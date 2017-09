Je to jako mluvit o vážné nemoci. „A co GDPR? Jak jste na tom?“ „Ani se neptejte!“ Vážné výrazy v tváři, tlumený hlas, soucitný pohled. Jako by GDPR patřilo do strašlivé rodiny čtyřpísmenných strašáků typu SARS, ISIS, H5N1, AIDS či SSSR. V poslední době se do podobných konverzací dostávám stále častěji a GDPR na mě také stále častěji vyskakuje z médií, kde před ním experti stejně závažným tónem varují a vyzývají k urychlené léčbě a návštěvě lékaře – tedy oněch expertů.

Jen za poslední měsíc najde mediální archiv Newton Media o GDPR na 167 zmínek v denících a televizních či rozhlasových pořadech. GDPR se propracovalo i na web Blesku – dokonce s nečekaně uměřeným titulkem Novinka EU má ochránit váš e-mail i další osobní data. Firmám přibude práce (tak uměřeným, že se mi na mysl vkrádá pochybnost, zda nejde o neoznačené PR v textu citované odbornice – ale snad se pletu).

Z každé strany prší pozvánky na další a další konference, semináře a workshopy, na kterých vám odborníci slibují vše o GDPR vysvětlit a strašáka zahnat (z těch nejbližších: 14. září pořádá GRPR konferenci Unie vydavatelů a 18. září organizuje svůj seminář Cesnet). Vyšla také řada článků a seriálů o tom, jak se na GDPR připravit a jak se vyhnout drakonickým pokutám, které firmám hrozí, když nebudou osobní údaje zákazníků a zaměstnanců dostatečně chránit.

Ano, zřejmě jste to při čtení dlouhého úvodu uhodli: svůj seriál dnes spouští také Lupa. Nechceme vás v něm ale strašit, spíš vysvětlit, jaké změny GDPR skutečně přináší a přinést praktické zkušenosti firem, které se na GDPR už měsíce připravují. A poukázat na některé sporné body, které ještě nejsou vyřešené a budou se nejspíš ujasňovat až poté, co nařízení začne být tzv. účinné. Zaměříme se samozřejmě hlavně na dopady GDPR do světa online podnikání. Pokud máte nějaké dotazy či témata, o kterých byste u nás rádi četli, napište nám prosím na e-mail redakce@lupa.cz.

Než začneme s rozborem základních pojmů, což nebude tak jednoduché, jak to vypadá – jak si ukážeme hned v příštím díle u popisu toho, co to vlastně je osobní údaj – podívejme se trochu do historie.

Nejzlobbovanější nařízení

Základní vlastností strašáka bývá, že se obvykle objevuje nečekaně, když na vás v nestřeženém okamžiku vybafne ze tmy. Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation, GDPR) ale do téhle kategorie nespadá. Poprvé jsme o něm mohli slyšet už v roce 2012, následovaly roky žhavých debat, pak jeho schválení v roce 2016 a používat se začne od 25. května 2018.

Jeho schválený text najdete na této stránce v Úředním věstníku EU. Není to jednoduché čtení. Přestože se v textu několikrát opakuje, že firmy mají lidem informace předávat „ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka“, připravte se na dlouhé stránky právnických definic a paragrafů, jak už to u zákonů a evropských nařízení či směrnic bývá. Přesto ale stojí za to zatnout zuby a materiál si přečíst.

Nařízení od příštího května nahradí 22 let starou směrnici o ochraně osobních údajů z roku 1995 (95/46/ES), která podle evropských zákonodárců nevyhovuje dnešní elektronické a internetové době. To zní docela rozumně. První návrh nového nařízení spatřil světlo světa v lednu 2012, v následujících čtyřech letech ale čelil obrovskému tlaku ze strany všech možných zájmových skupin.

„Ochrana osobních údajů byla v několika posledních letech největším tématem lobbistů v Bruselu,“ popisoval ve svém loňském článku server Ars Technica. Už jen u zpravodaje normy, europoslance Jana Philippa Albrechta, se podle serveru vystřídali všichni možní lobbisté. Ke konci roku 2015 přitom bylo v bruselském Rejstříku transparentnosti, který shromažďuje informace o aktivitách lobbistů, registrováno na 9 tisíc různých zájmových subjektů.

Výsledek se dostavil: před prvním čtením v Evropském parlamentu se k návrhu nařízení sešly neuvěřitelné více než 4 tisíce pozměňovacích návrhů. Následovala další složitá vyjednávání o kompromisech, ze kterých vyšel konečný text nařízení, posvěcený Parlamentem v dubnu loňského roku. Už z komplikovaného procesu, kterým se nařízení rodilo, je jasné, že se na jeho výsledné podobě podepsala celá řada různých vlivů. Výsledek tomu odpovídá.

Kde hledat informace

Než se pustíme do vysvětlování konkrétních novinek, pojďme si ještě říct, z jakých zdrojů budeme vycházet a kde se o GDPR můžete dozvědět užitečné informace. Kromě samotného textu nařízení (viz výše) je základním zdrojem webu Úřadu pro ochranu osobních údajů (ÚOOÚ).

Tam doporučujeme zejména základní sekci GDPR v otázkách a odpovědích a později publikovaný text Desatero omylů o GDPR. Pokud chcete, můžete zabrousit i na microsite Evropské komise, která se snaží vysvětlit, co GDPR přináší malým firmám. Dobrým zdrojem, ovšem už složitějším na čtení, jsou také vodítka, která vydala Pracovní skupina WP29 – na webu ÚOOÚ je najdete v angličtině i v češtině.

A to je pro dnešek vše. Případné dotazy či návrhy konkrétních témat nám můžete posílat na e-mail redakce@lupa.cz.