Firmy se bojí ručit za data zákazníků a zaměstnanců

Nová evropská legislativa zpřísňující ochranu osobních údajů zavádí doposud nevídané sankce. Dva podniky ze tří proto chtějí svěřit ochranu osobních údajů raději externistům. Podle odborníků si však zahrávají s ohněm.

Internet. | na serveru Lidovky.cz | aktuální zprávy Internet. | foto: Montáž ISIFA, Richard CortésČeská pozice
Internet. | na serveru Lidovky.cz | aktuální zprávy

Nová evropská legislativa zpřísňující ochranu osobních údajů zasáhne už ani ne za tři čtvrtě roku více firem, než kolik jich zatím stihla lapit elektronická evidence tržeb. Podle Asociace malých a středních podniků ČR (AMSP ČR) se na přísná pravidla musejí připravit dvě třetiny podnikatelů. Řada z nich si přitom na ochranu dat svých zákazníků a zaměstnanců hodlá najmout externí dodavatele, což se nezamlouvá ani asociaci, ani Úřadu pro ochranu osobních údajů (ÚOOÚ).

Počínaje 25. květnem příštího roku totiž budou firmám za porušení obecného nařízení o ochraně osobních údajů, které se skrývá pod nicneříkající zkratkou GDPR (z anglického „General data protection regulation“), hrozit v tuzemsku doposud nevídané sankce. Jejich výše může dosáhnout 20 milionů eur (v přepočtu asi 521,5 milionu korun) nebo čtyři procenta z celosvětového ročního obratu – podle toho, co je vyšší.

Zodpovědnost se nepřenáší

Firmy však neděsí jen sankce, ale i náklady spojené se zaváděním bezpečnostních opatření, jako je například šifrování dat či určený a proškolený člověk, který bude mít bezpečí citlivých údajů na starost. Podle dat AMSP ČR proto až 62 procent z nich plánuje svěřit starost o GDPR a data lidí nějaké jiné společnosti. Nařízení sice takzvané outsourcování nezakazuje, nicméně ÚOOÚ, který má nad zacházením s citlivými informacemi vykonávat dohled, se to však příliš nelíbí.

„Myslíme si, že outsourcing obecně odvádí odbornost z organizace. Vidíme to i při kontrolách, že přílišné spoléhání na dodavatele, respektive zpracovatele, a přehnaný outsourcing vede ke ztrátě přehledu a kontroly nad procesy.“

„Myslíme si, že outsourcing obecně odvádí odbornost z organizace. Vidíme to i při kontrolách, že přílišné spoléhání na dodavatele, respektive zpracovatele, a přehnaný outsourcing vede ke ztrátě přehledu a kontroly nad procesy,“ řekla v rozhovoru pro LN předsedkyně ÚOOÚ Ivana Janů.

Nakloněna takovému řešení není ani AMSP. Především menší a střední firmy totiž neustále dostávají nabídky od různých subjektů, které jim nabízejí, že za ně problémy s GDPR vyřeší. Ne všechny jsou však seriózní.

„Firmy by se neměly unáhlovat, není třeba platit desetitisíce za nějakou službu, když má podnik pár klientů,“ říká Karel Havlíček, šéf představenstva AMSP ČR, která pro firmy spustila informační web GDPR bezobav.cz.

Mnohé firmy totiž mají představu, že najmutím externího odborníka se zbaví odpovědnosti za data. Jenže to je zásadní omyl. Odpovědnosti se zbavit nemohou a veškeré prohřešky a sankce stejně půjdou na jejich „triko“. Obzvlášť v kombinaci s pochybným dodavatelem by tak mnozí podnikatelé mohli být nepříjemně překvapeni.

Druhým často rozšířeným omylem je, že GDPR se netýká těch podniků, které nezpracovávají data zákazníků. Jenže nová evropská legislativa dopadá například i na ty, kteří zpracovávají data svých zaměstnanců, a těch je podle AMSP 93 procent.

Data nemůže chránit kdokoli

„GDPR je nejpřísnější legislativa týkající se ochrany osobních údajů na světě. Je dokonce přísnější než legislativa v USA,“ míní partner advokátní kanceláře CEE Attorneys Zdeněk Tomíček.

Podle odborníka na bezpečnost a ochranu dat ve společnosti IBM Daniela Joksche přitom takzvaný data privacy officer, tedy člověk zodpovědný za ochranu dat, nemůže být jen tak někdo.

Spolu s Havlíčkem se však shodují na tom, že z GDPR se někdy stává zbytečný strašák. Podnikatelé zbystřili hlavně poté, co pracovní skupina vlády před časem vyčíslila náklady na zavedení potřebných opatření u větších firem na statisíce až miliony korun. Ve zprávě se mimo jiné uvádí, že jen ve státní správě bude třeba až 13 tisíc nových úředníků a ve firmách možná ještě více lidí.

Podle odborníka na bezpečnost a ochranu dat ve společnosti IBM Daniela Joksche přitom takzvaný data privacy officer, tedy člověk zodpovědný za ochranu dat, nemůže být jen tak někdo. Musí reportovat přímo představenstvu a musí být nezávislý. Nemůže být zařazen do klasické struktury, takže jím nemůže být zároveň šéf IT, personálního nebo jiného úseku. K tomu všemu ale musí mít technické a právní povědomí.

Šéfka regulátora však obavy mírní. „Kdo doposud plnil zákonné požadavky, ten nemůže být ničím překvapen. I kdyby s přípravou na GDPR začal až teď, tak termín stihne a unese to i finančně,“ ujišťuje ředitelka ÚOOÚ Janů.