Aktuální číslo časopisu Ekonom
Jan ÚšelaVelké i menší české společnosti, které provozují své dceřiné firmy také v jiných členských státech Evropské unie, budou v příštích měsících nejspíš řešit zajímavé dilema: jak splnit tvrdá pravidla nového evropského nařízení na ochranu osobních údajů (GDPR) a přitom se vyhnout přísnějšímu dohledu úřadů v Německu nebo v Nizozemsku.
GDPR evropským firmám, úřadům či nemocnicím od května 2018 ukládá, aby osobní data svých zaměstnanců, klientů nebo pacientů lépe zabezpečily třeba za pomoci šifrování. Každá organizace přitom musí příslušnému národnímu úřadu pro ochranu osobních údajů pravidelně hlásit, jak s takovými daty nakládá, a prokázat, že jsou v bezpečí. Jinak jí v případě jejich úniku hrozí pokuta až ve výši 20 milionů eur (520 milionů korun), případně čtyř procent globálního obratu firmy − podle toho, která suma bude vyšší.
Domácí Úřad pro ochranu osobních údajů (ÚOOÚ) se už nechal slyšet, že bude k podnikům shovívavý a k ukládání maximálních pokut nejspíš nepřistoupí. Zahraniční filiálky tuzemských firem se ale musí připravit na to, že řada národních úřadů v západní Evropě bude pochybení v ochraně dat trestat mnohem tvrději. "Už nyní je jasné, že nejpřísnější budou při kontrolách Němci, Britové a také Nizozemci," říká právnička Eva Škorničková, která provozuje web GDPR.cz.
11. 10.
Jak na souhlasy se zpracováním dat
18. 10.
GDPR a marketing
25.10.
GDPR a fintech
Český úřad nemusí stíhat, Němci jsou připraveni
Podle unijního nařízení se musí každá firma při ochraně soukromí zodpovídat úřadu v zemi, kde sídlí. Pokud ale osobní údaje zpracovává také její firemní pobočka třeba právě v Německu, musí společnost komunikovat také s tamními úřady. A s těmi se pak nejspíš bude český ÚOOÚ dohadovat o tom, jak případného firemního hříšníka společně potrestají.
"Dovedu si proto představit, že společnosti začnou kalkulovat s tím, jak přísně budou ochranu dat posuzovat v různých členských státech, a začnou zpracování svých údajů přesouvat tam, kde budou úřady benevolentnější," míní Škorničková. Její slova potvrzuje i největší tuzemský e-shop Alza, který působí v dalších třech státech EU. "Osobní údaje budeme zpracovávat v Česku," uvádí pro HN mluvčí firmy Patricie Šedivá. A stejně k věci přistoupí i domácí výrobce mobilních her Gamee, který je sice formálně britskou společností, ochranu dat však bude řešit jeho česká filiálka s tuzemským úřadem.
Ani tak se ale české společnosti dohledu "datových úředníků" z ciziny mnohdy nevyhnou. "Pokud třeba tuzemská firma zaměstná občana Německa a dojde v ní ke zneužití jeho údajů, bude případ nejspíš řešit jak český, tak německý úřad," vysvětluje Nikolay Chernomorsky, ředitel poradenského týmu agentury Deloitte, která se na GDPR zaměřuje.
Chernomorsky podotýká, že český ÚOOÚ bude nejspíš se startem nového nařízení zavalen prací, protože stát příliš nenavýší počet jeho úředníků, takže by úřad nemusel stíhat vše vyřizovat. "V Německu ovšem vláda masivně počet zaměstnanců tamního úřadu pro ochranu údajů posiluje. A ten už si navíc vytipovává problematické firmy k budoucím kontrolám," tvrdí zástupce Deloittu. Proto se podle něj českým podnikům s německou pobočkou nevyplatí přípravu na GDPR podceňovat.
V cizině se může ochrana dat lišit
General Data Protection Regulation je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.
Nová unijní pravidla na ochranu soukromí mají formu evropského nařízení, což znamená, že by měla platit ve stejné podobě ve všech státech osmadvacítky. Některá ustanovení GDPR jsou ovšem natolik obecná, že členským zemím umožňují je ještě dále zpřesňovat v národních zákonech.
A jsou to opět zmiňovaní Němci, kteří jdou v ochraně dat nejdál ze všech Evropanů. "Německo už svůj národní zákon přijalo a v mnoha směrech v něm stanovilo tvrdší opatření, než jaká zavádí evropské nařízení," říká Škorničková.
Příkladem je povinnost zřizovat funkci takzvaného pověřence ochrany dat. Ten bude mít za úkol kontrolovat dodržování pravidel nařízení GDPR a musí ho mít všechny podniky, které nakládají s velkým objemem osobních údajů.
V Česku zatím není zcela jasné, kdo všechno bude muset s pověřenci počítat. Jejich nabírání se ale zřejmě nevyhnou ani menší IT firmy, jejichž aplikace používají tisíce lidí. "V Německu šli ještě dál a napevno určili, že pověřence musí mít každá společnost nad 10 zaměstnanců. Nutnosti takového člověka zaměstnat se tak nevyhne ani tamní pobočka české firmy, která zmíněné podmínky splňuje," říká právnička Škorničková.
Chcete číst dál?
Ještě na vás čeká 40 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později
Připravujeme platbu, vyčkejte prosím.
Platbu nelze provést. Opakujte prosím akci později.Zaujal vás článek? Pošlete odkaz svým přátelům!
Tento článek je zamčený. Na tomto místě můžete odemykat zamčené články přátelům, když si pořídíte předplatné.
Newsletter týdeníku Ekonom.
Odhlásit se můžete kdykoliv.
Přihlášením k newsletteru beru na vědomí, že dochází ke sbírání a zpracování osobních údajů. Více informací o zásadách ochrany osobních údajů naleznete ZDE.
