Nová evropská pravidla o ochraně osobních údajů mají od května příštího roku udělat přítrž nekontrolovanému "obchodu" s daty. Předávání údajů klientů bez jejich souhlasu třetím subjektům bude zakázáno. Pokuty za porušení pravidel hrozí likvidací hříšníků. Mohou přesáhnout půl miliardy korun, anebo může chybující organizace stihnout i úplný zákaz práce s osobními daty. Nařízení, mezi odborníky známé pod zkratkou GDPR, tak mění v celé Evropě základní principy ochrany osobních údajů, jejich definici i základní pohled na práci s nimi.
Navzdory hrozbám se ale zatím české firmy do příprav na novinky nehrnou. Bezmála třetina jich o regulaci, která je čeká, vůbec neví. Mezi státními institucemi, pro které nařízení platí také, je to dokonce 40 procent. "Náš plán je, že bychom se tomu měli začít intenzivně věnovat v září. Díky certifikaci ISAE, kterou používáme, máme náskok, rozsah přípravy na nové nařízení odhadujeme maximálně na šest měsíců," míní Jan Mrvík, výkonný ředitel společnosti Editel, která se zabývá elektronickou výměnou dokumentů. Jasnou představu o tom, jaké konkrétní dopady bude na jeho podnik nařízení mít, zatím nemá. A podobně jsou na tom podle průzkumu agentury IDC čtyři z pěti malých a středních firem.
"Povědomí o nařízení je poměrně dobré v Praze, mimo hlavní město pak významně klesá. Celkově jsme bohužel přesvědčeni, že podniky připraveny nejsou," popisuje aktuální situaci v byznysu členka představenstva Svazu průmyslu a dopravy ČR Milena Jabůrková.
Úkoly na rok
Přípravy přitom nebudou snadné. Nařízení žádá, aby správci dat od firem přes státní úřady, vesnice a města až po nemocnice provedli komplexní revizi svých vnitřních pravidel a procesů, udělali desítky analýz a identifikovali rizika, která jim ze zpracování osobních dat občanů, klientů, zaměstnanců nebo obchodních partnerů plynou. Teprve podle nich mohou navrhovat konkrétní opatření, která budou muset přijmout.
"V některých společnostech bude kromě organizačních a právních kroků potřeba i změna celého IT systému či datové architektury a rok, který na to odteď mají, je nezbytné minimum," upozorňuje Jabůrková. Podle odhadů technologické společnosti Avnet jen datový audit, který má dát organizacím odpověď na to, co, kde, jak a proč s osobními údaji dělají, zabere ve společnosti s tisícovkou zaměstnanců 6 až 12 měsíců. Implementace nového softwaru a hardwaru spolu s úpravou interních směrnic, procesů a proškolení zaměstnanců v oblasti ochrany dat si pak vyžádá nejméně další tři měsíce. Příprava na novinky se tak snadno může přehoupnout až za termín jejich účinnosti.
Česká republika v přípravách zaostává i za okolními státy. "V Česku je to stále velmi opomíjená záležitost," říká eurokomisařka Věra Jourová, která na přípravu na GDPR napříč EU dohlíží. A dodává: "Naopak máme v EU země − typicky Německo −, kde je obrovská politická priorita mít ochranu soukromí lidí na co nejvyšší úrovni. GDPR je tam silné téma pro vládu i pro média."
Chcete číst dál?
Ještě na vás čeká 40 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později