Už jen zhruba pět měsíců mají firmy a veřejné instituce na to, aby se připravily na nová evropská pravidla pro ochranu osobních údajů. Jak ale ukazují zkušenosti Úřadu pro ochranu osobních údajů, kolem novinek panuje celá řada mýtů. A oficiální evropský návod, jak s novými pravidly pracovat, zatím chybí. Vodítka, která mají s přípravou na novinky pomoci, se totiž v Bruselu většinou teprve připravují.

"S blížícím se datem nabytí účinnosti se ozývají kritické hlasy: některé poukazují na nízké povědomí správců, jiné volají po pomoci a jednoduchých a srozumitelných návodech," uvedla předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů na konferenci Osobní údaje 2018, kterou v Praze pořádalo vydavatelství Economia.

Správci dat tak mají o nařízení často mylné představy. Mimořádně velké množství nepřesných informací koluje k nové podobě souhlasů. Firmy bývají podle Janů chybně přesvědčeny například o tom, že je vhodné získávat preventivně paušální souhlas pro veškeré zpra­cování osobních údajů. Avšak cíl nařízení je jiný. Úřad ho vnímá spíš jako prostředek, který změní dosavadní praxi, kdy firmy a instituce z opatrnosti žádaly občany o souhlas se zpracováním osobních údajů i tam, kde to nebylo a ani podle evropského nařízení nebude vůbec potřeba.

Zkušenosti úřadu dále ukazují, že správci dat v mnoha případech začínají se sběrem nových souhlasů ještě předtím, než provedli potřebné přípravné kroky. Typicky nemají jasno v tom, za jakým účelem zpracování dat vlastně provádějí a jestli jim k němu místo souhlasu nebude stačit jiný právní důvod. Tím může být například plnění smlouvy nebo plnění požadavků zákona. K těmto účelům správci dat od klientů souhlas se zpracováním jejich citlivých dat nepotřebují.

Správci dat začínají sbírat souhlasy zákazníků, přitom ještě nemají úplně jasno v tom, k čemu chtějí získaná data využít.

Ke zboření mýtů by mohlo pomoci oficiální výkladové stanovisko. Jeho předběžnou podobu určenou k veřejné konzultaci skupina WP29, v níž jsou sdruženy regulátoři jednotlivých členských zemí Evropské unie, odsouhlasila na konci listopadu. Avšak na jeho zveřejnění se stále čeká. Český úřad sám návody vzhledem ke své kontrolní roli vypracovávat nemůže. A čeká se i na český adaptační zákon. Ministerstvo vnitra sice už má od léta návrh připravený, jeho projednání však čeká na novou vládu.

Představa, že by všechny firmy a instituce dokázaly splnit požadavky nového evropského nařízení do 25. května 2018, kdy nová pravidla začnou platit, je tak nereálná. "Pro malé a střední podniky to může představovat zátěž neúměrnou jejich činnosti a obratům," míní partner advokátní kanceláře Rowan Legal Michal Nulíček. Jak navíc ukázal průzkum společnosti Smart­Emailing, téměř třetina českých firem vyčkává a na novinky se ještě nepřipravuje. A i některé z těch, které už s přípravami začaly, mají podle poradenské společnosti KPMG své adaptační plány nastavené až do roku 2019, nebo dokonce 2020.

Důvodem zdržení je velké množství úkonů, které se bez osobních údajů neobejdou. Ve velkých organizacích jich běžně bývá až 300. "Když se na ně podíváme optikou GDPR, identifikujeme obvykle 200 až 500 dílčích nesouladů s nařízením," popisuje ředitel consultingu KPMG Martin Hladík. Jejich odstranění stojí čas i peníze. Oblastem, kde budou mít správci dat v květnu stále ještě rezervy, podle konzultantů dominuje IT.

Jako návod, co odložit, může firmám posloužit vo­dítko ke stanovení pokut, které pracovní skupina regulá­torů zveřejnila v říjnu. Ne za každé porušení nařízení totiž automaticky hrozí vysoké sankce. Shovívavé by kontrolní úřady mohly být třeba v případě, že firmy nebudou schopné v květnu zajistit výmaz dat, pro jejichž sběr nemají podle nařízení oprávnění. "Nabízí se vodítko z Británie, kde úřady říkají, že lze přimhouřit oko nad tím, když ta data budete po určitou dobu držet," upozorňuje Hladík.

Připraveno ve spolupráci s měsíčníkem Právní rádce