Od příštího roku budou mít firmy výraznou motivaci pro ochranu svých počítačových systémů a dalších citlivých dat, a tou je Evropské nařízení o ochraně osobních údajů (GDPR). Směrnice GDPR totiž zavádí drastické pokuty pro podniky, kterým data uniknou. Nařízení vstoupí v platnost v květnu 2018.
Útok hackera vedoucí k odcizení osobních údajů může být pro firmy skutečně smrtící. Kromě toho, že přijdou o jednu z nejcennějších komodit, svoje interní data, mohou dostat pokutu až ve výši 550 milionů korun. Opatření GDPR (General Data Protection Regulation) mimo jiné zakotvuje právo na přenositelnost osobních údajů, právo být zapomenut a ochranu dětí.
Podnikatelé se nástupu nové normy do jisté míry obávají. „Nové nařízení o ochraně osobních údajů je zapotřebí, na druhé straně ale půjde o další finanční a administrativní zátěž, která dopadne na podnikatele. Vzhledem k množství změn považujeme již dnes za téměř nereálné, aby se všechny firmy stihly na nová pravidla fungování připravit,“ říká Marta Nováková, prezidentka Svazu obchodu a cestovního ruchu České republiky.
Firmy přípravu na nařízení GDPR podceňují
Zhruba třetina firem se ale na novinku ještě ani nezačala připravovat. Podle průzkumu provozovatele aplikace SmartEmailinig mezi 1400 firmami v ČR a na Slovensku dokonce více než čtvrtina firem neví, co GDPR je.
Téměř 38 procent firem se na GDPR připravuje, z toho většina je ve fázi studia materiálů, menší část analyzuje data a dvě procenta implementují úpravy. Pouze čtyři respondenti uvedli, že již jsou na nařízení připraveni. Zhruba 70 procent podniků ještě nemá vybraného dodavatele na implementaci požadavků GDPR.
Ochrana osobních údajů: co vás za rok čeká a nemine
Více než polovina firem předpokládá, že je implementace nařízení nebude nic stát, třetina očekává náklady do 50 tisíc korun.
Horší než EET
Nebezpečí vyplývající z opominutí této změny jsou mnohem větší než u jiných novinek, se kterými se museli podnikatelé vyrovnat. „Srovnáme-li EET a GDPR co do rozsahu, hloubky dopadu a výše pokut za neplnění, je proti tomu EET procházka růžovým sadem. Je tak s podivem, že při zavedení EET stát zorganizoval masivní osvětovou kampaň, avšak nyní před nabytím účinnosti GDPR žádná systematická osvětová a vzdělávací kampaň neběží a ani se neplánuje,“ porovnává Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.
Téma na svém webu alespoň důkladně zpracoval Úřad na ochranu osobních údajů. Podrobný návod a řadu dobrých tipů poskytne rovněž sedmidílný seriál webu Euro.cz.
Jak na GDPR krok za krokem. Připravte se na směrnici EU:
(1) Zmapujte si terén
(2) Jak uřídit data? Co nepotřebujete, vyhoďte
(3) Jak jsou údaje citlivé? Určete, kdo k nim může
(4) K lepší ochraně dat pomůžou cloud a šifrování
(5) Jak detekovat útok a zvládat bezpečnostní incidenty
(6) Jak vést provozní záznamy? Neplýtvejte časem
(7) Jsou opatření účinná? Napoví audit
Kromě rizik za pokuty navíc legislativní novinka znamená vyšší náklady na zavedení opatření, kterým firmy možnosti odcizení dat sníží. A nejedná se o malé částky. Podniky například musejí investovat do takzvaných vstupních auditů, které posoudí, jak jsou na GDPR připravené.
„Obecně půjde o průměrnou investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu. V souhrnu se pak náklady mohou vyšplhat až na šest miliard,“ vypočítává Jakub Kejval z poradenské společnosti Bureau Veritas.
| Co je důležité vědět o GDPR |
|---|
| GDPR se netýká pouze velkých firem, nýbrž všech, které nakládají s osobními údaji. Není důležité, zda máte tisíc, nebo jednoho zaměstnance. |
| Za osobní se považuje každý údaj, pomocí něhož lze identifikovat konkrétního člověka. Spadají sem e-mailové adresy, telefonní čísla, IP adresy, geolokační údaje, portrétní fotografie, kamerové záznamy atd. |
| Nařízení se týká EU, ale i třetích zemí, pokud zde probíhá zpracování dat, jež se vztahují k osobám v zemích EU. Tedy typicky v případě outsourcingu IT v Indii. |
| Správce i zpracovatel osobních údajů musejí vést evidenci záznamů o nakládání s osobními údaji. |
| Osobní údaje lze zpracovávat jen za předpokladu výslovného udělení souhlasu dotyčné osoby, nebo pokud je zpracování dat důležité pro splnění smlouvy či právní povinnosti (např. mzdová evidence), pro ochranu zájmů daného člověka (např. údaje o pacientovi, který nemůže dát souhlas) či pro splnění veřejného zájmu (např. obecní kamerový systém se záznamem). |
| Pokuty za porušení GDPR mohou dosáhnout deseti milionů eur nebo dvou procent z celkového ročního obratu (v případě závažnějších porušení 20 milionů eur a čtyř procent). |
| Český zákon o ochraně osobních údajů bude většinově novým evropským nařízením nahrazen s účinností k 25. květnu 2018. |
| Paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by bylo v rozporu s GDPR. |
| Dosavadní souhlas se zpracováním osobních údajů bude platný, pokud odpovídá dikci GDPR. |
| Podle GDPR není možné bez souhlasu přebírat údaje zveřejněné na internetu (ani v případě veřejných rejstříků, kdy musí subjekt údajů strpět jich publikování). |
O novince čtěte také:
ČLÁNKY DO MAILU