Co je to vlastně GDPR? Společnost ho vnímá možná s ještě větším strachem než EET. Je opravdu čeho se obávat?

GDPR představuje nový celoevropský právní rámec pravidel pro zpracování osobních údajů. Nelze nezmínit v základech výraznou kontinuitu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, který bude tímto předpisem nahrazen, ale GDPR zároveň přináší některé nové povinnosti, kterými reaguje na současnou, zejména digitální, dobu. U většiny správců, kteří plnili povinnosti dle zákona o ochraně osobních údajů, není na místě mít velký strach z GDPR.

Jaká je v rámci GDPR role ÚOOÚ? Které povinnosti přibudou a co naopak vnímáte jako pozitivní krok?

Úřad pro ochranu osobních údajů, tak jako doposud, bude i za účinnosti GDPR plnit roli dozorového úřadu, což s sebou přináší i plnění řady nových úkolů a uplatňování pravomocí, související s novými instituty v GDPR. V rámci GDPR je do jisté míry i posílena spolupráce mezi jednotlivými dozorovými úřady, což je reakcí na stále častější přeshraniční zpracování správcem usazeným např. pouze v jedné zemi. Za pozitivní lze jmenovat aktualizaci pravidel odpovídající současné společnosti a též, že jde o jeden text, který bude platit napříč Evropou, odpadne tak nutnost zjišťovat jednotlivé právní úpravy zpracování osobních údajů v členských zemích EU. Jinými slovy, jde o text, který odpovídá současné době a prostoru, ve kterém žijeme.

Důležitou úlohu hraje také Pracovní skupina WP29. O co se vlastně jedná, jaké jsou její hlavní činnosti a přínosy?

Jde o skupinu složenou z odborných zástupců dozorových úřadů, která vydává stanoviska, názory na aktuální dění na poli ochrany osobních údajů. Její význam se zvýší s účinností GDPR, jelikož bude transformována na tzv. Evropský sbor pro ochranu údajů, který bude nadán např. k vydávání metodických pokynů k některým institutům a povinnostem v GDPR. Tyto materiály, které jsou česky překládány jako vodítka, jsou již vydávány v současné době a spolu s dalšími informačními materiály, např. základní příručkou GDPR, jsou dostupné na internetových stránkách Úřadu. Související úlohou Sboru bude i v určitých případech přispívat k jednotnému uplatňování GDPR ze strany dozorových úřadů.

ÚOOÚ je hlavním dozorcem nad dodržováním povinností při zpracovávání osobních údajů. Vnímáte GDPRjako krok vpřed, který přinese lepší podmínky jak pro naše osobní údaje, tak pro nás samotné?

GDPR je rozhodně krokem vpřed. Jde o dokument, který odpovídá současné době, které je nutné uzpůsobit i právní předpisy, přičemž ty původní, např. Směrnice 95/46/ES, resp. zákon o ochraně osobních údajů, který z ní vychází, již byly zastaralé a nemohly řádně reflektovat současný stav v oblasti zpracování osobních údajů. Zejména pokud jde o digitalizaci či globální provázanost správců a jejich činností. Nelze ani opomenout, že GDPR přináší i aktualizovaný a posílený systém práv subjektu údajů.

Je z Vašeho hlediska něco, co se v rámci přijetí tohoto nařízení mohlo udělat jinak a lépe?

Nejspíše žádný právní předpis nemůže být dokonalý, jelikož se aplikuje na nepřeberné množství situací a dvojnásob to platí v oblasti ochrany osobních údajů, která je hodně abstraktní, vzhledem k tomu, že pokrývá de facto většinu lidských činností. Až čas ukáže, zdali GDPR bude použitelný předpis či zdali jej bude v nutné v brzké době aktualizovat.

Základem je chovat se k osobním údajům korektně a dodržovat základní zásady zpracování, především osobní údaje zpracovávat pouze pro legitimní účely, po nezbytnou dobu a v nezbytném rozsahu.

Bude toto nové nařízení schopno poskytnout ochranu osobních údajů ve všech formách, když se vezme v potaz neustálý technický pokrok? Nebudou opět nějaké mezery, které bude potřeba pokrýt?

Na neustálý technický pokrok reaguje GDPR tím, že je koncipováno na takzvaném přístupu založeném na riziku, což znamená, že právě např. v případě převratné technické novinky, která by byla způsobilá výrazně zasáhnout lidem do jejich práv a svobod, musí její provozovatel (správce) provést tzv. posouzení vlivu na ochranu osobních údajů, jinými slovy následně pak přijmout opatření, aby se vysoké riziko zmírnilo. Další „pojistkou“ je např. povinnost pro některé správce jmenovat pověřence pro ochranu osobních údajů.

Myslíte, že společnosti budou brát GDPR jako příležitost pro to, aby si „udělali pořádek“ nebo bude přijato spíše negativně?

Je nutné si uvědomit, že pravidla pro zpracování osobních údajů platí již od roku 2000, resp. od roku 2004 pravidla, která vychází ze současné směrnice 95/46/ES, která bude právě nahrazena od 25. května 2018 Obecným nařízením. Vzhledem k tomu, že základní principy a pravidla zpracování zůstávají v GDPR výrazně nezměněna, nemělo by pro správce, kteří se řídí zákonem o ochraně osobních údajů, představovat GDPR výrazné náklady či nároky na čas. Každý však musí zhodnotit zpracování, které provádí a srovnat jej s povinnostmi v GDPR. Zároveň pro mnoho správců může GDPR představovat „druhou“ šanci, začít od čistého stolu a být v souladu s Obecným nařízením, což se každému vyplatí i vůči např. zaměstnancům nebo i zákazníkům.

Co byste poradil všem, kteří se touto problematikou musí zaobírat? Jaké kroky by měli podniknout, aby v květnu 2018 splňovali vše, co je zapotřebí?

Zachovat klidnou hlavu, nenaletět různým konzultačním a „podomním“ prodejcům nabízejícím za závratné částky analýzu prováděného zpracování a další služby, jako např. zázračný „GDPR ready“ software. Základem je chovat se k osobním údajům korektně a dodržovat základní zásady zpracování, především osobní údaje zpracovávat pouze pro legitimní účely, po nezbytnou dobu a v nezbytném rozsahu. Pochopení základních principů a pravidel zpracování osobních údajů výrazně usnadní postup a podotýkám, že nejde o nic obtížného, co by nezvládl drobný živnostník či podnikatel, který osobní údaje získává pouze jako „vedlejší“ produkt své činnosti, např. když prodává zboží fyzickým osobám. Na druhou stranu organizace, u nichž osobní údaje hrají hlavní roli, případně jsou hlavním předmětem činnosti, musí logicky věnovat adaptaci na GDPR zvýšené úsilí.