Banky, nemocnice, státní úřady, mobilní operátoři, internetové obchody, ale i každá firma, která má věrnostní program, budou muset od 25. května 2018 mnohem opatrněji zacházet s osobními údaji. Přísnější požadavky zavádí evropské nařízení o ochraně osobních údajů (GDPR).
Vyhovět novému nařízení přitom bude firmy stát velké peníze. „Bude se to pohybovat v řádu stovek tisíc až desítek milionů korun v závislosti na velikosti firem“ říká Petr Zahálka, který se touto problematikou zabývá ve společnosti Avnet. Na celém trhu bylo ke konci minulého roku téměř 452 tisíc firem. Náklady se tak budou pohybovat přinejmenším v řádech miliard korun.
Napříč trhem
Nařízení zasáhne firmy bez ohledu na sektor i velikost. „Každý, i malý živnostník přicházející do styku s osobními daty svých zaměstnanců nebo klientů by měl s nimi nakládat v souladu s platnou legislativou upozorňuje Vladimír Střálka, manažer pro Českou republiku a Slovensko technologické firmy VMware. To podle něj nebude pro drobné živnostníky znamenat žádné obrovské investice do informačních technologií. „Ale i jeden počítač, který používá, by měl mít určitým způsobem zajištěn,“ dodává.
Všichni, kdo nakládají s osobními daty, budou totiž muset zjistit, co s osobními údaji vůbec provádějí neboli provést datový audit. Podle jeho výsledků se pak firma musí rozhodnout, zda potřebuje koupit například software na šifrování nebo anonymizaci dat, aby se v případě jejich úniku nedala zjistit identita jednotlivce. Další peníze spolkne nákup počítačového vybavení nebo potřebného softwaru.
„Celkové náklady jsou v České spořitelně odhadovány na vyšší desítky milionů korun, přičemž jejich největší část souvisí s nutnými změnami v IT prostředí“ zdůrazňuje Michal Němec, ředitele řízení nefinančních rizik a compliance České spořitelny. V řádu desítek milionů korun odhaduje částku na potřebná opatření rovněž Komerční banka.
Firmy budou muset zajistit také prověrku od právníků, zda mají v pořádku smlouvy týkající se poskytování souhlasu se zpracováním osobních dat, kontrakty s dodavateli, bude potřeba například připravit interní a externí dokumentaci, která bude reagovat na požadavky nařízení. To vše si vyžádá značné sumy.
Konec problémových souhlasů
Na své si proto kromě softwarových společností přijdou rovněž právníci. Předělávat se totiž mohou například postupy, jak obchodníci získávají souhlas se zpracováním osobních údajů. Třeba při nákupu na internetu je nyní často nutné zaškrtnout políčko, kterým se prodejci dává souhlas se zpracováním dat spotřebitele, aby se prodej uskutečnil. Řada kupujících to provede automaticky, přičemž údaje o nich pak slouží k marketingovému využití nebo se s nimi dál obchoduje. To už ale nebude za rok možné.
Čtěte také:
Konečná na čtyři: GDPR ohrožuje malé firmy
Evropské nařízení říká, že prodej zboží nebo poskytnutí služby nesmějí být podmíněny udělením tohoto souhlasu. „E-shop tedy musí umožnit poskytnutí služby či zboží i bez zpracování osobních údajů za marketingovými účely,“ říká Michal Nulíček, partner advokátní kanceláře Rowan Legal.
Tato pravidla mohou řadu firem skutečně zabolet. Pokud totiž souhlas nebyl ještě před platností evropského nařízení udělen v souladu s pravidly GDPR, nebude možné na jeho základě osobní data dál zpracovávat a využívat. „Některé souhlasy využívat lze, pokud byly poskytnuty v souladu s GDPR,“uvádí ohledně souhlasů Patricie Šedivá, mluvčí největšího tuzemského e-shopu Alza.cz. Podobně na tom bude celá řada dalších internetových obchodů.
Obří pokuty
A nedodržení pravidel se dost prodraží. Menší prohřešky může potrestat Úřad pro ochranu osobních údajů, který bude dohlížet na plnění nařízení, pokutou ve výši deseti milionů eur (více než 260 milionů korun) nebo až do dvou procent ročního celosvětového obratu. U vážnějších pochybení se pokuta může dostat na čtyři procenta obratu nebo částku dvaceti milionů eur (vždy jde o vyšší z obou možností). „Úřad už jednoznačně naznačil, že vyšší pokuty budou za to, pokud se do 72 hodin nenahlásí bezpečnostní incident - třeba krádež dat,“ tvrdí Nulíček.
Ani hrozba drastických pokut ale zatím nepřiměla tuzemské společnosti k větší aktivitě. „Naprostá většina, celkem 78 procent firem, postrádá informace o dopadech regulace GDPR na jejich organizaci,“ uvádí technický ředitel firmy Eset Miroslav Dvořák výsledky analýzy, kterou firma realizovala společně s IDC.
„I malý živnostník přicházející do styku s osobními daty svých zaměstnanců nebo klientů by měl s nimi nakládat v souladu s platnou legislativou,“ uvádí k ochraně osobních dat Vladimír Střálka z firmy VMware.
Naopak státní úřady mohou být prý v klidu. „Pro státní správu nepřináší mnoho revolučních novinek, převážnou většinu povinností je nutno plnit již dle současných předpisů,“ tvrdí k dopadům GDPR Ondřej Krátoška z ministerstva vnitra. Opačný názor zastává Zahálka. Firmy i úřady mají totiž povinnost zavést pozici pověřence pro ochranu osobních údajů (DPO). Ten sice může být jeden například pro několik obcí - správců osobních údajů, ale stejně mohou na trhu podle několika expertů scházet potřební odborníci. „Počet chybějících DPO je jen ve státní správě odhadován na 1800,“ zdůrazňuje Petr Zahálka ze společnosti Avnet.
Ministerstvo vnitra navíc může celou záležitost zlehčovat, protože stát se zatím na GDPR příliš nepřipravuje. „Nevím o žádné státní organizaci pracující na projektu zajištujícím soulad s tímto nařízením,“upozorňuje Zahálka.
Novelu českého zákona o ochraně osobních údajů chce ministerstvo vnitra předložit až v srpnu. Na otázku, kdy bude úprava přijata, ministerstvo neodpovědělo.
Jaké změny přináší nařízení o ochraně osobních údajů:
• Povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů nejpozději do 72 hodin od okamžiku, kdy se správce o incidentu dozvěděl.
• Zvýšení pokut, které mohou dosáhnout až čtyř procent celosvětového obratu celého podniku nebo 20 milionů eur podle toho, co je vyšší částka.
• Odpovědnost zpracovatele za způsobenou újmu.
• Povinnost vést interní záznamy o zpracování osobních údajů.
• Zavedení pracovní pozice pověřence pro ochranu osobních údajů pro státní správu a firmy zpracovávající osobní údaje.
• Přenositelnost údajů.
• Jednoznačný souhlas ke zpracování údajů.
• Dříve udělené souhlasy musejí být v souladu s požadavky, které zavádí nařízení.
• Právo být zapomenut.
• Posouzení vlivu na ochranu osobních údajů.
• Detailnější důraz na zajištění bezpečnosti.
• Nařízení se bude týkat i firem se sídlem mimo Evropskou unii, které však nabízejí služby a výrobky evropským spotřebitelům.
Dále čtěte: