GDPR mýtů zbavené
23. 01. 2018 — Koncem května nabývá své účinnosti nařízení GDPR. Toto nové nařízení Evropského Parlamentu a Rady s sebou přináší přísné regulace správců a zpracovatelů osobních údajů. I když společná evropská regulace v oblasti ochrany osobních údajů byla už nějakou dobu zapotřebí, není přechod na režim nového nařízení vůbec jednoduchý.
Co je GDPR? Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, zkráceně obecné nařízení o ochraně osobních údajů (General data protection regulation – GDPR). Nařízení stanovuje jednotný právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. Verzi v češtině naleznete zde.
Princip nařízení je zcela v pořádku. Je velmi pozitivní vidět společný postup v oblasti ochrany osobních údajů na evropské úrovni. Posílení práv jednotlivce (tedy občana/obyvatele/spotřebitele) jako subjektu údajů je v dnešní době krok správným směrem. Vysoké pokuty pro správce a zpracovatele údajů, které dle nařízení mohou být požadovány v procentech obratu, jsou dobrým odstrašujícím prostředkem proti nadnárodním korporacím, které osobní údaje zpracovávají v gigantickém měřítku. Umožnění zpětvzetí souhlasu je v kombinaci s vysokými pokutami konečně nástrojem, který občanovi napomůže mít své osobní údaje více pod kontrolou.
Problém nařízení tkví v jeho špatné škálovatelnosti. Malé podniky, neziskové organizace nebo dobrovolné spolky si nemohou dovolit náklady na splnění požadavků GDPR. Tento problém v určité míře zasahuje i veřejnou správu. Ne snad proto, že by GDPR na veřejnou správu kladlo příliš mnoho nových povinností. Nýbrž kvůli nedostatečné metodické podpoře. A protože úřady nestíhají podrobně řešit agendu spojenou s plněním GDPR, objevují se na trhu opět různá často předražená školení a komerční nabídky na uvedení informačních systémů do souladu s GDPR.
Úřady jsou proto nuceny do pořizování služeb, jejichž cena je značně nadhodnocená. Jako příklady zbytečného utrácení je pak možné označit velkou část nákladů, které úřady v současnosti na zajištění souladu s GDPR vynakládají. Kupříkladu na Praze 9 objednala městská část analýzy spojené s implementací GDPR za 905 000,- Kč. Nebo město Ostrava outsourcovalo služby pověřence pro ochranu osobních údajů za 1 650 000,- Kč. Tyto výdaje jsou zcela nepřiměřené, přesto ale příslušné úřady často nemají jinou možnost, než si právě takto předražená řešení objednat.
Rád bych osobně přispěl k tomu, aby se veřejná správa zvládla s GDPR bez větších obtíží vypořádat. Rozhodl jsem se proto se spolky Iuridicum Remedium a Otevřená města uspořádat na půdě Sněmovny seminář pro zaměstnance a zastupitele obecních úřadů. Výstupem tohoto semináře bude i stručný manuál, jak se s GDPR na úrovni obecního úřadu vypořádat.