Mezi firmami, které nakládají s osobními údaji svých zákazníků nebo uživatelů, pozvolna roste nervozita. Od konce května příštího roku budou muset splňovat požadavky, které přináší nové evropské nařízení (Evropského parlamentu a Rady (EU) č. 2016/679) o ochraně osobních údajů, kterému se dnes už neřekne jinak než „GDPR“, neboli General Data Protection Regulation.

Naprostá většina lidí je stále zmatena a není schopna jasně říct, jaké konkrétní kroky bude potřeba do účinnosti GDPR podniknout pro to, aby mu plně vyhověla. Nařízení GDPR však vstupuje v účinnost už 28. května 2018, na uskutečnění změn tak už mnoho času nezbývá. Na druhou stranu všechny děsí nové sankce, které se mohou vyšplhat až ke 20 000 000 EUR, nebo půjde-li o podnik, až do výše 4 % jeho celosvětového ročního obratu, což může být likvidační pro naprostou většinu společností.

Hrozí tak, že výklad GDPR bude viset ve vzduchoprázdnu ještě po jeho účinnosti a interpretovat jej budou především právníci a soukromí poradci, pro které se příchodem GDPR vytvořil velice lukrativní trh. Instrukce evropských nebo národních orgánů v podobě jasných pokynů, jak mají být problematická ustanovení GDPR vykládána, v mnoha případech stále chybí. Na evropské úrovni už sice byla některá výkladová stanoviska publikována, ale jejich rozsah je prozatím nedostatečný.

V mnoha směrech subjekty dotčené GDPR stále nevědí, jak se mají chovat, aby splnily všechny jeho požadavky, přesto, že by tak učinit chtěly a chtěly by tak učinit včas. Na celé situaci tak budou paradoxně nejvíce bité ty firmy, které chtějí mít věci v pořádku. Bohužel s ohledem na pomalý postup EU a na parlamentní volby v České republice by se nebylo čemu divit, kdyby současný nevyhovující stav trval až do chvíle, kdy nařízení vstoupí v účinnost.

Záznamy o zpracování a pověřenec pro ochranu osobních údajů

GDPR ukládá správcům novou povinnost, a tou je vypracovávat tzv. záznamy o činnostech zpracování, které budou obsahovat mj. jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií zpracovávaných osobních údajů, informace o případném předávání osobních údajů do zahraničí, apod. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů.

Podle výkladu Úřadu pro ochranu osobních údajů však absolutní většina případů zpracování osobních údajů „není příležitostná.“ Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky? Dosavadní výklady ke GDPR v tomto ohledu zatím zcela mlčí.

Další novinkou je nový institut tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude zajistit, aby aktivity firem a dalších subjektů, které zpracovávají osobní údaje jako správci, byly v souladu s GDPR. Nařízení staví pověřence do pozice odborníka na ochranu osobních údajů, který bude všem subjektům majícím povinnost jej ustanovit (např. orgány veřejné moci, subjekty zpracovávající tzv. citlivé údaje nebo provádějící monitorovací aktivity) poskytovat odborné poradenství v souvislosti s řádným plněním povinností GDPR, popř. komunikovat s Úřadem pro ochranu osobních údajů.

GDPR sice říká, že pověřenci musí být ve firmě zajištěno potřebné zázemí a nezávislost, nesmí se dostat do střetu zájmů atd. Nikde se však už neuvádí, jakým způsobem a v jakém rozsahu by měl pověřenec ve společnosti operovat – zda by měl být k dispozici přímo v sídle firmy, nebo bude dostačující, když bude činnost vykonávat na dálku, na jaký minimální úvazek by měl být ve firmě k dispozici apod. Všechny tyto věci bude ještě potřeba určitým způsobem vyjasnit, pokud to neudělá až samotná praxe.

Souhlas se zpracováním o něco přísněji

S ohledem na vyjádření souhlasu se zpracováním osobních údajů přinese GDPR přísnější požadavky. Podle GDPR bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností (např. jako součást všeobecných obchodních podmínek), bude muset být od těchto „ostatních“ skutečností na první pohled jednoduše odlišitelný (např. na samostatné straně dokumentu nebo jako samostatné „zaškrtávací políčko“ na webu). Ve vztahu k užívání informačních technologií dětmi však GDPR zavádí ještě další povinnost, podle které bude souhlas se zpracováním u nezletilých dětí (převážně mladších 16 let) muset být poskytován se souhlasem jejich rodičů nebo zákonných zástupců.

To si lze v praxi opravdu jen stěží představit. Jak se například pozná, že při vyjádření souhlasu se zpracováním osobních údajů (při využití určité online služby) za počítačem sedělo nezletilé dítě a souhlas se zpracováním osobních údajů opravdu dalo se souhlasem svých rodičů? Podobné praktické nejasnosti GDPR zatím vůbec neřeší a objasnění nepřináší ani jeho stávající výkladová stanoviska.