Lidé si i díky mediálnímu zájmu o GDPR začínají daleko častěji uvědomovat, že je třeba své osobní údaje chránit, říká v rozhovoru pro Echo24 spoluzakladatel a společník advokátní kanceláře HAVEL & PARTNERS Robert Nešpůrek. Vzrůstá vědomí, že není v pořádku, abychom odevzdali neomezené množství údajů a druhá strana si s tím dělala cokoli, říká Nešpůrek.

Co všechno se dá považovat za osobní údaj?

Osobní údaj je široký pojem. Podle GDPR se ještě rozšiřuje oproti tomu, co bylo za osobní údaj považováno dřív. Ve chvíli, kdy je organizace, firma či státní správa schopná informace o majetkových či zdravotních poměrech nebo o politických názorech propojit s konkrétním člověkem, s konkrétním jménem, už to osobní údaj je.

Uvědomují si podle vás Češi, že jsou osobní údaje něco, co by měli chránit? Že by například měli být opatrní, když nakupují na e-shopu a souhlasí se zpracováním osobních údajů?

Myslím, že si to uvědomují víc a víc. I mediální informační osvěta z poslední doby věnovaná GDPR tomu napomáhá. Žijeme v době, kdy má řada společností typu Facebook a Google byznys model založený na tom, že klienti poskytují informace o sobě – a ony jim poskytují služby, které jsou často na první pohled zdarma. Ale tyto společnosti to vlastně úplně zdarma nedělají, berou si za to osobní údaje. Řada lidí si tuto výměnu uvědomuje. Vzrůstá vědomí, že není v pořádku, abychom odevzdali neomezené množství údajů a druhá strana si s nimi dělala cokoli. Konečně, většina z nás jsme uživateli některých z těchto služeb, GDPR se týká každého z nás. Nakonec bychom mohli být rádi, že GDPR přinese víc transparentnosti a férovosti. Měli bychom vědět, co se s našimi osobními údaji děje.

Když se podíváme na nařízení o GDPR, některé pasáže jsou definovány vágně. Je podle vás nařízení ve vymezení povinností jednoznačné, nebo obsahuje nějaká slepá místa?

Neřekl bych slepá místa. V nařízení je řada povinností definována poměrně přesně. Nicméně máte pravdu, že některá pravidla, která by organizace zpracovávající osobní data měla dodržovat, jsou vyjádřena obecnějšími pojmy nebo principy ochrany osobních údajů. Přísnost nakládání s osobními údaji by se pak měla odvíjet od způsobu, jakým jsou údaje v jednotlivých organizacích sbírány. Také od toho, co s nimi tyto organizace dále dělají, jak jsou údaje citlivé, v jakém rozsahu jsou sbírány a jak je s nimi dál nakládáno. Organizace by tedy sama na sebe měla být přísnější, pokud má osobních údajů mnoho a nakládání s nimi je intenzivnější. Od toho se odvíjejí i investice do ochrany dat, které nemusejí být malé. GDPR tedy musí být dostatečně flexibilní.

Na trhu se objevila řada firem nabízejících poradenství v oblasti GDPR. Jak poznat, že daný poradce je skutečně odborník a že investuji do ochrany dat správně?

Doporučuji vybrat někoho s dlouhodobějšími zkušenostmi, kdo se oblastí ochrany osobních údajů pravidelně zabývá nebo se orientuje v příbuzném oboru typu bezpečnost dat a kybernetika.

V Česku bude mít na starosti kontroly dodržování povinností GDPR Úřad pro ochranu osobních údajů. Myslíte, že ty kontroly budou systémové, nebo se budou konat na základě nahlášení či problémů?

Myslím, že to bude kombinace. Úřad by měl reagovat na podněty. Na druhé straně by měl zkoumat, které oblasti či sektory nejsou v souladu s nařízením a kde by měl nařízení víc prosazovat.

Lze už dnes jmenovat resort podnikání, který může mít s plněním požadavků GDPR největší problém?

Je řada typů podnikání, které spoléhají na sběr osobních údajů, případně na nákup databází. Zejména v oblasti maloobchodu v sektorech, jako jsou telekomunikace, energetika, finanční služby. Tyto si budou muset dávat větší pozor na to, kde osobní údaje vzaly a zda se v databázi objevily legálně.

Koho všeho se týká povinnost mít tzv. pověřence pro ochranu osobních údajů, tedy DPO (data protection officer)?

Jmenování této speciální osoby, která bude monitorovat situaci v organizaci a zjišťovat, zda postupuje v souladu s GDPR, se týká orgánů veřejné správy. Dále pak organizací, které zpracovávají osobní údaje ve velkém rozsahu a zároveň provádějí pravidelný monitoring subjektů údajů, a organizací, které ve velkém rozsahu zpracovávají citlivé údaje, tedy například údaje o zdravotním stavu. DPO by měla být osoba znalá předpisů EU i lokálního práva. Měla by být zdatná i z hlediska informačních technologií a informační bezpečnosti. DPO mohou být interní zaměstnanci, ale i najatí poradci nebo specializované firmy. Advokátní kancelář HAVEL & PARTNERS se také rozhodla tuto službu nabízet prostřednictvím sesterské společnosti FairData Professionals. Nabízíme kombinaci těch znalostí, které jsem zmínil.

Už máte první zájemce o tuto službu?

Ano, už se domlouváme s prvními klienty. Jsou z řad finančních institucí, maloobchodu i z oblasti médií.

Nařízení o GDPR začne platit v květnu, stále ale chybí český zákon k GDPR. Co se stane, pokud nebude včas přijat?

Jedním z důvodů, proč EU přijala GDPR formou nařízení, je, že takové nařízení EU je přímo aplikovatelné, jako kdyby to byl zákon. Směrnice by pouze formulovala cíle a implementovaly by ji až zákony členských států, které se mohou lišit v detailech. Směrnice, až na výjimky, takto přímo aplikovatelná není. GDPR je ale nařízení, ačkoli bude také nutné přijmout lokální legislativu. Ta se ale soustředí na procesní otázky a některé specifické oblasti a výjimky z GDPR. Nařízení by tak mělo zajistit jednotnou startovní čáru pro všechny, mělo by existovat méně národních odlišností v rámci EU. Podmínky podnikání se tedy sjednotí. Nevíme, kdy přesně český parlament náš národní zákon přijme, nicméně se občas objevuje falešná představa, že dokud není lokální zákon, GDPR se nás netýká. Jenže to není pravda.

Do května se zákon zřejmě přijmout nestihne. Co se tedy dá očekávat?

Místní implementační zákon k GDPR bude zřejmě důležitý pro vymáhání jednotného evropského nařízení. Je možné, že Úřad pro ochranu osobních údajů bude dost omezen v tom, že nebude moci ukládat sankce podle GDPR, dokud zákon nenabude účinnosti. To ale neznamená, že za porušení GDPR v tomto mezidobí nemůže být uložena sankce později.