Na výklad ke GDPR si ještě chvíli počkáme

Většina společností, které se připravují na nové evropské nařízení o ochraně osobních údajů, takzvané GDPR, narazí dřív či později na klíčovou otázku: jak správně vykládat jednotlivá ustanovení nařízení? Na tuto otázku si bez jasných a ověřených instrukcí nemohou s klidným svědomím odpovědět. Bez doporučení v podobě výkladových stanovisek totiž řada firem nemůže například dokončit přípravu klientské dokumentace, interních pravidel nebo potřebná proškolení a aktualizaci systémů.

Orgánem, který dá "jasnější" návod, jak jednotlivá ustanovení GDPR vykládat, je bruselská poradní skupina W29. V té sedí zástupci dozorových úřadů členských zemí EU. Tedy ti, kteří budou po 25. květnu 2018 rozhodovat o porušení nových pravidel.

Skupina se zatím vyjádřila k několika málo oblastem, a tak se na komplexnější materiál teprve čeká. V řadě otázek tak ještě jasno není, a proto by měl každý k "zaručeným pravdám" o výkladu GDPR přistupovat obezřetně. První tři výstupy bruselské skupiny se věnovaly portabilitě, tedy právu na přenositelnost osobních dat, pověřencům pro ochranu osobních údajů a problematice určování vedoucího dozorového úřadu v případech přeshraničního zpracování osobních údajů. Následně vydala stanovisko k posouzení vlivu na ochranu osobních údajů a na začátku léta pak pokyny pro zpracování dat zaměstnanců. Většina klíčových ustanovení tak na svůj výklad čeká a skupina by měla jejich návrh zveřejnit až v průběhu října.

Český zákon z pera ministerstva vnitra, který má zajistit soulad našich zákonů s GDPR, také zaručený návod nedá. Nad rámec nařízení nejde a věnuje se spíše související směrnici o zpracování osobních údajů při vyšetřování trestných činů. Reguluje také zpracování údajů při zajišťování obrany a bezpečnosti České republiky. Tedy pro firmy nepříliš klíčové oblasti. Český zákonodárce tedy nechává úpravu základních mantinelů ochrany osobních údajů na bruselské normě a nevybočuje.

Z míst, která by mohla firmám s výkladem pomoci, tak vlastně zbývá jediné: Úřad pro ochranu osobních údajů. Ten je totiž hlavní českou spojkou na pracovní skupinu W29 a její výstupy průběžně zveřejňuje v češtině. Mějme s úřadem trpělivost. Jeho kanceláře patří k těm nejvytíženějším v zemi a rozhodně nemá na starosti jen "výklad" GDPR. Ani v rámci něj však nečekejme komplexní pokrytí. Úřad se totiž zaměří především na nové či zásadně inovované oblasti. Všechny základní principy a povinnosti týkající se ochrany údajů podle obecného nařízení totiž dle jeho vyjádření nejsou novinkou a stanovuje je už stávající zákon o ochraně osobních údajů.