Přestože již více než rok se o aktuální problematice nařízení GDPR a jeho dopadu na firmy, ale i jednotlivce, živě diskutuje ve všech sdělovacích prostředcích, ti, kterých se to hlavně týká, tedy firmy a živnostníci jako obvykle nechávají vše na poslední chvíli. Hrozí jim tak, že do 25.5.2018, kdy evropské nařízení o ochraně osobních údajů začne platit, nestihnou splnit všechny povinnosti, za což jim hrozí vysoké sankce.
Stačí špatně zabezpečená databáze kontaktů na zákazníky a firma může dostat pokutu ve výši více než 500 mil. Kč (20 mil. EUR).
Podle Úřadu pro ochranu osobních údajů (ÚOOÚ), který má dodržování zákonem stanovených povinností při zpracování osobních údajů ve své kompetenci, by ale pokuty neměly být likvidační. „Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uvádí úřad na svých webových stránkách.
Na opatření se musí připravit všechny firmy bez ohledu na velikost, které pracují s osobními daty zákazníků či zaměstnanců nebo je uchovávají. Velmi výrazně dopadne například na e-shopy, jejichž fungování je na práci s daty klientů založeno.
Osobním údajem je také e-mail nebo telefonní číslo. Ty musí firmy podle nového nařízení o ochraně osobních údajů zabezpečit před zneužitím. Nařízení se vztahuje na veškeré informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě. Osobními údaji jsou tak i údaje běžně uváděné např. na vizitkách. GDPR se ale vztahuje pouze na osobní údaje, které jsou obsaženy v evidenci (např. v kartotéce, interním IT systému apod.) nebo do takové evidence mají být zařazeny. V tomto smyslu by se tedy GDPR nemělo vztahovat na situace, kdy si například zaměstnanec položí na stůl několik vizitek a dále s nimi v žádné evidenci nepracuje. Na druhé straně, ochrana se týká i vizitek nebo kontaktů uložených v mobilních telefonech.
Povinnosti se budou týkat i kontaktů, které jsme získali před zahájením platnosti GDPR. Na většinu z nich si tak budeme muset vyžádat nový souhlas v souladu s GDPR.
GDPR začne v celé EU platit jednotně od 25. května 2018 a v České republice nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
Ilustrační foto