"Pouze" několikamilionové pokuty? Ministerstvo se pokouší zmírnit napětí z GDPR

GDPR má pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Podle právníků nařízení hlavně upřesňuje a rozšiřuje stávající pravidla. "Není to tak, že bychom byli v bodě nula, osobní údaje se vždy chránily," zdůraznil Bačkovský.

Novinkou je zejména zavedení práva na přenositelnost informací. V některých situacích to bude znamenat, že člověk bude moct požádat, aby zpracované informace byly převedeny na nového správce. "Využít by se to mohlo například u pojišťoven," podotkla Jamborová. Nařízení rovněž podporuje právo na výmaz poskytnutých údajů či kontrolu jejich využití.

Instituce, které data zpracovávají, musí přijmout opatření kvůli zabezpečení osobních údajů. Jmenovat budou muset takzvané pověřence. Tento nový institut musí podle Bačkovského zavést všechny veřejné instituce, obce nebo školy. V komerční sféře pak všechny organizace, které mají na starosti rozsáhlé zpracování údajů. Pověřenec bude poskytovat metodiku, odbornou kontrolu a interní kontrolní činnost pro organizaci.

"Pověřenec nepřebírá odpovědnost správce, tu bude mít stále instituce. V podstatě to bude interní auditor v oblasti osobních údajů," vysvětlil Bačkovský. Pověřence například nebudou muset mít praktičtí lékaři. V nemocnicích už tato nová funkce bude muset vzniknout.

Ministerští právníci upozornili, že nyní v Česku platí pravidla, která se vytvářela na konci 90. let, kdy byla jiná úroveň zpracování dat i jejich komerční hodnota. Cílem nových pravidel je podle nich, aby se našla rovnováha. "Mají se zpracovávat údaje, které jsou nezbytné, má tam být přiměřenost toho, co se zpracovává, a sbírat se má jen tolik údajů, kolik je skutečně potřeba," uvedla Jamborová.

Pokuty prý nemají být likvidační

Pokud státní úřad poruší nová unijní pravidla o ochraně osobních údajů (GDPR), bude mu hrozit pokuta až deset milionů korun. Když pochybí firma v soukromém sektoru, může se pokuta vyšplhat až na 20 milionů eur (zhruba 500 milionů korun). Udělená sankce musí odpovídat míře provinění a závažnosti deliktu, řekl ČTK Karel Bačkovský z odboru bezpečnostní politiky ministerstva vnitra. Podle něho se nedá očekávat, že po zavedení nového nařízení od 25. května, začnou padat mnohamilionové pokuty. Zdůraznil také, že sankce vůči státnímu i soukromému sektoru nesmějí být likvidační.

Pokuty bude stejně jako dosud ukládat Úřad pro ochranu osobních údajů (ÚOOÚ), který má podle Bačkovského bohaté zkušenosti. "Když se podíváme na sankční historii, tak vidíme, jak postupuje, a žádné drakonické sankce tam v minulosti nebyly," řekl Bačkovský. Doplnil, že pokud by viník s uloženou sankcí nesouhlasil, tak se může obrátit na soud.

Podle jeho kolegyně Kateřiny Jamborové unijní nařízení jasně stanovuje podmínky, za jakých může být pokuta uložena. "Je tam mnoho faktorů, sankce hlavně mají mít odrazující charakter," vysvětlila Jamborová. Podle právníků vnitra se malí podnikatelé nemusejí obávat, že když něco poruší, tak automaticky padne tvrdý trest. "Pekař, který si vede seznam zákazníků a dvakrát týdně jim rozváží pečivo, je něco jiného než případná pokuta pro Facebook," uvedl Bačkovský. Chyby také budou moct provinilci napravit, aniž bude zahájeno řízení o uložení pokuty.

ÚOOÚ vznikl v roce 2000. Jeho hlavním úkolem je bránit soukromí lidí. Z vyšších pokut v posledních letech udělil třeba společnosti T-Mobile 3,6 milionu korun za únik osobních údajů jejích zákazníků. Další rekordní pokuty vyměřil dvěma firmám za e-maily s nevyžádaným obchodním sdělením. Měly zaplatit 1,5 a 1,9 milionu korun.