Nařízení v půli dubna schválil Evropská parlament. Teď mají firmy napříč unií dva roky na to, aby ochranu dat ve svých procesech přizpůsobily novým požadavkům. Nejen je ale čekají změny. Přizpůsobit se jednotným evropským pravidlům bude muset i Úřad pro ochranu osobních údajů. I on je podobně jako byznys teprve na startovní čáře, uvedla v rozhovoru pro Právního rádce předsedkyně úřadu Ivana Janů.

Co hodnotíte jako největší přínos nového nařízení?

Harmonizaci pravidel napříč Evropskou unií. Bude například jedno místo pro žalobu, nebude se muset chodit třeba do Irska, ale bude jedno místo v každém členském státě, odkud se může občan domáhat ochrany osobních údajů. Měla by tam být vyšší služba občanovi.

 

Podle kritiků znamená novinka přílišnou administrativní zátěž. Lze s tím podle Vás souhlasit?

Já myslím, že tato kritika je oprávněná. Nařízení je velmi obsáhlé. Když máte takhle náročný text, tak vždycky hrozí, že se v něm utopíte. Navíc většina zaváděných opatření vyžaduje hlubší studii a zásah buď členského státu, nebo Evropské komise ve smyslu úpravy zákonů nebo prováděcích předpisů, takže na tu výslednou podobu si ještě počkáme.

Jaké změny kvůli nařízení čekají Úřad pro ochranu osobních údajů?

To je všecko ve stádiu analýz. Myslíme si, že budeme potřebovat personální posílení, protože to nařízení má 109 stran a jsou to všechno nové instituty, takže je to náročné. Budeme potřebovat nejen nové právníky a úředníky, ale i více technicky zaměřené profese, specialisty, kteří rozumí IT. Jsme teprve na začátku. Zatím jedeme po staru, musíme pracovat a během dvou let absorbovat novou organizační strukturu, která bude ve všech členských státech stejná.

Co bude podle nového nařízení největší změnou pro firmy?

Zatím se ukazuje, že menší firmy z ICT průmyslu, které doposud nebyly zatěžovány žádnými povinnosti, vlastně si nebyly vědomy žádné regulace, nařízení byť ve zjemnělé formě, jim nějaké povinnosti ukládá. Jsou tam vysoké sankce a některé ty malé firmy ještě ani nezačaly s ochranou dat, takže je to pro ně překvapující informace, která má vysoké sankční důsledky a vlastně se toho bojí.

V některých oblastech se zdá, že nařízení paradoxně přinese změkčení povinností. Příkladem může být například to, že podle současné české legislativy musí být smlouva mezi správcem a zpracovatelem dat písemní, kdežto nařízení připouští i její elektronickou podobu bez elektronického podpisu. Jak to hodnotíte?

Na mě to zatím dojem, že by to bylo změkčení, nedělá. Nařízení spíš rozkládá možnosti ochrany osobních údajů do celé řady institutů. Dřív firmy mezi sebou musely mít smlouvu, která obsahovala nějaké zabezpečení, dneska to mohou deklarovat jinými nástroji - certifikací, audity a podobně.

Firmy nad 250 zaměstnanců budou muset povinně zřizovat inspektora ochrany dat. V čem tkví jeho přínos?

Jde o to, aby firmy měli člověka, který se v tom vyzná a který bude komunikovat s Úřadem na ochranu osobních údajů. Je to vlastně taková možnost ochrany firem před sankcemi, které hrozí.

Související