Nařízení EU o ochraně osobních údajů (GDPR) začne platit na konci května 2018, některé společnosti či instituce ale již nyní začínají žádat své zákazníky o udělení souhlasu se zpracováním osobních údajů podle nových pravidel. Uvedla to Šárka Gregorová ze společnosti Schaffer & Partner. Souhlas musejí dát miliony lidí. Obnovou tak bude muset projít drtivá většina databází, kterými disponují například internetové obchody, ale i lékaři, školy či zaměstnavatelé.
Lidé se nyní podle Gregorové mohou setkat s tím, že po nich nějaká společnost, banka či zaměstnavatel chce udělení souhlasu se zpracováním osobních údajů. Pokud si firmy či instituce udělení souhlasu v termínu nezajistí, musí osobní údaje klientů ze svých databází vymazat. V opačném případě jim hrozí sankce, která může v nejhorším případě odpovídat čtyřem procentům z celosvětového obratu společnosti nebo 20 milionům eur (přes půl miliardy Kč).
Hlavním smyslem GDPR je důraz na informovanost. Lidé by měli vědět, jak společnost či instituce nakládá s jejich daty, k jakému účelu je využívá a po jakou dobu. To platí i v případě údajů, které si firmy ukládají pro možnou budoucí reklamaci nějakého výrobku.
"Prodejce v tomto případě musí uchovat osobní údaje zákazníka po dobu trvání záruční doby, a to nejen kvůli plnění smlouvy, ale rovněž z titulu zákonných povinností spojených například s právní úpravou ochrany spotřebitele," uvedl advokát společnosti KODAP Legal Miroslav Kohout. Prodejce coby správce osobních údajů je ale podle něj povinen plánovat a evidovat lhůty pro výmaz údajů z příslušných databází zákazníků.
V případě škol bude nutné řešit zpracování osobních údajů dítěte. GDPR připouští, aby souhlas se zpracováním osobních údajů poskytlo dítě, kterému je nejméně 16 let. "Návrh českého zákona o zpracování osobních údajů přitom využil možnost snížit tuto věkovou hranici na 13 let," upozornila Gregorová. Souhlas rodičů se bude zřejmě týkat značného množství situací, ať už půjde o zpracovávání osobních údajů dětí ve školách, školkách, zájmových kroužcích či na sociálních sítích. Typickou situací, kdy bude vyžadován souhlas rodiče dítěte, je umístění třídní fotografie na internetové stránky školského zařízení.
Informované souhlasy se zpracováním osobních údajů v souladu s GDPR mohou mít různou podobu. Ta může být listinná, elektronická, popřípadě ústní, pakliže je tento typ souhlasu dostatečně zdokumentován (například v rámci obchodů uzavíraných telefonicky). "Je zřejmé, že jinak bude postupovat provozovatel internetového obchodu, který bude preferovat souhlas elektronickou formou prostřednictvím svých internetových stránek, a jinak prodejce v kamenném obchodě, kterému například zákazník vyplní a podepíše leták," uvedla Gregorová.
GDPR může zvýšit ceny a snížit konkurenceschopnost evropských firem ve světě. Náklady na softwarové řešení a lidskou práci spojené s dodržováním nového nařízení budou zvyšovat ceny výrobků a služeb, odhadli například analytici auditorské firmy BDO. I malá firma může podle nich zaplatit za zavedení nutných opatření statisíce korun.
