V poločase by měly být přípravy na evropské nařízení, které slibuje zcela nový přístup k práci s osobními údaji. Finální verzi normy Brusel schválil před 13 měsíci a ještě rok zbývá firmám i státním úřadům k přípravám na nová pravidla. Jenže většina z nich s nimi ještě vůbec nezačala. Jak ukázal aktuální průzkum agentury Ipsos, takřka třetina českých firem o novinkách vůbec neví. Ze státních úřadů je nezná dokonce 40 procent z nich.
Nařízení přitom správcům dat z byznysu, státní správy i neziskového sektoru přináší nové povinnosti. Rozšiřuje mimo jiné definici osobních údajů. V IT světě se mezi ně budou nově počítat také IP adresy a v některých případech i soubory cookies − "nálepky", které slouží k identifikaci uživatelů na internetu. Místo přesného vymezení, jak s citlivými údaji pracovat, nová norma správcům dat ukládá, aby zanalyzovali, jak s osobními daty pracují, identifikovali rizika, která ze zpracování plynou, a na míru nadesignovali potřebná opatření, jež musí přijmout. Ta si pak budou muset obhájit před kontrolními úřady. Občanům, kteří dávají informace o sobě všanc při komunikaci s úřady, u lékaře i při nákupu na e-shopu, pak nařízení dává třeba právo požádat správce dat o výmaz poskytnutých údajů.
Pokud firmy a státní organizace povinnostem plynoucím z nařízení nedostojí, budou jim hrozit vysoké pokuty − až 20 milionů eur nebo čtyři procenta z celosvětového obratu, případně úplný zákaz práce s osobními údaji. To může být pro firmy likvidační.
"Jak již tomu v případě obdobných nařízení bývá, musí se objevit nějaký obětní beránek, díky kterému vážnost situace pochopí zbytek. K tomu, aby firmy začaly brát GDPR opravdu vážně, tak bude zapotřebí exemplární pokuty," míní Robin Bay ze společnosti Trend Micro, která se zabývá internetovou bezpečností. Doposud byla v českém prostředí ochrana dat spíš na druhé koleji. Přispívalo k tomu mimo jiné to, že za její narušení nehrozily žádné významné sankce. K historicky nejvyšším, které Úřad pro ochranu osobních údajů za únik dat o klientech udělil, patřila loňská pokuta pro mobilního operátora T-Mobile. Za ztrátu dat více než milionu lidí firma zaplatila 3,6 milionu korun.
Novinek přináší nařízení tolik, že se doba potřebná na přípravu může snadno přehoupnout až za termín účinnosti.
Ačkoliv společností, které o nařízení ještě neslyšely, zůstává stále mnoho, informovanost o novinkách se zlepšuje. Zatímco podle loňského průzkumu Svazu průmyslu o nařízení nevědělo téměř 60 procent podniků napříč ekonomikou, teď je to polovina.
Ačkoliv se může zdát, že času na přípravu je dost − novými pravidly se totiž budou muset firmy řídit až od května 2018 −, opak je pravdou. Novinek přináší nařízení tolik, že se doba potřebná na přípravu může snadno přehoupnout až za termín účinnosti. Jen datový audit, který má dát organizacím odpověď na to, co, kde, jak a proč s osobními údaji dělají, zabere podle odhadů technologické společnosti Avnet ve společnosti s tisícovkou zaměstnanců 6 až 12 měsíců. Další nejméně tři měsíce si pak vyžádá implementace nového softwaru a hardwaru spolu s úpravou interních směrnic, procesů a proškolení zaměstnanců v oblasti ochrany dat.
Podniky přesto zatím nařízení spíš ignorují. Podle průzkumu agentury IDC a společnosti Epsos nemá téměř 80 procent malých a středních podniků vůbec jasno v tom, jaký dopad na ně bude nařízení mít. "Náš plán je, že bychom se tomu měli začít intenzivně věnovat v září. Díky certifikaci ISAE, kterou používáme, máme náskok, rozsah přípravy na nové nařízení odhadujeme maximálně na šest měsíců," míní Jan Mrvík, výkonný ředitel společnosti EDITEL, která se zabývá elektronickou výměnou dokumentů.
Naopak nejdál jsou s přípravami technologické společnosti. Například internetová společnost Seznam.cz se na novinky intenzivně připravuje už více než rok a zapojila se také do připomínkování návrhu na české i evropské úrovni. "Již v procesu příprav GDPR jsme v nařízení identifikovali témata, která budou mít zásadní dopad napříč celým naším 'výrobním řetězcem'," popisuje manažer pro kontakt se státní správou společnosti Seznam.cz Libor Manda. Nejcitlivějším tématem je pro Seznam.cz ochrana osobních údajů ve vztahu k reklamním systémům. "Podle nařízení, než uvidíte cílenou reklamu, budete muset mít informace, jaká data o vás ta služba sbírá a co s nimi dělá. Uživatelé se předně setkají s informační kampaní na téma nového režimu zpracování," vysvětluje Manda. Společnosti, jako je Seznam.cz, budou muset uživatelům internetu ve srozumitelné podobě tyto informace poskytnout.
Připraveno ve spolupráci s měsíčníkem Právní rádce.