Článek
„Dochází tím k nárůstu vnitřního papírování, byrokracie,“ konstatoval právník Michal Nulíček z Rowan legal v rámci nedávného semináře Stálé konference českého práva (SKČP) v Praze.
„V nařízení jsou neurčité právní pojmy. Následkem jsou zbytečné náklady,“ vysvětloval Nulíček. Některé firmy se podle něj už iniciativně školí „na něco”, ale ono to může být jinak.
Právník Jan Sůra z advokátní kanceláře Císař, Češka, Smutný proto rovnou říká, že GDPR je „jeden z největších podnikatelských projektů v EU a bude stát nepředstavitelné sumy“.
Jak už Právo psalo, český stát s přípravami na GDPR zaspal, takže chybí legislativa a metodika. [celá zpráva]
V nařízení jsou přitom často jen vágní pojmy, upozornil Nulíček. Zakladatel SKČP Karel Havlíček mu dává za pravdu. „Norma hýří pojmy typu veškerá rozumná opatření a nepřesnost údajů,“ poznamenal.
Složitá práce v kyberprostoru
GDPR, které kromě jiného zavádí právo občana na výmaz z registrů, dělá těžkou hlavu správcům počítačových systémů, které jsou v dnešní době různě provázané.
„IT systémy ani od největších dodavatelů neumějí ty data exportovat ani mazat. Databáze jsou tak provázané, že i kdyby z nich vymazali jednu větu, zhroutí se jim,“ zdůraznil Nulíček. Otazníků je moc, takže tápou i tisíce obcí, které by podle
GDPR měly nově mít pověřence pro ochranu dat.
„Netuší, kde pověřence s funkcí, která znamená odpovědnost, najít. Přitom ani neexistuje jednotný předpis pro certifikaci pověřenců. Proto udělení certifikátu může nabízet kdekdo a není možné ověřit skutečnou znalost problematiky z jeho strany,“ varuje šéf MCS Consulting Lukáš Vejman.
Osobní data klientů ovšem budou muset chránit i drobní živnostníci. Třeba kadeřnice bude také muset při případné kontrole prokazovat, jak bezpečně schovává notýsek se záznamy svých klientek, ačkoliv to pro ni není nic nového, protože povinnost chránit záznamy na uzamykatelném místě plyne už ze stávajícího zákona o ochraně osobních údajů.
Nulíček se domnívá, že ten, kdo zákon o ochraně osobních údajů dnes dodržuje, neměl by mít z GDPR až tak velké obavy. „Problém je ovšem v tom, že mnohé subjekty nedodržují ani současnou legislativu. Společnosti nemívají přehled, jak a jaké údaje zpracovávají, ten stav bývá žalostný,“ míní.
„Velkou otázkou je však vymahatelnost GDPR vůči společnostem mimo EU, například z daňových rájů a z Číny,“ upozornil dál Nulíček.
Zákon se nestihne včas
Adaptační zákon k evropskému nařízení GDPR o ochraně soukromí nebude schválen do května, kdy nařízení začne platit. Teprve 21. března se jím bude zabývat vláda. V TV Prima to v neděli řekl ministr životního prostředí v demisi Richard Brabec (ANO). Poukázal také na to, že adaptační zákon má jen šest států EU, a Česko tak podle něj není jediným zpozdilcem.