Ochrana osobních údajů: Firmy a instituce se probouzejí

Evropské obecné nařízení o ochraně údajů (GDPR) začne platit za jedenáct měsíců a firmám i úřadům, jež zpracovávají osobní data, hrozí za jeho nedodržení pokuta až půl miliardy korun. Dopad nařízení na obce je zásadní, protože jako orgán samosprávy a veřejné moci zpracovávají nejcitlivější data. Ty však stále netuší, co mají dělat.

Využívání a někdy údajně i zneužívání osobních údajů pro marketingové účely ale... | na serveru Lidovky.cz | aktuální zprávy Využívání a někdy údajně i zneužívání osobních údajů pro marketingové účely ale... | foto: Richard Cortés, Česká pozice
Využívání a někdy údajně i zneužívání osobních údajů pro marketingové účely ale... | na serveru Lidovky.cz | aktuální zprávy

E-mailové schránky malých a středních obcí trpí v posledních týdnech pod náporem nabídek poradenských firem. Chtějí jim prodat své služby v oblasti GDPR neboli evropského obecného nařízení o ochraně údajů. To začne platit už za jedenáct měsíců a firmám i úřadům, které zpracovávají osobní data, hrozí za jeho nedodržení pokuta až půl miliardy korun. Obce přitom stále netuší, co vlastně mají dělat.

Nařízení bylo schváleno loni v dubnu. Hovořilo se o něm však už od aféry Edwarda Snowdena, který v roce 2013 vynesl do médií informace o masivním sledování telefonů a elektronické komunikace americkými bezpečnostními službami. Firmy a instituce se probouzejí teprve nyní, kdy do účinnosti GDPR zbývá necelý rok. Podle odborníků přitom jde o tak zásadní změny, že tato doba nemusí stačit.

Příležitosti se proto chopily konzultační společnosti, které nabízejí, že všechno potřebné zařídí. „Je pravdou, že se na samosprávy obrací řada firem s tím, že ‚vyřeší‘ jejich problém s GDPR,“ řekla LN mluvčí Svazu měst a obcí Petra Kubařová.

Mnoho požadavků

Nařízení klade na zpracování osobních údajů fyzických osob mnoho požadavků – od zavedení bezpečnostních opatření přes reportování dohledovým úřadům až po vyčlenění odpovědné osoby. Jeho dopad na obce je zásadní, protože ty jako orgán samosprávy a veřejné moci zpracovávají nejcitlivější data, včetně osobních údajů dětí či informací o zdravotním stavu. Právě ty patří na černém trhu k nejcennějším.

Nařízení klade na zpracování osobních údajů fyzických osob mnoho požadavků – od zavedení bezpečnostních opatření přes reportování dohledovým úřadům až po vyčlenění odpovědné osob

I proto GDPR zavádí násobně vyšší pokuty, než na jaké bylo Česko doposud zvyklé. Jejich maximální výše je 20 milionů eur (v přepočtu zhruba 525 milionů korun) nebo čtyři procenta z celkového ročního obratu – podle toho, co je vyšší. Výše sankcí pro správní orgány sice zatím nebyla stanovena, vzhledem k firemním pokutám však ani zde nepůjde o zanedbatelný postih. Obce zatím podle Kubařové přesto teprve „sbírají relevantní informace“.

„Požádali jsme ministerstvo vnitra o vytvoření metodiky. Poté budou teprve vědět, co všechno musejí změnit či do jaké míry může být zachován stávající stav. V tuto chvíli není možné vyčíslit potřebný objem finančních prostředků ani případnou personální náročnost,“ uvedla Kubařová.

Náklady na GDPR však před časem vyčíslila pracovní skupina vlády, podle které bude třeba až 13 tisíc nových úředníků a ve firmách možná ještě více lidí. „Takzvaný data privacy officer musí reportovat přímo představenstvu a musí být nezávislý. Nemůže být zařazen do klasické struktury, takže jím nemůže být zároveň šéf IT, personálního nebo jiného úseku. Musí však mít technické a právní znalosti věci,“ vysvětluje Daniel Joksch, odborník na bezpečnost a ochranu dat v IBM.

Nanejvýš důležitá legislativa

Vyčlenění potřebných lidí a služeb mimo instituci GDPR za určitých podmínek umožňuje, proto nyní obce, ale i firmy dostávají řadu nabídek. Nalákat je má i úspora nákladů, které půjdou podle vládní pracovní skupiny do milionů. „Velké organizace vyjde zavádění GDPR řádově na desítky milionů, střední a malé pak na jednotky milionů nebo statisíce korun. Je to ale hodně individuální, v závislosti na oboru a dosavadní praxi v zacházení s citlivými údaji,“ potvrzuje Joksch.

Řada firem GDPR označila za zbytečnou a zatěžující legislativu. Ve skutečnosti je nanejvýš důležitá.

Řada firem GDPR označila za zbytečnou a zatěžující legislativu. Ve skutečnosti je nanejvýš důležitá. Jak v rozhovoru pro magazín Index LN uvedl rakouský právník a aktivista Max Schrems, který proslul vítězným soudním tažením proti Facebooku, data jsou dnes důležitější než ropa. Kromě sílícího kyberzločinu je navíc firmy i úřady často zneužívají, ať už z komerčních, či jiných důvodů, jak ukázal například Snowden, bývalý spolupracovník americké tajné služby NSA, jíž společnosti předávaly informace o uživatelích.

„GDPR stanovuje mastné pokuty z obratu, což by mělo společnosti přimět nakládat s informacemi o uživatelích slušně a podle zákona. Na rozdíl od další legislativy sleduje obecné právní principy, proto si myslím, že by to mohlo něco změnit,“ říká Schrems. „Jsou tam ale části, které mají takovou podobu, že jim nerozumějí ani právníci,“ dodává.

Legislativa EU, která výrazně zvýší ochranu osobních dat občanů

Osobní data ochrání nová směrnice GDPR

Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation – GDPR)

GDPR vstoupí v platnost 25. 5. 2018

Co musejí firmy a instituce udělat

  • zavést systém ochrany dat;
  • jmenovat odpovědnou osobu;
  • zajistit bezpečnost dat;
  • získat od lidí souhlas pro zpracování jejich dat;
  • umožnit lidem data na požádání vymazat.

Co znamená pro české firmy a instituce

  • Až 13 tisíc nových úředníků zodpovědných za správu dat. Pravděpodobně ještě více takových zaměstnanců ve firmách.
  • Náklady v řádu statisíců u menších organizací až desítek milionů v případě bank či energetických společností.

Jaké sankce hrozí

  • Až čtyři procenta hrubých ročních tržeb mateřské společnosti nebo maximálně 20 milionů eur, tedy zhruba 523 milionů korun.

Zdroj: Vláda ČR, Evropská komise



Diskuse neobsahuje žádné příspěvky.