Nová pravidla EU o ochraně osobních údajů (GDPR), které mají pomoci hájit práva občanů proti zneužívání jejich osobních dat, dneškem nabyla účinnosti. Týkají se veřejných institucí i firem a společností, které nakládají s osobními údaji svých zákazníků či zaměstnanců. Kritici GDPR ale tvrdí, že nová pravidla jsou příliš byrokraticky náročná a v některých případech nejednoznačná.
Evropské nařízení zároveň umožňuje výjimky, které musí upravit zákony jednotlivých členských států. Zatímco na uzákonění českých mantinelů nových pravidel v podobě zákona o zpracování osobních údajů se čeká, například Slovensko si už výjimky stanovilo. Týkají se situací, kdy firmy či instituce nemusejí získat souhlas dotčené osoby se zpracováním jejích údajů. Slovensko je také jednou z mála zemí EU, které GDPR ještě před zahájením jeho platnosti zavedlo do národní legislativy.
Podle slovenského zákona například média pro potřeby informování veřejnosti budou moci pracovat s osobními údaji osob, aniž k tomu mají jejich souhlas. Stejná výjimka se týká používání osobních dat k akademickým, literárním či uměleckým účelům. Podmínkou je, aby při zpracování údajů nebyla porušena práva lidí na ochranu osobnosti.
Konečná na čtyři: GDPR ohrožuje malé firmy
České výjimky by se mohly týkat například pravidel pro užívání sociálních sítí. „Pokud se bude jednat o služby informační společnosti určené přímo dítěti, potom bude u nových účtů pro zpracování údajů u dítěte mladšího 16 let nutný souhlas rodičů,“ uvedl mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Věková hranice se může změnit po přijetí zákona, dodal.
Nově už souhlas se zpracováním osobních údajů nesmí být součástí obchodních podmínek. Kvůli novým pravidlům by tak měla být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků. GDPR rovněž zavádí právo „být zapomenut“, tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo zjištěná data prodávat.
GDPR stanoví horní sazbu sankcí za porušení pravidel na 20 milionů eur (zhruba 500 milionů korun). Hrozba takto vysoké pokuty je ale podle ochránců soukromí namířena především na velké nadnárodní firmy. V českých podmínkách chce ÚOOÚ užívat pokuty v dosavadní výši do deseti milionů korun.
V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady kolem šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460 tisíc, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně sedm tisíc obcí.
Jak na GDPR krok za krokem. Čtěte seriál Euro.cz: