Co musíte jako podnikatel udělat kvůli GDPR. Už v pátek začne platit

Pro podnikatele nemusí GDPR nutně znamenat zásadní změny. Při vhodném upravení stávajících vnitřních předpisů firmy nemusí být přechod ani obtížný. Rady, na co všechno by měl člověk s příchodem nového předpisu pamatovat, sepsali odborníci pro Technet.cz.
Ilustrační snímek

Ilustrační snímek | foto: Profimedia.cz

První díl našeho speciálu o GDPR, který i laikovi osvětlí, že ani tento nový předpis mu neodepře možnost dávat na web například fotografie z koncertů nebo ulice, si můžete přečíst zde

Na aktuální otázky týkající se GDPR jsme se zeptali čtyř odborníků, kteří se ochranou osobních údajů zabývají. Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.

4. Jaké vnitřní předpisy by měl podnikatel zavést v souvislosti s GDPR?

Rámiš: Myslím, že by se každý měl předně zamyslet nad tím, jak může skloubit své již existující vnitřní předpisy s GDPR a zda je nestačí jen upravit (např. předpisy stanovující technická a organizační opatření k ochraně osobních údajů podle současného zákona 101/2000 Sb.). Co bude třeba udělat nově, bude určitě vnitřní předpis určující, jak postupovat v případě zjištění tzv. data breach, tedy porušení zabezpečení osobních údajů. Určitě je také třeba se zamyslet nad případnými úpravami archivačních a spisových řádů a ve větších firmách také nad nějakým zastřešujícím organizačním předpisem, který by určoval kompetence jednotlivých osob v rámci procesů ochrany osobních údajů. Velká pozornost by měla být samozřejmě věnována i IT bezpečnosti a bezpečnosti osobních údajů vůbec.

Nonnemann:  To záleží především na předmětu činnosti správce a rozsahu a rizikovosti zpracování osobních údajů, které provádí. U těch subjektů, pro které je zpracování údajů jen doplňkovou činností, není nezbytné vytvářet rozsáhlé předpisy, postačí základní určení odpovědností za zpracování dat a plnění souvisejících povinností. V případě organizace, která provádí rozsáhlé zpracování osobních údajů, profilování, či zpracovává citlivé osobní údaje (o zdravotním stavu, o národnostním či etnickém původu, biometrické údaje atd.), je již podle mého názoru nutné komplexně popsat jak rozdělení odpovědností za všechny související agendy, tak i za plnění a dokumentování jednotlivých povinností dle GDPR. Záleží na rozhodnutí správce, jestli všechny tyto aspekty upraví v jednom vnitřním předpise, nebo jestli některé body upraví v samostatných předpisech, např. výběr a ověření zpracovatele osobních údajů, postavení a kompetence pověřence pro ochranu osobních údajů, zabezpečení informací atd.

Žůrek: Nelze paušalizovat, že každý podnikatel v pozici správce by měl přijmout vnitřní předpisy na ochranu osobních údajů. GDPR je tzv. performance based regulation, což znamená, že předpis se na adresáta vztahuje v závislosti na šíři či spektru jeho činnosti, tj. drobný živnostník bude zpravidla plnit nejzákladnější povinnosti, zatímco „hlavním“ adresátem GDPR jsou správci typu bank, telefonních operátorů, nemocnice, sociální sítě atd., kteří budou muset plnit většinu povinností. Tudíž i speciální vnitřní předpisy upravující zpracovávání osobních údajů uvnitř organizace musí mít jen ty organizace, u nichž je to s ohledem na jejich činnosti zpracování, které provádí, žádoucí. Není tedy povinnost pro každého mít vypracovánu směrnici pro zaměstnance ohledně jimi prováděného zpracování osobních údajů.

Pattynová: Souhlasím s kolegy. Vedle povinných záznamů zpracování u organizací nad 250 zaměstnanců považuji za nejdůležitější jednoduchou směrnici pro zaměstnance se základními pravidly nakládání s osobními údaji, archivační a skartační řád a řízení přístupových práv. Organizace by také neměly zapomínat na hodnocení vlivu (DPIA). DPIA bývá často opomíjena např. u zpracování souvisejících s monitorováním využití IT nástrojů zaměstnanci.

5. Jak vnímáte vodítka WP29 (WP29 je skupina sdružující dozorové orgány z jednotlivých členských států EU), jsou podle vás užitečná, či příliš extenzivní? A jaký bude jejich praktický přínos?

Pattynová: Vodítka jsou přínosná, ale obsahují velmi konzervativní výklady často nad rámec požadavků GDPR. Správci jsou tak konfrontování se zpřísněnými požadavky, aniž by mohli předvídat, jak tyto zpřísněné požadavky obstojí v případném soudním přezkumu.

Rámiš: Vodítka WP29 jsou určitě přínosná, nicméně nemohu se ubránit dojmu, že často také trpí výše zmíněným tunelovým syndromem. Měla by více vyvažovat ochranu údajů se zájmy na rozvoji společnosti a více zohledňovat praktickou stránku věci a náklady, které by případně vznikly firmám při nutnosti aplikovat všechna opatření, která jsou předpokládána (a která někdy nemají oporu v GDPR).

Nonnemann: Zejména u nových institutů, které GDPR přináší, je jistě velmi žádoucí, aby dozorové orgány vyjádřily, jak je budou vykládat. K přístupu WP29 však mám dvě spíše kritické připomínky: jednak k řadě zásadních bodů GDPR vodítka vydána nebyla a do účinnosti GDPR ani vydána nebudou, což stěžuje implementaci nařízení. A druhou připomínkou je můj osobní pocit, že WP29 jde v některých vodítkách nad rámec toho, co evropský normotvůrce přijal, a snaží se správcům údajů ukládat nové povinnosti nad rámec nařízení, což je samozřejmě nepřijatelné. Věřím však, že český dozorový úřad, či v krajním případě správní soudy, budou tento přístup korigovat.

Žůrek: Vodítka WP29, resp. od 25. 5. 2018 Sboru, jsou důležitou součástí celého „ekosystému“ GDPR. Byť nejsou právně závazná ve smyslu právního předpisu, samo GDPR jim dodává „sílu“ v tom směru, že předpokládá jejich vydávání. Navíc jsou výsledkem práce zástupců jednotlivých dozorových úřadů, tudíž v tomto ohledu mají poměrně velký význam. Jejich praktický přínos spatřuji zejména v podrobných informacích, jež využijí především organizace, které mají mít povinně jmenovaného pověřence pro ochranu osobních údajů, nebo ty organizace, u kterých je to s ohledem na jejich činnost žádoucí. Zdali jsou vodítka extenzivní, uvidíme až v praxi podle postupů dozorových úřadů. Podotýkám, že každý má právo na soudní ochranu před právně účinným rozhodnutím dozorového úřadu. To i v případě domněnky, že rozhodnutí dozorového úřadu vychází z údajného extenzivního výkladu ve vodítkách.

6. Vztah k ePrivacy směrnici – je nyní kvůli GDPR něco nutno měnit na využívání cookies, jak fungují v režimu ePrivacy směrnice, resp. zákona o elektronických komunikacích?

Rámiš: Cookies jsou dnes takový otloukánek. Ačkoliv údaje získané z cookies, pokud nejsou propojené s konkrétními identifikačními údaji, jsou nanejvýš tzv. pseudonymními údaji (tedy relativně bezpečné), tak se z nich dělá veřejný nepřítel číslo jedna. Využívání cookies je navíc v Česku specifické díky lokální implementaci ePrivacy směrnice, která je poměrně benevolentní. 

Takzvaná ePrivacy směrnice (tedy směrnice 2002/58/ES) řeší ochranu soukromí v elektronických komunikacích, možnost zasílání e-mailových newsletterů a mimo jiné také použití tzv. síťových identifikátorů (cookies apod.).  

V České republice je implementována zákonem č. 127/2005 Sb., o elektronických komunikacích. EU připravuje nahrazení této směrnice novým přímo účinným nařízením ePrivacy, které by mělo celou úpravu zmodernizovat.

Osobně bych u cookies kladl v současnosti důraz zejména na splnění informační povinnosti vůči subjektům údajů. Možnost použití cookies (případně souhlas s ním) se dá pravděpodobně stále presumovat z nastavení prohlížeče. V ostatním mi připadá smysluplné vyčkat na finální znění připravovaného nového nařízení ePrivacy, které současnou směrnici nahradí. Samozřejmě nelze vyloučit, že k nám z ostatních zemí EU dorazí přísnější výklad těchto pravidel.

Žůrek: Problematika cookies není dnes úplně jednoduše uchopitelná, jelikož cookies mohou sloužit k různým účelům, a též i z důvodu zastaralé legislativy. Nejjasnější je situace u tzv. technických cookies, které slouží, aby se webové stránky správně zobrazovaly atd., ty lze využívat bez souhlasu uživatele. Pro ostatní typy cookies, např. reklamní, by měl platit tzv. opt-in princip, kdy uživatel s jejich použitím vysloví souhlas. GDPR do problematiky cookies nijak výrazně nezasahuje, jelikož jde o samostatnou oblast, která je předmětem úpravy jiných předpisů (zákona č. 127/2005 Sb., o elektronických komunikacích, resp. na evropské úrovni je to tzv. ePrivacy směrnice). Na jednu stranu je možné, že z cookies se dělá někdy zbytečný strašák. Vždy záleží na způsobu jejich využití.

Nonnemann: Podle mého názoru nikoliv. GDPR není jediným právním předpisem, a pokud zákon o elektronických komunikacích říká, jakým způsobem lze s cookies pracovat, byť tato transpozice ePrivacy směrnice není zcela přesná, pak se jedná o zvláštní právní úpravu, která má přednost. Nejefektivnější, a z pohledu výkonu veřejné moci i nejspravedlivější, je podle mého názoru vyčkat na schválení ePrivacy nařízení, a až poté vykládat vztah ke GDPR a důsledky pro praxi.

Pattynová: Souhlasím, cookies podléhají právní úpravě, kterou ve vztahu k GDPR považuji za zvláštní úpravu, ať už se jedná o stávající úpravu, nebo v budoucnu o nařízení ePrivacy. Proto se také přikláním k závěru postupovat v této oblasti podle stávající úpravy a následně implementovat přímo nařízení ePrivacy.

Pokračování zítra. 

Nejčtenější

ANALÝZA: Tragédie letu Air India. Je na vině chyba pilotů, nebo selhání motorů?

Nad Ahmadábádem se ještě nerozptýlil dým po výbuchu zhruba 126 tisíc litrů leteckého paliva a hned jsme měli možnost číst výčet možných příčin katastrofy letu Air India AI-171. S delším časovým...

Parní lokomotivy s budkou na přídi nepůsobily uklidňujícím dojmem

Parní lokomotivy se stavěly i s kabinou vpředu. Výhodou byl výtečný výhled strojvedoucího, to se s klasikou vůbec nedalo srovnat. Druhá zásadní výhoda přicházela ke slovu při jízdě v dlouhých...

Apple uvedl „tekuté sklo“, zcela mění design systému pro všechna zařízení

Technologický gigant Apple se rozhodl zcela přepracovat vizáž operačního systému pro všechna svá zařízení. Je to největší změna designu od roku 2013, kdy byl představen systém iOS 7. Soustředí se na...

Aviatická pouť předvedla premiéry hned tří letounů: Hurricane, Anson a Skyfox

Letošní Aviatická pouť nabídla nejen zajímavé letecké premiéry. I přes složité meteorologické podmínky se opět organizátorům podařilo sestavit a dodržet nabitý program. Ohlédněme se za minulým...

Slavná letadlová loď Enterprise jde do šrotu. Bude to náročná operace

Osud nejstarší americké letadlové lodě s jaderným pohonem je definitivně zpečetěn. Námořnictvo podepsalo kontrakt na její demontáž. Část recyklované ocele skončí v novém plavidle stejného jména.

Plyn už nebude zbraní. Před 100 lety svět zakázal chemické a biologické útoky

Dne 17. června 1925 podepsalo v Ženevě 38 států zásadní dokument – protokol o zákazu použití dusivých plynů a bakteriologických metod vedení války. Šlo o první vážný mezinárodní krok ke kontrole...

17. června 2025

Ruš, nebo budeš zrušen. Na Ukrajině probíhá revoluce elektronického boje

Od našich zpravodajů na Ukrajině Je to neviditelná součást války, ale možná nejdůležitější. S masivním nasazením dronů na Ukrajině se pojí i revoluce v elektronickém boji, obě strany se neustále snaží překonat protivníkovy rušičky a...

17. června 2025

Příběh mého modelu: Dokončit model „Turbíka“ trvalo čtvrt století

Soutěž

Než něco vyhodíte, dobře si to rozmyslete. To platí i v modelařině. Tento příběh odloženého a znovu nalezeného modelu nám poslal Lukáš Ondák. Po 26 letech se vrátil ke stavbě modelu stroje Let L-410...

17. června 2025

Kdy sopka vybuchne znovu? Červnová erupce Etny ukázala, že stromy napovědí

Premium

Pozoruhodný objev: krátce před erupcí vulkánu bývá listí na okolních stromech zelenější než obvykle. Vegetace v okolí sopek se proto bude hlídat z vesmíru. Sopky jsou fascinující. Nespoutané a...

16. června 2025

Před sto lety vznikl tábor Artěk, pionýrská legenda na Krymu

16. června 1925 se na Krymu otevřel první sovětský pionýrský tábor Artěk. Zdravotní zařízení pro děti nemocné tuberkulózou se postupně proměnilo v prestižní rekreační centrum mládeže, kam jezdily...

16. června 2025

Videochat dostává novou, ale drahou dimenzi. „Přenese“ vás do místnosti

Nepotřebujete žádné brýle s virtuální nebo rozšířenou realitou ani sluchátka, abyste měli pocit, že člověk s nímž komunikujete, opravdu sedí na druhém konci stolu. Zařízení HP Dimension s Google Beam...

16. června 2025

Firma shání legendární stíhačky Phantom. Chce je používat k vypouštění družic

Potřebujete dostat nějaký drobný náklad na nízkou oběžnou dráhu Země? Brzo se budete moci obrátit na americkou společnost Starfighters International. Chce nakoupit flotilu legendárních námořních...

16. června 2025

Když kus Slunce spadne na zem. Vševěd ví o kráterech po dopadu meteoritů

Premium

Bylo pozdní jaro, tak roku 66 500 000 př. n. l. plus minus milion let. Z ničeho nic se nad místy, kterým dnes říkáme Severní Amerika, objevila obří ohnivá koule. Dinosauři se nestačili ani ohlédnout,...

15. června 2025

ANALÝZA: Tragédie letu Air India. Je na vině chyba pilotů, nebo selhání motorů?

Nad Ahmadábádem se ještě nerozptýlil dým po výbuchu zhruba 126 tisíc litrů leteckého paliva a hned jsme měli možnost číst výčet možných příčin katastrofy letu Air India AI-171. S delším časovým...

15. června 2025  9:20

Aviatická pouť předvedla premiéry hned tří letounů: Hurricane, Anson a Skyfox

Letošní Aviatická pouť nabídla nejen zajímavé letecké premiéry. I přes složité meteorologické podmínky se opět organizátorům podařilo sestavit a dodržet nabitý program. Ohlédněme se za minulým...

15. června 2025

Jedna kapsle denně proti ženským obtížím, vyhrajte probiotika Her Biotic
Jedna kapsle denně proti ženským obtížím, vyhrajte probiotika Her Biotic

Nepohodlí v intimní oblasti dokáže pořádně znepříjemnit každodenní život. Her Biotic je přírodní doplněk stravy, který pečuje o ženské zdraví...

Móda mezi šrapnely. Pro materiál na zákopový prsten někdy riskovali i život

Z hlediska vojenských dějin lze o prstenech říci, že se jedná o ozdobu historicky pevně spojenou s prostředím armády. Podle řecké mytologie byl prvním nositelem prstenu bájný Prométheus a...

14. června 2025

Příběh mého modelu: Svítily mu oči. MiG-21 byl pro pilota překvapením

Soutěž

Přinášíme vám první příběh z naší letní modelářské soutěže. Modelář Aleš Růženec se s námi podělil o okolnosti vzniku svého modelu letounu MiG-21. Brzy se můžete těšit na další příspěvky čtenářů do...

14. června 2025
Nastavte si velikost písma, podle vašich preferencí.