Nové obecné nařízení EU o ochraně osobních údajů (GDPR) vstoupí v účinnost 25. května 2018. Už řadu měsíců ale zvedá vlnu očekávání a nejistoty. V atmosféře nasáklé obavami se skvěle šíří neúplné informace a ne jedna neziskovka už propadla panice. Čemu věřit? Revoluční změny, likvidační pokuty i drahý software uvádí na pravou míru právník David Horn.

Revoluce? Spíše evoluce

 

O GDPR se často hovoří jako o „revoluci“ v oblasti ochrany osobních údajů. Z toho lze nabýt dojem, že se na vás valí obrovská smršť nových povinností, kterou nelze ustát. Jediný revoluční prvek GDPR je ovšem spíše formální – jako evropské nařízení je totiž přímo aplikovatelné ve všech členských státech. Po obsahové stránce naopak plynule navazuje na dosavadní platnou úpravu, kterou pouze v určitých otázkách mění či rozšiřuje.

 

Pokud tedy vaše organizace dosud dodržovala pravidla stanovená českým zákonem o ochraně osobních údajů z roku 2000, nebude pro vás plnění požadavků GDPR nijak drastickým skokem do neznáma. Přípravné období naopak můžete využít k zefektivnění práce s osobními údaji uvnitř organizace a vyváženému rozdělení rolí ve vašem týmu. Budete-li s daty zacházet zákonným způsobem, nejenže tím ochráníte osoby, které se na činnosti vaší organizace podílejí, ale pomůžete i posílit důvěru v neziskový sektor jako takový.

 

Dvojí metr: ne všechno se vás týká

 

Plnění určitých povinností plynoucích z GDPR s sebou bezesporu nese zvýšenou administrativní a personální zátěž. Takové povinnosti proto dopadnou především na větší organizace, které mají lepší předpoklady tuto zátěž zvládnout, případně subjekty, jejichž činnost je na zpracování osobních údajů přímo založena nebo které ve velkém rozsahu zpracovávají údaje vyžadující vyšší míru ochrany.

 

Neziskovým organizacím se tak může vyhnout například obávaná povinnost vést záznamy o zpracování osobních údajů, která s výjimkami platí pouze pro organizace s více než 250 zaměstnanci. V opačném případě je zohledněno, že zejména menší organizace nemusejí mít dostatečnou časovou i personální kapacitu na vedení podrobných záznamů, a tuto povinnost tak postačí splnit alespoň v minimálním rozsahu, například vyplněním formuláře, v němž budou požadované informace uvedeny. Dále například nestátní neziskovky nebudou muset jmenovat pověřence pro ochranu osobních údajů, pokud jejich hlavní činnost přímo nevyžaduje rozsáhlé pravidelné a systematické monitorování občanů či rozsáhlé zpracování zvláštních kategorií údajů, kterými jsou například zdravotní stav, sexuální orientace či etnický původ.

 

Pokud se rozsáhlému zpracování zvláštních kategorií údajů věnujete, platí, že pověřence pro ochranu osobních údajů budete muset jmenovat. Pokud si nejste jisti, doporučujeme konzultaci s odborníkem.

 

Speciální software pusťte z hlavy

 

Nemusíte kupovat drahé speciální programy pro šifrování a zabezpečení údajů, abyste vyhověli požadavkům GDPR. Vzhledem k tomu, že zpracování osobních údajů může probíhat i v e-mailovém rozhraní, programech na tvorbu tabulek či online aplikacích a cloudech, nebyla by instalace specializovaného softwaru často ani efektivní.

 

Ačkoli GDPR doporučuje šifrování jako jedno z vhodných technických opatření k zabezpečení údajů, neplyne z něj žádná přímá povinnost k zavádění takových řešení. Vaše organizace si nicméně musí ověřit, jakými prostředky a mechanismy jsou jí zpracovávané osobní údaje chráněny (síťová zabezpečení, zaheslované přístupy, nastavení soukromí v zařízeních a v aplikacích apod.) a vyhodnotit, zda taková úroveň zabezpečení vyhovuje požadavkům GDPR.

 

Pokuty jsou podstatně vyšší, ale…

 

V souvislosti s GDPR jsou často zmiňovány vysoké finanční pokuty, které mnozí označují za astronomické či likvidační. Nová maximální výše pokuty za porušení povinností uložených GDPR sice skutečně činí až 20.000.000,- EUR nebo 4 % z ročního obratu společnosti (podle toho, která z uvedených hodnot je vyšší), stále nicméně platí, že pokuty musí být v praxi ukládány tak, aby byly účinné, přiměřené a odrazující.

 

Jejich výše v jednotlivých konkrétních případech tak bude vždy záviset na celé řadě okolností - například závažnosti porušení, délce jeho trvání, míře vzniklé újmy, počtu dotčených občanů, charakteru osobních údajů či snaze správce o nápravu vzniklé situace. Horní hranice sankcí jsou nastaveny vysoko, aby se žádnému subjektu nevyplatilo nařízení ignorovat. Lze ale očekávat, že v praxi nebude docházet k ukládání pokut v maximální výši. Kromě toho budou úřady v méně závažných případech uplatňovat i nepeněžní nápravné pravomoci, mezi kterými lze jmenovat například napomenutí, upozornění na nezákonnost či příkaz vyhovět obdržené žádosti. I přes výše uvedené však doporučujeme neziskovým organizacím postupovat maximálně obezřetně - jakákoli finanční sankce může mít podstatné dopady na Vaše rozpočty.

 

Pokud však budete postupovat informovaně a nenecháte se výše zmíněnými mýty zastrašit, není potřeba se GDPR děsit. Jak v praxi přistoupit k plnění jednotlivých povinností? Blíže se na ně podíváme v dalším článku.

david_horn.png

Autor článku

David Horn

Advokátní kancelář Slaninová Vokál

V Advokátní kanceláři Slaninová Vokál se mimo jiné věnují problematice ochrany osobních údajů ve vztahu k novému nařízení (tzv. GDPR). Neziskovým organizacím připravují posouzení vlivu GDPR na míru a zavádějí nezbytné procesy a dokumenty do jejich každodenního života.

Další články autora (2)

Zůstaňte v obraze

Držte krok se Světem neziskovek, ať vás nepředběhne. To nejzajímavější vám ve správnou chvíli pošleme e-mailem:

Partneři Světa neziskovek

Ani Svět neziskovek se neobejde bez cookies - abyste si tenhle web opravdu vychutnali.
A o ochraně dat chci zjistit víc.