Před rokem se české podniky a státní instituce vzpamatovávaly z paniky, kterou vyvolalo evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR. Na poslední chvíli se snažily dohnat "resty". Rok poté řada z nich odložila ochranu osobních údajů na vedlejší kolej a nechce už do ní jakkoliv investovat.

"Jde o další příklad zcela zbytečného bruselského nařízení, které jen způsobilo obrovské množství zmatku, aniž by něco užitečného přineslo," říká například generální ředitel developerské společnosti Ekospol Evžen Korec. "Právníci a všemožní konzultanti se najedli a my musíme makat o trochu více," myslí si Martin Lipert, zakladatel prodejce elektronických knih eReading.cz.

Obdobné názory na nařízení přitom nejsou mezi českými podnikateli nijak výjimečné. Hlavně u menších společností, které za sebou nemají aparát právníků, je pak ve vztahu k ochraně osobních údajů běžná naprostá rezignace. "Tvrdí, že mají mnohem více úkolů k řešení a nemají šanci vyhovět," popisuje viceprezidentka Svazu průmyslu a dopravy ČR Milena Jabůrková. K takovému vnímání evropského nařízení podle ní přispěla mimo jiné příliš složitá, různorodá nebo nepoužitelná doporučení v médiích, na různých seminářích a vzdělávacích akcích.

Výsledkem rezignace a odmítavého přístupu je, že řada společností má v práci s osobními údaji velké rezervy. Březnový průzkum společnosti Cisco tak například ukázal, že požadavky vyplývající z nařízení splňuje úplně či z větší části jen 59 procent podniků. A podobně vyznívá i čerstvý průzkum poradenské společnosti KPMG, který na konferenci Osobní údaje 2019 − GDPR rok poté, pořádané vydavatelstvím Economia, představil partner KPMG Martin Hladík. Průzkum analyzoval, jak je na tom s dodržováním nových pravidel 52 významných českých společností od bank přes pojišťovny a operátory až po dopravce a energetické společnosti. Prohřešků proti nařízení odhalil 76.

Nejlépe v průzkumu KPMG dopadly banky a pojišťovny. Naopak nejvíce prohřešků či nejasností poradci našli u sportovních organizací a nemocnic. "Fakultní nemocnice dlouho neřešily GDPR vůbec. Čekaly na pokyny z ministerstva zdravotnictví. V momentě, kdy je dostaly, je všechny jak přes kopírák zavedly," říká Hladík. V rozporu se stávajícími předpisy jsou zejména v oblasti zpracování cookies, tedy ukládání informací o návštěvnících svých webů. "Fakultní nemocnice používají cookies, sledují, co dělají návštěvníci na jejich webu, ale nemají tam souhlas se zpracováním cookies ani informaci, že je používají," upozorňuje Hladík.

Obecně se podle něj jako problematické ukázalo také to, jak čeští správci a zpracovatelé dat plní informační povinnost, kterou podle nařízení mají vůči zákazníkům. "Šlo o nejasně vymezený rozsah osobních údajů, které podniky zpracovávají, vymezení účelu, pro který je drží, a doby, po kterou je drží," popisuje Hladík. Chyby KPMG našlo také ve způsobu, jakým podniky sbírají souhlasy se zpracováním zákaznických dat, nebo v tom, jakým způsobem u nich mohou lidé uplatnit práva, která podle nových pravidel mají. Typicky největší problém bývá s výmazem dat. "Většina firem se nedokáže zbavit údajů, které už dávno nemá mít, a nastavit způsob, jak data průběžně vymazávat, když od nich klient odchází," popisuje Hladík.

Za takový prohřešek proti nařízení už ostatně v Česku padla i pokuta. Dostala ji banka, jejíž konkrétní název Úřad pro ochranu osobních údajů s ohledem na svá interní pravidla nezveřejnil. Sankce dosáhla 250 tisíc korun.

Z celkového počtu osmi pokut, které od účinnosti GDPR úřad udělil, je tato nejvyšší. Ostatní uložené sankce se pohybují jen v řádu desítek tisíc, ta nejnižší činí dokonce jen 5 tisíc korun. Za zveřejnění seznamu s osobními údaji na internetu tak například dostala jedna nezisková organizace sankci 10 tisíc korun. Půjčovna aut, která monitorovala vypůjčené vozy prostřednictvím GPS, pak musela zaplatit 30 tisíc korun. Z pohledu podniků jde o "drobné", které bez problémů zaplatí.

Klikli jste na článek, který patří do předplatitelské sekce IHNED.cz
Chcete si přečíst celý článek?