Vláda stále neprojednala zákon upřesňující GDPR. Firmy čeká nejistota

© Shutterstock / Iurii Stepanov

Účinnost nového evropského nařízení o ochraně osobních údajů se rychle blíží, česká vláda však stále neprojednala návrh zákona, který by měl některá ustanovení unijního nařízení konkretizovat a upřesnit.

Obecné nařízení o ochraně osobních údajů (GDPR) začne platit už 25. května příštího roku. A jelikož jde o nařízení, novými pravidly se od tohoto dne budou muset řídit všichni bez ohledu na to, jestli národní zákonodárci přijmou zákony, které nová pravidla upřesní, a ulehčí tak firmám mnoho starostí.

V České republice má být takovým právním předpisem nový zákon o ochraně osobních údajů, který nahradí zákon z roku 2000. Ten totiž bude s příchodem GDPR nepoužitelný. Návrh zákona ale stále není ani v Poslanecké sněmovně, kam jej musí poslat vláda.

Ministerstvo vnitra už sice návrh normy představilo, ale z důvodu blížících se voleb do Poslanecké sněmovny už se předešlá vláda k jeho projednání nedostala.

„Nařízení v sobě nese veškerou úpravu dané problematiky, nicméně asi v 50 článcích uvádí, že si každý stát může danou oblast blíže upravit. Klasickým příkladem je třeba věková hranice dětí, k jejichž zpracování osobních údajů je třeba souhlasu zákonného zástupce,“ uvedla pro server EurActiv právní konzultantka pro ochranu dat a GDPR Eva Škorničková.

V novém nařízení se totiž pracuje s věkovým rozmezím od 13 do 16 let. Konkrétní hranici si ale každý stát zvolí sám. A právě taková obecnější ustanovení jsou i předmětem nového zákona, na který se čeká.

Pomoc přislíbila Jourová, vláda ale mlčí

„Pokud náš adaptační zákon nepřijmeme do května 2018, tak si nedokážu představit, jak bude fungovat Úřad pro ochranu osobních údajů. Nový zákon počítá s řadou změn ve složení a kompetencích úřadu, takže pokud by zákon nebyl k účinnosti GDPR platný, dostaneme se do situace, kdy budou platit paralelně dva zákony,“ upozorňuje Škorničková.

Tyto dva právní předpisy by podle ní nemusely být přímo v rozporu, problém by však nastal při jejich aplikaci v praxi.

A problémy v takové situaci předpokládá i Stanislav Klika z poradenské společnosti BDO.

„Ačkoliv je nové nařízení přímo účinné, domníváme se, že pokud nebude adaptačním zákonem zrušen současný zákon o ochraně osobních údajů, firmy nebudou vědět, jakou právní úpravou se mají řídit,“ zdůrazňuje.

Škorničková: Nařízení v sobě nese veškerou úpravu dané problematiky, nicméně asi v 50 článcích uvádí, že si každý stát může danou oblast blíže upravit.

S tím, že politici by měli firmám a veřejným institucím s přechodem na nová pravidla pomoci, souhlasí i česká eurokomisařka Věra Jourová (ANO). V listopadu mimo jiné přislíbila pomoc české Hospodářské komoře, která v současnosti vede rozsáhlou informační kampaň spojenou právě s GDPR. Jourová tehdy uvedla, že se pokusí zvyšovat povědomí o nových povinnostech podnikatelů jak na půdě Evropské komise, tak v České republice.

Zatím se však zdá, že firmy a instituce v ČR stále tápou a na nové nařízení nejsou připraveny. A nečinnost vlády tento trend ještě umocňuje.

„Společnost BDO provedla vlastní průzkum v souvislosti s připraveností firem. Většina z nich zatím nemá o dopadech GDPR do svého podnikání jasnou představu. Pravidla pro ně nejsou zcela srozumitelná, a je tedy velká poptávka po metodickém vedení ze strany vlády,“ prozradil pro server EurActiv Klika.

Firmy přípravu zanedbaly, nápravu nestihnou

Téměř všechny oslovené společnosti vědí, že nařízení existuje a že se na něj musí připravit, ukázal průzkum. Více než polovina firem se však podle Kliky teprve seznamuje s tím, co pro ně nová pravidla vlastně znamenají.

Klika: Pokud nebude adaptačním zákonem zrušen současný zákon o ochraně osobních údajů, firmy nebudou vědět, jakou právní úpravou se mají řídit.

„Podle výsledků průzkumu zcela připravených k 25. květnu 2018 bude asi jen polovina firem,“ dodal.

Škorničková však z nedostatečné připravenosti neviní jen vládu, ale i firmy samotné.

„Drtivá většina institucí nedodržovala ani naši starou legislativu v oblasti ochrany osobních údajů a IT bezpečnosti. Některé společnosti ani neví, že existuje Úřad pro ochranu osobních údajů,“ upozorňuje.

„Pro tyto instituce je GDPR tsunami, které na ně navalí takové množství nových povinností, že pokud nezačaly s přípravou v tomto roce, nemají šanci vše stihnout. Navíc se budou potýkat s nemalými finančními a hlavně časovými investicemi,“ dodala.

Na finanční náročnost upozorňuje i Klika. Podle něj se účinností nařízení výrazně sníží konkurence evropských firem ve světě.

Klika: Zcela připravených bude v květnu jen polovina firem.

„Náklady na softwarové řešení a lidskou práci spojené s dodržováním nového nařízení budou v mnohých případech navyšovat ceny výrobků a služeb. Dá se předpokládat, že nařízení z hlediska světového obchodu ztíží postavení evropských firem, zejména vůči již dnes velmi levné produkci z Asie, které je velmi těžké konkurovat,“ uzavírá.

Pravdou však zůstává, že s květnovým termínem už nikdo nic neudělá a GDPR se už nikdo nevyhne. Podle Škorničkové je důležité si to uvědomit, mnoho firem si totiž pořád myslí, že se jich nová úprava netýká, protože si vyjednávají výjimku či odklad účinnosti. To je ale podle ní naprostý nesmysl.

„Tato tvrzení považuji za velmi nebezpečná a zavádějící z důvodu, že je pronáší osoby, které vůbec neznají principy evropského práva,“ prohlásila.