Nové obecné nařízení EU o ochraně osobních údajů (GDPR) vstoupí v účinnost 25. května 2018. Už řadu měsíců ale zvedá vlnu očekávání a nejistoty. V atmosféře nasáklé obavami se skvěle šíří neúplné informace a ne jedna neziskovka už propadla panice. Čemu věřit? Revoluční změny, likvidační pokuty i drahý software uvádí na pravou míru právník David Horn.
Revoluce? Spíše evoluce
O GDPR se často hovoří jako o „revoluci“ v oblasti ochrany osobních údajů. Z toho lze nabýt dojem, že se na vás valí obrovská smršť nových povinností, kterou nelze ustát. Jediný revoluční prvek GDPR je ovšem spíše formální – jako evropské nařízení je totiž přímo aplikovatelné ve všech členských státech. Po obsahové stránce naopak plynule navazuje na dosavadní platnou úpravu, kterou pouze v určitých otázkách mění či rozšiřuje.
Pokud tedy vaše organizace dosud dodržovala pravidla stanovená českým zákonem o ochraně osobních údajů z roku 2000, nebude pro vás plnění požadavků GDPR nijak drastickým skokem do neznáma. Přípravné období naopak můžete využít k zefektivnění práce s osobními údaji uvnitř organizace a vyváženému rozdělení rolí ve vašem týmu. Budete-li s daty zacházet zákonným způsobem, nejenže tím ochráníte osoby, které se na činnosti vaší organizace podílejí, ale pomůžete i posílit důvěru v neziskový sektor jako takový.
Dvojí metr: ne všechno se vás týká
Plnění určitých povinností plynoucích z GDPR s sebou bezesporu nese zvýšenou administrativní a personální zátěž. Takové povinnosti proto dopadnou především na větší organizace, které mají lepší předpoklady tuto zátěž zvládnout, případně subjekty, jejichž činnost je na zpracování osobních údajů přímo založena nebo které ve velkém rozsahu zpracovávají údaje vyžadující vyšší míru ochrany.
Neziskovým organizacím se tak může vyhnout například obávaná povinnost vést záznamy o zpracování osobních údajů, která s výjimkami platí pouze pro organizace s více než 250 zaměstnanci. V opačném případě je zohledněno, že zejména menší organizace nemusejí mít dostatečnou časovou i personální kapacitu na vedení podrobných záznamů, a tuto povinnost tak postačí splnit alespoň v minimálním rozsahu, například vyplněním formuláře, v němž budou požadované informace uvedeny. Dále například nestátní neziskovky nebudou muset jmenovat pověřence pro ochranu osobních údajů, pokud jejich hlavní činnost přímo nevyžaduje rozsáhlé pravidelné a systematické monitorování občanů či rozsáhlé zpracování zvláštních kategorií údajů, kterými jsou například zdravotní stav, sexuální orientace či etnický původ.
Pokud se rozsáhlému zpracování zvláštních kategorií údajů věnujete, platí, že pověřence pro ochranu osobních údajů budete muset jmenovat. Pokud si nejste jisti, doporučujeme konzultaci s odborníkem.
Speciální software pusťte z hlavy
Nemusíte kupovat drahé speciální programy pro šifrování a zabezpečení údajů, abyste vyhověli požadavkům GDPR. Vzhledem k tomu, že zpracování osobních údajů může probíhat i v e-mailovém rozhraní, programech na tvorbu tabulek či online aplikacích a cloudech, nebyla by instalace specializovaného softwaru často ani efektivní.
Ačkoli GDPR doporučuje šifrování jako jedno z vhodných technických opatření k zabezpečení údajů, neplyne z něj žádná přímá povinnost k zavádění takových řešení. Vaše organizace si nicméně musí ověřit, jakými prostředky a mechanismy jsou jí zpracovávané osobní údaje chráněny (síťová zabezpečení, zaheslované přístupy, nastavení soukromí v zařízeních a v aplikacích apod.) a vyhodnotit, zda taková úroveň zabezpečení vyhovuje požadavkům GDPR.
Pokuty jsou podstatně vyšší, ale…
V souvislosti s GDPR jsou často zmiňovány vysoké finanční pokuty, které mnozí označují za astronomické či likvidační. Nová maximální výše pokuty za porušení povinností uložených GDPR sice skutečně činí až 20.000.000,- EUR nebo 4 % z ročního obratu společnosti (podle toho, která z uvedených hodnot je vyšší), stále nicméně platí, že pokuty musí být v praxi ukládány tak, aby byly účinné, přiměřené a odrazující.
Jejich výše v jednotlivých konkrétních případech tak bude vždy záviset na celé řadě okolností – například závažnosti porušení, délce jeho trvání, míře vzniklé újmy, počtu dotčených občanů, charakteru osobních údajů či snaze správce o nápravu vzniklé situace. Horní hranice sankcí jsou nastaveny vysoko, aby se žádnému subjektu nevyplatilo nařízení ignorovat. Lze ale očekávat, že v praxi nebude docházet k ukládání pokut v maximální výši. Kromě toho budou úřady v méně závažných případech uplatňovat i nepeněžní nápravné pravomoci, mezi kterými lze jmenovat například napomenutí, upozornění na nezákonnost či příkaz vyhovět obdržené žádosti. I přes výše uvedené však doporučujeme neziskovým organizacím postupovat maximálně obezřetně – jakákoli finanční sankce může mít podstatné dopady na Vaše rozpočty.
Pokud však budete postupovat informovaně a nenecháte se výše zmíněnými mýty zastrašit, není potřeba se GDPR děsit. Jak v praxi přistoupit k plnění jednotlivých povinností? Blíže se na ně podíváme v dalším článku.
Autorem textu je Mgr. David Horn.
Ve SVAKu se osobním údajům věnujeme jako pověřenci i ochránci subjektů, co jejichž práv byla zasaženo.
S nastavením systému ochrany jsme pomohli desítkám správců, mezi které patří státní orgány, neziskové organizace, velcí i malí čeští podnikatelé, ale i nadnárodní korporace.
Článek byl sepsán pro Svět neziskovek.