Pro malé a střední podniky GDPR žádné výjimky nepřipouští, upozorňují odborníci

© Shutterstock / Boiko Y

Drobní zaměstnavatelé a živnostníci se často mylně domnívají, že se jich GDPR netýká. Opak je však pravdou. Oproti současné právní úpravě se ale v jejich případě příliš věcí nezmění. Pokud tedy malé a střední podniky dosavadní pravidla dodržovaly, nebudou mít s přechodem na GDPR problém.

Nové nařízení o ochraně osobních údajů (GDPR) se týká i malých a středních podniků. Drobným živnostníkům a zaměstnavatelům se to ale nelíbí.

Řešit na unijní úrovni ochranu dat u velkých společností typu Googlu nebo Facebook, či u marketingových firem, které se shromažďováním a zpracováním osobních dat živí, je podle nich důležité.

Nesouhlasí ale s tím, že se novými pravidly musejí řídit i ti, kteří do styku s osobními údaji přicházejí v rámci svého podnikání jen v malé míře.

„Nařízení je namířeno především na obchodování s daty, reálně však bude dopadat na všechny. Důležité bude hlavně to, jestli daný subjekt data zpracovává,“ uvedla Tereza Šamanová ze Svazu průmyslu a dopravy ČR během nedávné debaty, která se zaměřila právě na ochranu dat v malém podniku.

Nová pravidla v sobě podle ní neobsahují prakticky žádné výjimky pro malé a střední podniky. „Jedinou výjimkou je úleva z tzv. evidenční povinnosti pro firmy do 250 zaměstnanců,“ připomněla. Výjimka se však uplatní jen pro firmy, které s údaji nepracují systematicky a rizikovým způsobem. Podle Šamanové na ni tedy nemůže spoléhat prakticky nikdo.

Šamanová: Je třeba se vždy ptát, co uchováváme, proč to uchováváme, jaký je účel uchování dat a jak máme tato data chráněná.

Zároveň přítomné podnikatele upozornila i na další mýty, které o GDPR kolují. „Pověřenci pro ochranu osobních údajů opravdu nemusí mít žádnou certifikaci,“ zdůraznila. Řada lidí se podle ní stále domnívá, že pro výkon této nové funkce, kterou GDPR zavádí, je třeba speciální oprávnění. To ale není pravda.

Není to revoluce, jen přirozený vývoj

Dále je podle ní třeba mít na paměti, že samotný souhlas se zpracováním osobních údajů nestačí. Každý podnikatel či živnostník by tak měl mít na paměti, že osobní údaje musí být uchovávány nebo zpracovávány vždy za konkrétním účelem, který zákon dovoluje, a to je po nezbytně dlouhou dobu.

„Je třeba se vždy ptát, co uchováváme, proč to uchováváme, jaký je účel uchování dat a jak máme tato data chráněná,“ dodala.

Břeská: Digitální firmy by si měly udělat pořádek v datech, ať už je uchovávají v online, nebo offline režimu.

Podle Jiřího Žůrka z Úřadu pro ochranu osobních údajů (ÚOOÚ)se však nejedná o žádnou revoluci, ale o přirozený vývoj v současnosti platných pravidel, který reaguje na technologický pokrok.

„Pro malé a střední podniky žádné velké změny nepřicházejí,“ uvedl a dodal, že pozor by si měli dát hlavně ti podnikatelé, kteří využívají novější a sofistikovanější kamerové a jiné systémy, které rozpoznávají tzv. biometrické údaje, mezi něž můžeme zařadit třeba otisky prstů nebo skan oční sítnice.

Účastníky debaty zároveň upozornil na příručku vydanou ÚOOÚ, která je podle něj pro většinu subjektů dostačující. Zároveň také připomněl, že kdo dosud dodržoval platnou úpravu ochrany osobních údajů, nebude mít s přechodem na GDPR žádné problémy.

Jana Břeská ze Sdružení pro internetový rozvoj však upozornila, že nařízení za osobní údaj pokládá i IP adresy a jiné online identifikátory. „Digitální firmy by si měly udělat pořádek v datech, ať už je uchovávají v online, nebo offline režimu. Projít si musí i stará data a údaje a posoudit, jestli je zde účel jejich uchování,“ uvedla.

Problémem však v budoucnu bude i nejasný výklad některých ustanovení. Evropská komise na konci ledna sice vydala praktické pokyny k novému nařízení, záviset však v mnoha případech bude na národní legislativě, která bude muset některá pravidla upřesnit.

Do poloviny března však tyto implementační zákony přijaly pouze dva státy EU. V případě České republiky je již nyní prakticky jisté, že se národní právní úpravu nepodaří přijmout včas.

Článek vznikl u příležitosti debaty na téma „Ochrana dat v malém podniku“, kterou v Evropském domě v Praze organizovaly Zastoupení Evropské komise v ČR a Informační kancelář Evropského parlamentu ve spolupráci se Svazem průmyslu a dopravy ČR a CEBRE – Českou podnikatelskou reprezentací při EU.