Na úřady i firmy dolehne nové evropské nařízení, náklady budou statisícové
Ochrana osobních údajů ve firmách
Od května příštího roku začíná platit unijní nařízení na ochranu osobních údajů, které je známé pod zkratkou GDPR. Dotkne se škol, nemocnic, lékařů, ministerstev i soukromých firem – prostě všech, kteří mají co do činění s osobními údaji na internetu. Pomalu se na nové nařízení připravují kraje. Náklady přitom můžou pohybovat v řádech sta tisíců.
„Počáteční implementaci GDPR do podmínek Krajského úřadu Libereckého kraje řešíme pomocí dodavatelské firmy. Jejím úkolem je nastavení systému řízení ochrany osobních údajů a zpracování základní dokumentace,“ uvedla pro server Echo24 tisková mluvčí libereckého krajského úřadu Markéta Žitná. Podle ní zatím není jasné, kolik celkem bude zavádění GDPR stát. „Náklady se pohybují v řádech sto tisíců,“ dodala.
V Týdeníku Echo a na EchoPrime se dozvíte více, získáte je zde.
Nové povinnosti vyplývají z nařízení evropských institucí, které bude platit od jara 2018. To se dotkne všech členských států Evropské unie a každého, kdo nějakým způsobem s osobními údaji nakládá. Nařízení se týká zabezpečení dat, která firmy či instituce sbírají o svých klientech, nebo hlášení jejich úniků.
Není ale jednoduché říci, jak konkrétní ustanovení v nařízení vykládat. Například Sdružení pro internetový rozvoj (SPIR) proto připravilo online průvodce, který má s implementací GDPR v podniku pomoci. Vedle toho funguje pracovní skupina WP29. Ta k nařízení už připravila dva dokumenty, které mají být pomůckou pro výklad. Další tři by měly přijít do konce tohoto roku.
Bude potřeba nový zaměstnanec?
Ministerstvo vnitra připravuje Zákon o zpracování osobních údajů, v němž by směrnice měla být obsažena. Schvalovat ho ale bude až nová vláda. „Ministerstvo vnitra nehodlá a nenavrhuje zpřísnit povinnosti, které GDPR stanoví, i když to v některých případech toto nařízení umožňuje. Nový český zákon tedy nepřinese povinnosti navíc oproti nařízení nebo platnému zákonu o ochraně osobních údajů. Naopak v některých případech resort využívá flexibility dané nařízením, například u snížení věku nutného pro souhlas dítěte se zpracováním svých údajů v souvislosti s nabídkou služeb informační společnosti z 16 na 13 let,“ uvedl deníku Echo24 mluvčí resortu Ondřej Krátoška.
Kraje začaly GDPR řešit i bez platné české legislativy. „Krajský úřad Ústeckého kraje si nechal zpracovat analýzu stavu ochrany osobních údajů. Na základě těchto informací byla zpracována směrnice pro zaměstnance úřadu,“ uvedla pro server Echo24 mluvčí kraje Lucie Dosedělová.
Liberecký kraj zase řeší, jak se s nařízením vypořádat u příspěvkových organizací, kterých má v současné době 85. „Snažíme se formou zakázky vytvořit celkem šest typových skupin příspěvkových organizací a následnou metodickou pomocí je alespoň nasměrovat,“ vysvětlila Žitná. Vedle toho kraj připravuje i metodiku pro jednotlivé obce.
V případě orgánů veřejné moci a některých větších firem nařízení vyžaduje také vytvoření nové funkce – pověřence pro ochranu osobních údajů. „Povinnost mít pověřence je stanovena č. 37. Kraj je orgán veřejné moci, proto musí mít pověřence pro ochranu osobních údajů,“ uvedla pro server Echo24 Tereza Tůmová ze SPIR.
Ústecký kraj ani Liberecký ho ale zatím ještě nemají. „Speciálního pověřence, který by měl ochranu dat na starosti, ale kraj ještě nemá,“ uvedla Žitná. „Ještě uvažujeme o dalších krocích, které jsou nutné pro splnění směrnice, například pozice pověřeného člověka pro kontrolu údajů,“ dodala Dosedělová.
Právě kvůli řadě nejasnosti ale zástupci Libereckého kraje iniciují vytvoření pracovní skupiny, která by fungovala přímo pod grémiem ředitele Asociace krajů. Ta by mohla přinést konkrétní metodické postupy, kterými by se kraje řídily, aby problematika GDPR byla řešena systémově. „Důvodem je, že krajské úřady zpracovávají nejen osobní údaje, které jsou v gesci krajských úřadů, ale jsou na ně kladeny požadavky pro realizaci GDPR v prostředí příspěvkových organizací a očekává se od nich metodická pomoc obcím,“ dodala Žitná.