Tuzemským firmám, úřadům, nemocnicím nebo obcím se krátí čas nutný k přípravě na zásadní změnu v ochraně soukromí jejich klientů, zaměstnanců či pacientů. Podnikům, které nebudou do devíti měsíců svá data lépe zabezpečovat, přitom hrozí od státu pokuta dosahující až půl miliardy korun nebo čtyř procent jejich globálního obratu. Za vším stojí již přijaté evropské nařízení na ochranu osobních údajů známé pod anglickou zkratkou GDPR.

Velké banky a mobilní operátoři oslovení HN uvádějí, že se GDPR začali zabývat už loni, kdy bylo pravidlo schváleno, a na lepší zabezpečení každý z nich vydá desítky milionů korun. Aktuální výzkum Asociace malých a středních podniků (AMSP) provedený na vzorku 450 firem ovšem potvrzuje, že zbylé společnosti se do změn ještě vůbec nepustily. Podle studie 76 procent podniků bez ohledu na svou velikost teprve chystá analýzy, které jim poradí, jak se k GDPR dále zachovat.

"Řada firem tuto věc zlehčuje. Už nyní pro ně platí ustanovení českého zákona na ochranu osobních údajů, které ale mnohdy nedodržují. Pokud tak ale nečiní, je pro ně příprava na nařízení obtížná a zabere i několik měsíců," upozorňuje právnička Eva Škorničková, která provozuje web GDPR.cz. Menší podniky, které změna vyjde na desítky až stovky tisíc korun, tak mohou mít problém květnový start nových unijních pravidel stihnout.

Mezi tuzemskými firmami přesto existují výjimky, které potvrzují, že už se na GDPR chystají. "Právě teď si celé nařízení analyzujeme. Celkové náklady nejsme schopni v tuto chvíli specifikovat, ale už teď víme, že budou nemalé," říká mluvčí zdravotnické sítě EUC Dita Fuchsová. "Naše firma už jedná s externím dodavatelem, který by zvýšil zabezpečení našich dat. Příliš zvýšené náklady neočekáváme," uvádí zástupce jazykové školy James Cook Ondřej Kuchař.

Z analýzy AMSP, kterou sestavila společnost Ipsos, přitom vyplývá, že dvě třetiny zkoumaných podniků pracují s cizími osobními daty svých zaměstnanců, zákazníků nebo obchodních partnerů, a tak se novému nařízení nevyhnou. "Pokud se výsledky průzkumu naplní a GDPR se skutečně dotkne téměř dvou třetin podniků, pak se bude jednat o jedno z nejnáročnějších nařízení, které alespoň částečně ovlivní skoro milion podnikatelských subjektů," uvádí analýza asociace.

Z té navíc vyplývá, že 41 procent firem zažilo kybernetický útok, při němž mohly uniknout osobní údaje, které podniky spravují. Celých 32 společností k tomu uvedlo, že se staly terčem hackerů v průběhu letošního roku.

* Výzkum agentury Ipsos pro AMSP se uskutečnil v červnu na vzorku 450 firem různé velikosti.

Firmy za IT služby utratí stovky milionů

Podstata nového nařízení spočívá v oddělení osobních údajů od ostatních dat, jež firmy nebo úřady schraňují. Osobní informace musí být dostatečně chráněny, u těch obzvlášť citlivých, které spravují banky či nemocnice, se navíc doporučuje data šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka. K tomu občané získávají právo na výmaz svých údajů z různých reklamních databází. E-shopy nebo mobilní operátoři navíc musí předem uvést, na co soukromá data svých klientů použijí.  

Podniky kvůli takovým změnám souhrnně vydají stovky milionů korun za přestavbu svých počítačových systémů a za náklady spojené s novou administrativou. Většina z nich navíc povinně zavede novou pracovní pozici takzvaného pověřence ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo ve firmách, které zpracovávají velký objem osobních údajů. Povinnosti mít pověřence se tak ale nejspíš nevyhnou ani větší soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace používají statisíce lidí.

Podle studie AMSP sázejí podniky především na přeškolení svých zaměstnanců, kteří se soukromými daty zacházejí, a k tomu hodlají proměnit své interní postupy pro sběr a ukládání údajů.

Úřady se vysokým pokutám vyhnou

Vzhledem k velkému množství nových pravidel, které GDPR přináší, dostaly členské státy unie celé dva roky na to, aby na to své firmy, úřady a veřejné organizace připravily. Do proškolování podniků už se tak na sklonku loňského roku pustila AMSP i Svaz průmyslu a dopravy. Ze strany státu se naopak žádná informační kampaň nechystá, potvrdilo HN ministerstvo vnitra, které má tuzemskou přípravu na GDPR spolu s Úřadem pro ochranu osobních údajů (ÚOOÚ) na starosti.

Oba úřady ale v minulých dnech představily očekávaný návrh národního zákona, který má nová evropská pravidla v Česku zpřesnit. V tuzemském případě půjde především o snížení maximálních pokut za nedostatečnou ochranu dat pro státní úřady, kraje, obce či nemocnice. Podle nařízení GDPR mohou takové organizace zaplatit nejvýše 20 milionů eur (520 milionů korun), návrh zákona ale počítá pouze s 10 miliony korun.  

"Zejména v případě institucí s menším rozpočtem by šlo o pouhé formální přesuny prostředků v rámci státního rozpočtu," vysvětluje podstatu návrhu mluvčí ministerstva Klára Pěknicová.

Podle právníka Michala Nulíčka z advokátní kanceláře Rowan Legal tím ale stát jde proti smyslu nařízení, jehož pokuty mají mít odstrašující účinek. "Především kvůli vysokým sankcím si GDPR všímají všechny významné firmy. Podobně to mělo zafungovat i ve veřejné správě, což se zřejmě ale nestane," obává se Nulíček.

Národní zákon k GDPR by měl být přijat na sklonku roku. To ale podle právníka firmám nebrání, aby s přípravou na nová pravidla začaly už nyní. "Všechna důležitá ustanovení jsou uvedena v samotném nařízení, které již přes rok platí," dodává.   

Právnička Škorničková zase doplňuje, že některé firmy se na čekání na nový národní zákon o ochraně dat vymlouvají. "Některá soukromá zdravotnická zařízení třeba tvrdí, že by mohla dostat od vlády pro svůj obor nějaké výjimky v otázce ochrany dat. To ale nařízení, které je závazné, nepřipouští," upozorňuje.

Podniky mnohdy spoléhají také na to, že ÚOOÚ, který má bezpečnostní incidenty kolem ochrany dat šetřit, bude se startem GDPR zavalen prací. Některé případy by tak mohl přehlédnout. "Konkurenční firmy se ale budou v dodržování nových pravidel navzájem hlídat. Někomu se může zdát, že zavládne atmosféra udávání. Vezměte si ale, že jeden podnik nařízení do puntíku splní, což ho ale bude mnohdy stát spoustu peněz a třeba to povede i ke zvýšení cen jeho služeb či výrobků. Když ale konkurent z nařízení nesplní vůbec nic, bude mít neférovou výhodu, proti které se bude řada podniků bránit," říká dále Škorničková. Podle ní budou moci české kontrolory ochrany dat zastoupit také jejich kolegové z Bruselu. Hříšníci by se tak postihům vyhnout neměli.

 
Související