Jiří Navrátil a kol.: GDPR pro praxi


publikováno: 24.04.2018

Nestává se příliš často, aby bylo jedno z nejžádanějších témat současnosti opředeno takovým počtem mýtů a polopravd, jak je tomu v případě obecného nařízení o ochraně osobních údajů (dále jen „GDPR“), které vstoupí v přímou použitelnost dne 25. května 2018, čímž souběžně nahradí a nepřímo (tj. na základě adaptačního zákona)[1] zruší dosavadní veřejnoprávní rámec ochrany osobních údajů v ČR, opírající se dosud výlučně o zákon č. 101/2000 Sb., o ochraně osobních údajů.

Kromě celé řady obecně nepravdivých či zavádějících výroků se lze nezřídka setkat i s tím, že tato nová úprava bývá nesprávně označována jako revoluční; v duchu takto podávaných „pravd“ pak žijí vlastním životem další „pravdy“, jež uvedené dále potvrzují. Lze se tak např. dočíst, že se výrazně rozšiřuje definice osobního údaje,[2] případně se zavádí povinnost šifrovat osobní údaje,[3] příp. že každý správce nově musí mít tzv. pověřence,[4] kterého pak nesmí dále úkolovat, a jiné podobné nesmysly. Naštěstí však existuje publikace, která odhaluje skutečnou podstatu této úpravy, jež je zpravidla zřejmá až v dlouhodobém kontinuálním pohledu a ve světle propracovaných úvah, čerpajících převážně z praktických zkušeností a rozhodovací praxe. Publikace, jež všechny tyto parametry beze zbytku splňuje, vyšla počátkem roku 2018 ve Vydavatelství a nakladatelství Aleš Čeněk se stručným, avšak zcela výstižným názvem „GDPR pro praxi“.

Recenzovaná publikace představuje dílo devítičlenného autorského kolektivu pod vedením JUDr. Jiřího Navrátila, zkušeného advokáta, podnikového právníka, mediátora a člena rozkladové komise Úřadu pro ochranu osobních údajů a tribunálu Mezinárodního arbitrážního soudu v Paříži. Obsahuje navíc ryze praktický pohled, který tak vhodně vyplňuje existující mezeru na trhu v tomto segmentu, a to zejména díky interdisciplinárnímu přístupu autorského kolektivu, kde jsou kromě právníků (JUDr. E. Dobrovolná, JUDr. H. Svatošová, JUDr. S. Navrátilová) zastoupeni také informatici (Ing. V. Umlauf, Mgr. M. Bulánek, I. Popardowski) a daňová specialistka (Ing. L. Ferencová).

Byť lze úpravu ochrany osobních údajů považovat za relativně jednoduchou, GDPR oproti tomu představuje úpravu nepřehlednou (99 článků a 173 odstavců recitálu), skrývající celou řadu interpretačně problematických míst, na nichž lze při nelehké argumentaci vyvažující zájmy subjektu, správce či zpracovatele snadno ztroskotat. Hodí se tak mít při sobě odborně zdatného, a především zkušeného průvodce, který́ nás nejistými zákoutími této úpravy bezpečně provede. JUDr. Jiří Navrátil takovým průvodcem bezesporu je.

Po obsahové stránce jde o publikaci ve všech ohledech zdařilou, orientovanou převážně na praktické aspekty ve všech podstatných segmentech, zejména pak konkrétní pojetí portfolia práv a souvisejících povinností ve všech klíčových oblastech. V ohnisku zájmu autorského kolektivu ale naštěstí nezůstávají pouze aspekty právní, ale také poměrně specifická oblast řízení procesů, informačních technologií, souvisejícího objektového i informačně-technologického zabezpečení prostor, archivace apod.

Publikace však není jen praktickou příručkou (jak bude patrně naznačovat i název edice, v níž vyšla), ale místy i relativně důkladným komentářem většiny ustanovení GDPR, a nezřídka i hlubším zamyšlením nad podstatou a důvody této úpravy. Publikace tak představuje významný interdisciplinárně-praktický pohled na otázky ochrany osobních údajů, jejich historie a důvodů této ochrany, a to včetně konkrétních aspektů dopadu této oblasti do vícera oborů. I když je vytvořena ze samostatných kapitol, zpracovaných různými autory, má celkově vhodný jednotící koncept; lze ji tedy považovat za prakticistní monotematickou monografii s jasným obsahem. 

JUDr. JÁN MATEJKA, Ph.D., ředitel Ústavu státu a práva AV ČR, v. v. i., advokát v Praze 

 



[1]  Samotný adaptační zákon (označený jako „zákon o zpracování osobních údajů“) se nachází v připomínkovém řízení; již dnes je však zřejmé, že účinnost tohoto předpisu nastane výrazně později než k 25. květnu 2018.

[2]  GDPR vymezuje pojem osobní údaj stejně jako u současné úpravy, neobsahuje však podmínku systematičnosti (zpracování).

[3]  GDPR ukládá pouze obecnou povinnost zabezpečení, šifrování je jedno z možných opatření.

[4]  Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek vymezených v čl. 37 GDPR.