Co vlastně GDPR znamená? „Je to obecné nařízení o ochraně osobních údajů. Ta obecnost vlastně spočívá v tom, že to je základní instrument ochrany osobních údajů a pak jsou ještě segmenty, které jsou regulovány speciálními regulacemi,“ uvedl na začátek expert na ochranu osobních údajů Vít Zvánovec.
V České republice podle Zvánovce platila do této doby dostatečná legislativa. „Česká republika jako člen Evropské unie měla povinnost implementovat do svého právního řádu směrnici o ochraně osobních údajů, a to se stalo zákonem o ochraně osobních údajů. Byli jsme plně v souladu požadavky Evropské unie na to, jak máme chránit osobní údaje,“ řekl. Podle něj je nově zaváděné GDPR výsledkem postupného vývoje.
V soukromém sektoru tak přichází s GDPR novinky, které zde doposud nebyly. „Některé povinnosti dokonce zaniknou,“ uvedl Zvánovec. Podle něj novinek, které GDPR přináší, nebude pro soukromý sektor až tolik. „Pokud někdo dodržoval zákon o ochraně osobních údajů, neměl by mít nějaké povinnosti navíc s výjimkou některých drobností,“ upřesnil.
Novinkou je ovšem například post „pověřence“, který bude monitorovat soulad zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat. „V soukromém sektoru by to problém být neměl,“ uvedl Zvánovec. „Většinou v těchto společnostech už existuje člověk, který má na starost ochranu osobních údajů,“ dodal.
Problém by ovšem mohl nastat ve veřejném sektoru. „Ve veřejném sektoru budou muset mít prakticky všechny instituce pověřence, což je novinka. Je to povinnost, která je tíživá pro veřejný sektor, na druhou stranu ten pověřenec může být sdílen obcemi. Pokud těch malých obcí bude hodně, může jich třeba padesát sdílet jednoho pověřence,“ dodal vedoucí legislativního oddělení Úřadu pro ochranu osobních údajů.
Panika kvůli pokutám
Udělené pokuty v rámci nového nařízení ohledně ochrany osobních údajů se totiž mohou vyšplhat až do výše 500 milionů korun. „V Česku vznikla ohledně pokut trochu panika,“ uvedl Zvánovec s tím, že takto vysoké částky by se spíše týkaly velkých společností. „GDPR necílí jen na drobné podnikatele, ale cílí na velké nadnárodní podnikatele typu Facebook nebo Google,“ dodal.
Podle Zvánovce není cílem GDPR znepříjemňovat lidem každodenní život. „Cílem evropské regulace je nastavit pravidla, aby ti největší správci se chovali rozumně,“ uvedl.
U fotografií záleží na jejich účelu
Velký poplach okolo evropského nařízení vznikl také i v souvislosti se školami a zveřejňováním fotografií. Podle Zvánovce s debatou o GDPR vzniklo v České republice zmatení, co se týká a co už se netýká zpracování osobních údajů.
„My říkáme, že takzvané reportážní fotografie, například fotografie ilustrující činnost školy, nejsou zpracováním osobních údajů, protože tam děti nejsou identifikovatelné nebo jen obtížně, tudíž není důvod vyžadovat zpracování osobních údajů,“ vysvětlil v Rozstřelu s tím, že pokud jde o reportážní fotografie, nelze hovořit o zpracování osobních údajů.
Problém by ovšem mohl nastat, pokud by děti na fotografiích byly označeny. Roli zde hraje to, zda dotyčný, případně dítě, bude souhlasit s tím, aby byl na fotografii označen. To je podle experta otázkou zejména u dětí na prvním stupni, kteří nemusí být natolik vyspělé, aby o něčem takovém mohli rozhodovat. Naopak u studentů střední školy to bude v pořádku. „Už mají dostatečnou rozumovou vyspělost, aby si byli vědomi, co to znamená, když budou označeny na nějaké fotografii,“ doplnil.
V případě zveřejnění fotografie například žáků třetí třídy bude sankcionován správce fotografie, tedy ten, kdo ji uveřejnil. „Jde o to, že ochrana soukromí spočívá na tom, že každý má právo rozhodovat o sobě sám,“ vysvětlil.
Další mýtus, který se kolem GDPR a škol objevil, byl zákaz zkoušení před třídou. „To už je úplný nesmysl. Jde o to, že veřejné zkoušení je standardní součástí vyučovacího procesu. U nás se už stovky let zkouší před tabulí a všichni jsou s tím srozumění. Je to součást výuky,“ uvedl Zvánovec.
Zákaz volání pacienta v čekárně celým jménem je nesmysl
Speciální oblast ve zpracování osobních údajů se týká zdravotnictví. Dalším mýtem, který se s GDPR objevil, byla informace o tom, že sestřička nebude moci vyvolávat pacienta jménem. Naopak by se do budoucna mělo zabránit tomu, aby sestřička sdělovala před ostatními pacienty v čekárně něčí diagnózu, což se v současné době stává.
Podle Zvánovce také neplatí, že by museli lékaři v budoucnu nějak speciálně šifrovat zdravotní záznamy pacientů. „Osobní údaje patří pacientovi. Pokud si pacient dohodne způsob komunikace s lékařem, například nezašifrovaný e-mail, tak není nic proti ničemu, když mu lékař pošle výsledky normálním e-mailem,“ řekl s tím, že v tomto případě ústní dohoda mezi pacientem a lékařem stačí.
Rozstřel
Sledovat další díly na iDNES.tvGDPR, tedy Obecné nařízení o ochraně osobních údajů, se v posledních dnech stalo velmi diskutovaným tématem. V souvislosti se zavedením nových předpisů se objevilo mnoho nepřesných informací, co všechno se po 25. květnu pro podnikatele i úřady změní.
Pro běžného občana nebude zavedení GDPR znamenat žádné zásadní změny, naopak zpřesní jeho současná práva a některá nová zavede. Novinkou bude například právo na přenositelnost údajů, které ale v praxi nebude pravděpodobně hrát významnou roli. Velké změny naopak zaznamenají firmy a orgány veřejné správy, které musí zlepšit zabezpečení osobních údajů i vést k tomu evidenci. Budou také muset oznamovat bezpečnostní incidenty Úřadu pro ochranu osobních údajů a lidem, jejichž data unikla