Firmy a organizace, ale i školy nebo zdravotnická zařízení budou muset v řadě případů žádat lidi o souhlas se shromažďováním jejich dat a údajů.

Ve většině případů ale bude možné i nadále zpracovávat osobní údaje i bez jejich souhlasu, a to například z důvodu plnění smlouvy, právního důvodu nebo takzvaného oprávněného zájmu.

I když bude věc aktuální v květnu, instituce se na ni připravují již teď. „Souhlasy se zveřejňováním údajů jsme rodičům nechávali podepisovat při zápisu do první třídy. Teď přibude více položek k podepsání. Horší jsou analýzy současného stavu, implementace nového nařízení EU a následně všechny audity,“ uvedla ředitelka Základní školy Jana Palacha v Kutné Hoře Jaroslava Drabešová. Té to přijde jako zbytečné, protože veřejně nijak zvlášť nepracují s osobními údaji. „Potřebujeme je především pro výkon správy,“ dodala.

Základní škola Sadová v Čáslavi se s GDPR teprve seznamuje. „Důsledky a dopady teprve zjišťujeme. Je ale jasné, že to pro nás bude další administrativní práce navíc. Musíme to ale respektovat,“ řekl ředitel Pavel Škarka.

Ředitelka Základní školy Zruč nad Sázavou Ivana Stará je ráda, že se této záležitosti chopil zřizovatel školy. „Jsem kvůli tomu přihlášená na školení,“ uvedla ředitelka Ivana Stará.

Nařízení rozhodně není dobré brát na lehkou váhu. Pokud mu totiž firmy a instituce nevyhoví, budou riskovat vysoké pokuty, které se mohou vyšplhat i na více než půl miliardy korun. Pro související agendu si lze najmout odborníka zvaného pověřenec. „S důsledky GDPR se setká každý, kdo někomu jinému předává své údaje. Například když uzavírá smlouvu s telekomunikačním operátorem, bankou či energetickou společností,“ uvedl Ondřej Malý, vládní koordinátor digitální agendy.

Změna posiluje práva občanů vědět, kdo k jejich datům bude mít přístup, kdo a proč je bude zpracovávat a také na jak dlouho. Když souhlas odvolá nebo skončí důvod, proč se údaje zpracovaly (třeba splněním smlouvy), bude mít člověk právo „být zapomenut“.

S úpravou se budou muset vypořádat i nemocnice nebo ambulantní lékaři. Při běžném provozu žádný nový souhlas pacienta nutný nebude. Otázka je, jak dlouho bude možné data uchovávat. Souhlas se zpracováním údajů by měl obsahovat i dobu, po kterou mohou být zpracovávány.

GDPR platí pro všechny členské státy EU a je nadřazeno jejich zákonům. Každý stát má přijmout vlastní prováděcí zákon, jímž bude nařízení zavádět do praxe. Firmy si stěžují na jeho absenci. Obávají se zejména, že zákon nebude přijat včas. Legislativní úpravu zavádějící GDPR do českého právního řádu totiž bude muset schválit nová vláda i sněmovna a času je málo. Mnoho firem se proto bojí, že konečná podoba adaptačního zákona pro GDPR bude přijata na poslední chvíli nebo dokonce až poté, co vstoupí v platnost. Zároveň mají i obavy z nákladů, které zavedení změn bude znamenat.

Kde se s GDPR setkáme?

Při nakupování v obchodech: Prodejce smí uchovávat údaje zákazníků po dobu záruční lhůty kvůli právní úpravě ochrany spotřebitele. Potom je musí vymazat z databází.

Při nákupech v e-shopech: Souhlas se zpracováním údajů i pro jiné účely musí být uveden mimo obchodní podmínky. Pokud jej klient neudělí, nesmí být „potrestán“ neposkytnutím služby.

Ve školách: Souhlas rodičů nebo dítěte staršího 13 let bude nutný třeba při umístění jeho fotografie na webu školy.

U lékaře a v nemocnici: Při běžném provozu žádný nový souhlas pacienta nebude třeba.

V zaměstnání: Zaměstnavatel smí shromažďovat údaje o zaměstnanci potřebné pro výpočet mzdy a odvodů na sociální a zdravotní pojištění.

U přímého marketingu: Odesílatel svým zákazníkům (i minulým) může poslat obchodní sdělení, ale příjemce musí mít možnost jednoduchým způsobem zasílání zakázat.

Na sociálních sítích: Pokud se staneme fanouškem facebookové stránky, lze to považovat za souhlas s doručováním marketingové komunikace. Přestaneme-li ji sledovat, souhlas odebíráme.