Rok s GDPR v dopravě
Obecné nařízení o ochraně osobních údajů platí od 25. května 2018. Hrozící vysoké sankce za porušení nových povinností učinily pro řadu firem poslední týdny před jeho účinností hektickými.
Pondělí, 27. května 2019, rebus
Obecným nařízením o ochraně osobních údajů známým též pod zkratkou GDPR se od 25. května loňského roku musí řídit každý, kdo provádí zpracování osobních údajů, tedy dat o svých zaměstnancích, partnerech nebo zákaznících. Náběh účinnosti GDPR byl spojen s hysterií, kterou vyvolala především informace o obřích sankcích (až 20 000 000 EUR, nebo jde-li o  podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok), jež jsou v obecném nařízení zakotveny. A protože při hysterickém záchvatu člověk neuvažuje racionálně, vyvodila celá řada jedinců z uvedené hrozby závěr, že vše, co dosud v ochraně osobních údajů dělali, je nedostatečné. A zejména to promítli do povinnosti občanů, jejichž data zpracovávají, podepsat tisíce souhlasů se zpracováním osobních údajů.

Dalším strašákem pro správce osobních údajů bylo zavedení nových práv pro subjekty údajů – tedy zejména práva na přístup k informacím, práva na výmaz nebo námitku apod. Na rozdíl od předchozí hrozby, tato byla reálná a správci museli zpracovávat metodiky, jak se s případnými požadavky subjektů vypořádat.

A jak to nakonec po roce vypadá? "Úřad pro ochranu osobních údajů, který by spíše měl působit jako přísný dráb, vzal na sebe břímě uvádění románových příběhů na pravou míru a vysvětluje zejména škodlivost nadbytečného užívání souhlasů se zpracováním osobních údajů," říká Martin Chval, člen Komory pověřenců pro ochranu osobních údajů, kterého jsme se zeptali na jeho zkušenosti. "Dle mého názoru prokázal úřad dosud až neočekávanou míru racionálního přístupu a nesklouzl k jinde viditelnému papeženství většímu papeže. Především jeho heslo: „Osobní data mají sloužit lidem, ne lidi osobním údajům.“ považuji za, s odpuštěním, kruciální. Také na svých stránkách zveřejnil již celou řadu důležitých stanovisek nebo návodů a doporučuji jeho web užít vždy jako primární zdroj informací."

"V dopravě se GDPR za rok účinnosti projevilo zpravidla tak, že se přeformulovávaly obecné obchodní podmínky, měnily se formuláře a odbourávaly se souhlasy se zpracováním, které byly zpravidla, jak jinak, nadbytečné. Ohledně požadavků subjektů údajů jsem se ve své praxi zatím setkal pouze se třemi případy. Zajímavý byl ten, při kterém nás oslovil člověk mající zájem o přístup k informacím, jež o něm zpracováváme. Adresa, z níž tento požadavek přišel, byla zjevně vymyšlená, a když jsme se v rámci kontroly oprávněnosti požadavku domáhali nějakého ztotožnění žadatele, jeho zájem o data zcela opadl. Další dva případy (oba se týkaly výmazu z databáze) ale byly oprávněné a v rámci možností byly vypořádány. Lze však říci, že masivní útok na správce s požadavky subjektů se nekonal. Přece jen to s lidstvem nebude tak špatné. V současné době lze situaci označit za usazenou. Dokumentace bývá již vytvořena a začleněna do podnikových systémů, procesy jsou nastartovány a zaměstnanci proškoleni. S počátečním vypětím jsme se tedy vypořádali a teď již jen neusnout na vavřínech, jak se říká, a udržet celý ten koloběh funkční.

Doporučení na závěr: Ochrana osobních údajů není jaderná fyzika a gramotný člověk si s ní poradí. Základními pravidly zůstává, že musí být přítomna upřímná snaha o ochranu dat, ale hlavně selský rozum. Více, než kdekoli jinde zde platí: „Co sám nerad, nečiň jinému." Neboli – pokud by mně samotnému nebylo milé, že o mně někdo vede zbytečně nějakou agendu, nepovedu ji ani já. A naopak, samozřejmě," říká Martin Chval.

Mgr. Martin Chval
Dlouholetý ředitel projektu Plzeňská karta. Od roku 2013 administrátor ochrany osobních údajů pro Plzeňské městské dopravní podniky, a.s. V současnosti certifikovaný pověřenec pro ochranu osobních údajů dle požadavků GDPR, člen Komory pověřenců pro ochranu osobních údajů.

SDP ČR