Školy, neziskovky, úřady, ale i advokáti se připravují na novou evropskou směrnici o ochraně osobních údajů známé jako GDPR. Platit začne koncem května. Pro obce i instituce to znamená spoustu administrativy i značné investice.

Evropské nařízení mimo jiné změní všechny vnitřní předpisy nakládání s osobními údaji. Obce i instituce tak musí znát potřebnou legislativu, upravit svá interní pravidla, provést analýzu získávání a zpracování osobních údajů nebo upravit smlouvy se zpracovateli osobních údajů.

„Rok a půl na tom pracujeme. Nařízení budeme aplikovat tak, jak nám nařizuje zákon. Samozřejmě to nebude zadarmo. Dva pracovníci budou hlídat GDPR navíc ke své práci,“ sdělil starosta Dubí Petr Pípal.

Dubí má spočítáno, že výdaje spojené s novou normou ho budou stát od 150 tisíc do 250 tisíc korun ročně. „Budeme řešit i městská zařízení, školy a školky. Nemůžeme je v tom nechat. Největší problém vidím v tom, že každá naše instituce pracuje s trošku jinými daty, a tudíž i rizika jsou jiná,“ doplnil starosta Pípal.

PRÁVO BÝT ZAPOMENUT

Vrásky na čele má z přijetí GDPR také ředitel teplického gymnázia. „Nařízení je na jedné straně ochranou občanů před zneužitím jejich osobních dat, ale na straně druhé přináší velkou administrativní zátěž pro zpracovatele těchto dat. Občanům také dává nástroj k šikanování organizací,“ řekl ředitel Gymnázia Teplice Zdeněk Bergman a zmínil jeden paradox.

„Žák propadne u maturity, a jelikož si bude myslet, že je to vina školy, pomstí se jí. Využije k tomu svého práva ‚být zapomenut‘ a my jeho jméno či foto budeme vymazávat z rozsáhlého školního webu či začerňovat ve školní kronice. To představuje tak strašnou práci, že snad raději web smažu a kroniku spálím,“ dodal.

Advokátům se nelíbí ani výše pokut, které mohou být násobně vyšší, než jsou nyní.

„Nová evropská úprava zavádí pokuty v maximální výši až 20 milionů euro nebo 4 procenta z celkového ročního obratu dotčeného subjektu. Při ukládání sankcí by se měla zohlednit povaha porušení či závažnost. Za rozhodné bych považoval majetkové i osobní poměry posuzovaného,“ řekl ústecký advokát a regionální zástupce České advokátní komory pro severní Čechy Zdeněk Grus.

GDPR bylo přijato v dubnu 2016, ale v účinnost vstoupí letos 25. května.

„K dnešnímu dni přitom není fakticky zřejmé, jaký bude konkrétní okruh subjektů, na které bude právní úprava dopadat a jaké nové povinnosti či práva bude zakládat. Stav bude o to absurdnější, že náš zákonodárce mlčí. Ani my nevíme, jak přesně se máme chovat a jaké máme v této oblasti dávat lidem právní rady,“ poznamenal advokát Zdeněk Grus.

Data pod dohledem
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) představuje nový právní rámec ochrany osobních údajů s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.