Největší změny v zacházení s osobními údaji za posledních dvacet let přinese nové nařízení Evropské unie o ochraně osobních údajů, označované zkratkou GDPR. Česká republika se jím začne řídit od května 2018. Do té doby se firmy musí na nové podmínky v zacházení s daty připravit − pokud to nestihnou, hrozí jim vysoké pokuty. "Pro velké firmy už je skoro pozdě začít s přípravou, ty menší to mohou stihnout za pár týdnů," upozorňují v rozhovoru pro HN Martin Hladík z poradenské firmy KPMG a Michal Nulíček z advokátní kanceláře Rowan Legal.

HN: Na koho nařízení dopadne?

Nulíček: Na každého, kdo zpracovává osobní údaje. Ale ne na každého dopadne stejně. Firmy, které zpracovávají data ve větším rozsahu nebo shromažďují například citlivá data jako třeba údaje o zdravotním stavu, to zasáhne přísněji. Malé zaměstnavatele, kteří zpracovávají jen osobní údaje několika svých zaměstnanců a dodavatelů, ovlivní nařízení podstatně méně. Nařízení však také dopadne mnohem více na toho, kdo dodnes ochranu osobních údajů neřešil vůbec nebo ji řešil "jen naoko".

HN: Kolik bude firmy příprava na nové nařízení stát?

Hladík: Náklady na veškerá opatření ve velké firmě na českém trhu mohou dosáhnout až 500 milionů korun. Nevěříme ale, že by je někdo realizoval v plném rozsahu. Reálně společnosti do května 2018 utratí zhruba čtvrtinu z této částky.

Michal Nulíček

Partner advokátní kanceláře Rowan Legal, kde se specializuje na osobní údaje a právo informačních technologií. Je také rozhodcem pro spotřebitelské spory.


HN: Jak to?

Hladík: Protože je to složitý proces. Zavádění GDPR se nedá řešit jedním projektem nebo dodávkou od jednoho dodavatele. Je to soubor desítek až stovek drobných i větších změn v právní dokumentaci, procesech i IT systémech, které navíc budou provádět různí dodavatelé.


HN: Pokud firma přistoupí k zavádění GDPR, které kroky jsou těmi prvními, jež by měla udělat?

Nulíček: Nejdříve musí zmapovat současný stav − podívat se, jaká data zpracovává, proč a jakým způsobem to dělá. Nemluvíme jen o osobních datech například klientů banky nebo pacientů nemocnice, ale i o údajích uživatelů webových stránek, příjemců reklamních newsletterů, zaměstnanců a uchazečů o zaměstnání, odběratelů nebo dodavatelů a dalších osob. Ve výsledku musí mít firma podrobný přehled o tom, jakým způsobem osobní údaje získává a zpracovává, komu je předává a jestli je na konci v ideálním případě maže.

Martin Hladík

V poradenské společnosti KPMG zastává pozici director a vede tým zaměřený na realizaci IT projektů. Dříve působil ve společnostech Ness Technologies CZ nebo IBM.


HN: Co má dělat potom?

Nulíček: Pak by společnost měla na základě zjištěných informací posoudit, jestli je v souladu s požadavky GDPR. Pokud zjistí oblasti, kde není, musí to ve fázi uskutečnění nařízení napravit. Při tom pak musí dojít k samotné úpravě firemní dokumentace, tedy například souhlasů se zpracováním osobních údajů, vnitřních směrnic nebo smluv s dodavateli, ale i k nákladným a časově náročným úpravám IT systémů.

HN: Které firmy podle vašich zkušeností už ochranu osobních dat podle GDPR začaly řešit?

Nulíček: Velmi aktivně nové nařízení řeší banky a pojišťovny, pozornost mu určitě věnují i mobilní operátoři. Více by se tím mělo zabývat zdravotnictví, už proto, že zpracovává ty nejcitlivější údaje v největším rozsahu.

Hladík: Nevidím větší reakce ani ve státní správě, i když určitě existují výjimky.


HN: Kdo je tou výjimkou?

Nulíček: Například ministerstvo práce a sociálních věcí se GDPR dlouhodobě zabývá.

HN: A kdy musí firmy, které dosud GDPR neřešily, nejpozději začít?

Hladík: To záleží mimo jiné na velikosti firmy. U těch velkých a komplikovaných je v tuto chvíli skoro pozdě. Největším problémem je samotné provedení všech změn, což je otázka půl roku až roku. Uděláte-li si odečet od května 2018, kdy nařízení začne být účinné, vyjdou vám v zásadě jednotky měsíců na přípravu změn. U menších firem by to mohla být otázka několikatýdenní aktivity ve smyslu konzultace právního a IT charakteru a zajištění bezpečnosti na úrovni několika počítačů.


HN: Co firmám hrozí, pokud to nestihnou?

Nulíček: Těch dopadů je více. Hodně se mluví o pokutách, které mohou dosáhnout až 20 milionů eur, tedy v přepočtu zhruba 540 milionů korun, nebo čtyř procent z obratu. To jsou maximální sankce, jež budou ukládány za porušení základních principů nařízení. Mezi taková porušení by například patřilo, pokud by firma zpracovávala data nezákonným způsobem nebo při tom porušovala práva těch, kterých se zpracování dat týká. V nařízení je i nižší hranice pro menší prohřešky − ta je ve výši 10 milionů eur a dvou procent z obratu. Firmám ale bude hrozit i reputační riziko, protože nově budou muset hlásit úniky dat, často třeba i svým klientům. S tím souvisí možná ztráta hodnoty firmy. To se stalo například americké společnosti Yahoo!, které v minulosti masivně unikla data uživatelů. Společnostem a managementu hrozí ve vážných případech i trestněprávní odpovědnost.

Související