Určitě už jste zkratku GDPR poslední dobou někde zaslechli nebo viděli. Případně jste mohli slyšet termín „nový zákon o ochraně osobních údajů,“ což není úplně přesné, ale pro popis situace, která má nastat v květnu 2018 je to výstižné. Pokud jste se pokoušeli své případné otázky zodpovědět vyhledáváním těchto termínů na internetu, pravděpodobně jste narazili na řadu článků od tzv. strašáků, přes odkaz na revoluci v ochraně osobních údajů až po řešení GDPR pozvánkou na marketingové akce se zázračným programem, který snad vše kolem GDPR už dávno zná a ovládá. Pokud se prokoušete takovými informacemi, narazíte i na články, které vás posunou v informovanosti dále. Zjistíte ale, že se v těch informacích začínáte ztrácet.

Jaký tedy zvolit postup a jak filtrovat příval informací, který bude s blížícím se nabytím účinnosti GDPR sílit?

Pojďme si v našem článku pojem GDPR osvětlit v této rovině. 

GDPR (General Data Protection Regulation), nebo chcete-li český termín, obecné nařízení o ochraně osobních údajů, je nová právní úprava v oblasti ochrany osobních údajů. Dne 25. května 2018 vyprší přechodné období pro přizpůsobení se jeho požadavkům. Toto nařízení EU o ochraně osobních údajů zavádí nové povinnosti pro všechny subjekty zpracovávající osobní údaje a zároveň zavádí mechanismus k jejich prosazení, tedy možnost udělení vysokých sankcí. Zavádí přístup ke zpracování osobních údajů založený na odpovědnosti, což v praxi bude znamenat povinnost kdykoliv prokázat soulad s novými právními předpisy. Práva fyzických osob jejichž údaje jsou zpracovávány, se významně rozšiřují (např. jsou upřesněna pravidla pro udělování souhlasu se zpracováním osobních údajů nebo se zavádí právo na přenositelnost údajů). Tímto se pochopitelně rozšiřují také povinnosti subjektů zpracovávajících osobní údaje.

Na obecných základech a principech ochrany osobních údajů se však nic nemění. Pro ty, kteří již nyní zpracovávají osobní údaje v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, nebude GDPR takovým strašákem, jak je v mnoha případech prezentováno. Pro odpověď na soulad s GDPR je vhodné si nejdříve provést analýzu současného stavu, tedy určit, jaké zpracovávané údaje jsou považovány za osobní údaje, stanovit jejich rozsah a kategorii. Dále je nutné si vyhodnotit rizika, která plynou z jejich zpracovávání. Tato analýza Vám pomůže eliminovat ustanovení nařízení, která se Vaší firmy netýkají, a zároveň si ujasnit případné nové povinnosti (např. nutnost jmenování pověřence, nutnost vést záznamy o činnostech zpracování, apod.). Získáte tak dobrou startovní pozici pro zavedení GDPR, tedy vyhodnocení současného stavu a jeho souladu s novými předpisy.

Pro tolik diskutované pokuty, jejichž výše jsou při závažných porušeních předpisů závratné, zároveň platí, že by měly být nejen odrazující, ale také účinné a přiměřené. Vzhledem k tomu, že je zavedena i řada dalších nápravných opatření (např. upozornění, udělení napomenutí, nařízení k jednání, apod.), nemusí každé porušení obecného nařízení ihned představovat uložení správní pokuty. Jak přísný bude nově vzniklý dozorový orgán, který nahradí Úřad pro ochranu osobních údajů, ukáže až praxe.

Doporučujeme změnám na poli ochrany osobních údajů věnovat zvýšenou pozornost. Výrazným způsobem tak omezíte riziko stížností ze strany spotřebitelů, kterým zasíláte obchodní sdělení, ze strany konkurentů či nespokojených zaměstnanců.

Doporučujeme začít s analýzou zpracovávání osobních údajů ve Vaší firmě co nejdříve. Výsledkům analýzy přizpůsobit své vnitřní procesy ve všech oblastech týkajících se zpracování osobních údajů, své databáze osobních údajů, případně své souhlasy se zpracováváním osobních údajů, potažmo uzavřené smlouvy.

A informace na závěr? Datem 28.5.2018 to nekončí. Být v souladu s GDPR bude postupný a neustálý proces, v němž bude důležité si správně vyhodnotit rizika a stanovit priority.