, Monika. Znají vaše rodné číslo. Můžou ho zneužít? In: peníze.cz [online]. [cit. 2017–12–01]. Dostupné z: https://www.penize.cz/spotrebitel/321889-znaji-vase-rodne-cislo-muzou-ho-zneuzit
MATZNER, Jiří. GDPR: Nový strašák pro firmy. Nařízení shrnuje právník In: podnikatel.cz [online]. [cit. 2017–12–01]. Dostupné z: https://www.podnikatel.cz/clanky/gdpr-novy-strasak-pro-firmy-narizeni-shrnuje-pravnik/
DOLEJŠOVÁ, Petra. 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu In: podnikatel.cz [online]. [cit. 2017–12–01]. Dostupné z: https://www.podnikatel.cz/clanky/7-kroku-jak-se-vyrovnat-s-tajemnym-gdpr-tedy-ochranou-osobnich-udaju-ponovu/
PAVLÁT, David. Ke shromažďování osobních údajů při uzavírání smlouvy In: uoou.cz [online]. [cit. 2017–12–01]. Dostupné z: https://www.uoou.cz/ke-shromazdovani-osobnich-udaju-pri-uzavirani-smlouvy/d-1581
Tisková zpráva: Nařízení o ePrivacy jako doplněk k GDPR In: uoou.cz [online]. [cit. 2017–12–01]. Dostupné z: https://www.uoou.cz/tiskova-zprava/d-27454/p1=1017
Questions and Answers — Data protection reform In: europa.eu [online]. [cit. 2017–12–01]. Dostupné z: http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
Protection of personal data In: ec.europa.eu [online]. [cit. 2017–12–01]. Dostupné z: http://ec.europa.eu/justice/data-protection
Titulní obrázek je určen pro nekomerční použití a použit ze zdroje: https://c1.staticflickr.com/5/4262/35440117101_cbfe2c9d2b_b.jpg
