V pátek začne platit GDPR. Co všechno se pro Čechy změní?

GDPR (General Data Protection Regulation) má za cíl pomoci hájit práva občanů proti zneužívání jejich osobních dat. Týká se veřejných institucí i firem a společností, které nakládají s osobními údaji svých zákazníků či zaměstnanců. Například souhlas se zpracováním osobních údajů už nebude moci být zahrnut do obchodních podmínek. Kvůli novým pravidlům tak musí být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků.

GDPR rovněž zavádí právo "být zapomenut", tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo prodávat či poskytovat zjištěná data dál. GDPR se vztahuje i na věrnostní programy obchodních řetězců či na marketingovou komunikaci na sociálních sítích. Nově budou za osobní údaje považovány také takzvané cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele.

Nově budou zpracovatelé dat muset ohlásit únik osobních dat Úřadu pro ochranu osobních údajů (ÚOOÚ) nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděli. V některých případech bude muset také informovat ty, kterých se únik jejich dat týkal. Firmy a instituce také budou muset lidem na vyžádání sdělit, jak dlouho budou data o nich uchovávat a kdo k nim bude mít přístup.

Novinkou je také zavedení práva na přenositelnost informací. V některých situacích to bude znamenat, že člověk bude moci při přechodu mezi pojišťovnami tu původní požádat o to, aby zpracované informace převedla na novou.

Nová pravidla přikazují jmenování pověřence pro zpracování osobních údajů, který bude ve firmě či instituci dohlížet na řádné nakládání s těmito daty. Budou ho muset mít úřady, banky, pojišťovny, nemocnice nebo telekomunikační společnosti. Na drobné živnostníky nebo malé internetové obchody, které používají osobní údaje zákazníků jen pro účely poskytnutí služby či výrobku, se v zásadě nic nezmění.

Platí to i pro pokuty, které za porušení pravidel unijní nařízení GDPR přináší. Horní sazba je stanovena až na 20 milionů eur (zhruba 500 milionů korun) nebo až do čtyř procent obratu. Hrozba takto vysoké pokuty je ale podle ochránců soukromí namířena především na velké nadnárodní firmy. V českých podmínkách chce ÚOOÚ užívat pokuty v dosavadní výši do deseti milionů korun.

"Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační," uvedl k otázce pokut ÚOOÚ. S tím počítá i připravovaný zákon, který nyní projednává Sněmovna.

V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady kolem šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460.000, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně 7000 obcí.