V květnu 2018 vstoupí v platnost nové evropské Obecné nařízení o ochraně osobních údajů (GDPR). Co to znamená pro firmy? Zeptali jsme se advokáta Massimiliana Pastoreho z advokátní kanceláře Smed Jorgensen, člena Italsko-české komory, a vyučujícího na University of New York in Prague a Anglo-American University.
Pravidla GDPR používají koncept privacy by design. Co to vlastně znamená?
„Kdybychom to zjednodušili, tak by se dalo říct, že je to nová verze lidové moudrosti, „prevence je lepší než léčba“. Privacy by design znamená, že firmy budou muset určit a zavést technická a organizační opatření, jež mají zabránit porušení pravidel. Vlády doufají, že se tímto přístupem podaří vytvořit prevence, spíše než léčbu, mnoha obtíží vyplývajících z narušení tzv. data security, a to především ze strany organizovaného zločinu. Podle Interpolu se počet internetových podvodů, odcizení virtuálních identit a úniku firemních informací zvyšuje. Dnes se osobní údaje běžně obchodují a za pár set euro si lze koupit cédéčka s jmény a adresami tisíců firem i osob v Evropě a Spojených Státech.“
Nová evropská pravidla zvyšují zodpovědnost těch, jež zpracovávají osobní data, skrze vyšší pokuty, odškodnění a zavedením možnosti class action pro uživatele. Jaká opatření by měly přijmout firmy, aby se vyhnuly sankcím?
„To hodně záleží na každé konkrétní firmě, protože „privacy by design“ se liší od „privacy by legislation“. Všechny firmy tak musí provést revizi svých vnitřních procesů, jež přichází do styku s osobními údaji, a vyhodnotit eventuální rizika. Další postupy se budou lišit. Některým firmám tak bude stačit pozměnit text autorizace pro nakládání s osobními údaji, zatímco další budou muset provést anonymizaci dokumentů, změnit nakládání s údaji, chránit udaje pod pseudonymem či dokonce mít vlastního Data Protection Officer.“
Mnohé firmy používají osobní údaje získané na sociálních sítích pro sestavovaní profilů svých uživatelů a pro marketingové účely. V této oblasti dojde k nějakým významným změnám?
„V některých situacích se uživatelé sociálních sítí budou moci ohradit vůči použití svých údajů pro marketingové využití. Budou také moci žádat o výpis svých skladovaných údajů a požádat, aby byly přeposlány jinému subjektu. Upozornění a autorizace by se měly stát jasnější a stručnější. Porušením GDPR pravidel navíc vzniká právo na úhradu újmy, a to včetně té nehmotné.“
Podle evropských úřadů se celková administrativní zátěž pro firmy spíše sníží, a to díky některým opatřením, jako zavedení jednotného kontaktního místa. Jak hodnotíte Vy dopad GDPR na administrativní zátěž firem?
„Je těžké tento dopad odhadnout, i když je vcelku možné, že jednotné kontaktní místo bude dobrým nápadem pro nadnárodní firmy. Na druhé straně, dle GDPR firmy budou muset regulátorům nahlásit problémy, jež mohly narušit bezpečnost zpracování osobních údajů. Očekává se tak, fakticky, že firmy budou samy sebe nahlašovat.“
GDPR je kritizován za to, že zvýší mezi firmami poptávky po specialistech na zpracování a uchovávání osobních údajů, kterých je ale na trhu práce nedostatek. Je v ČR dostatek takových specialistů?
„Na to byste se měl zeptat spíše personalisty než advokáta. Skrze zkušenosti mých klientů jsem nabyl pocit, že opravdových specialistů na tuto oblast je velký nedostatek, protože zájem veřejnosti je malý a akce dozorčích orgánů zatím pomalá.“
Zdroj: Camic
Zdroj fotografie: Massimiliano Pastore
