JAK OCHRÁNIT OSOBNÍ ÚDAJE?

Horší než EET? Obávané nařízení Evropské unie začne platit už od května

JAK OCHRÁNIT OSOBNÍ ÚDAJE?
Horší než EET? Obávané nařízení Evropské unie začne platit už od května

Obsah dostupný jen pro předplatitele.
Přihlásit se můžete zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete zde.

Echo Prime

Obsah dostupný jen pro předplatitele.
Předplatné můžete objednat zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete zde.

Echo Prime

Od května příštího roku dopadne na podnikatele, ale nejen na ně, další byrokratické nařízení. Podle některých názorů bude daleko horší než například elektronická evidence tržeb (EET), protože za jeho porušení hrozí milionové pokuty a povinnosti jsou definovány nejasně a vágně. Řeč je o nařízení Evropské unie o ochraně osobních údajů, které je známější pod zkratkou GDPR. Týká se živnostníků, firem, spolků, státních institucí, škol, úřadů i nemocnic. 

Povinnost začne platit od 25. května a čas na přípravu se tedy krátí. Zatímco některé státní instituce už některé kroky podnikly, řada podnikatelů a živnostníků ani neví, že se jich nařízení bude týkat. GDPR se ale dotkne každého, kdo má co do činění s osobními údaji – za ty je přitom možné považovat třeba i velikost bot. 

„Naprostá většina společností nemá představu o všech osobních údajích, které má uloženy v různých databázích, tabulkách, elektronické poště nebo archivech, protože často za osobní údaj považují jen typické identifikační znaky. Osobním údajem je však cokoli, co se týká konkrétní fyzické osoby, což může být také velikost bot nebo údaj o poloze auta, mobilu,“ uvedl právník z advokátní kanceláře Marek Ulman Tomáš Pauch. 

Evropská směrnice říká, jak má být s těmito údaji nakládáno a jak mají být ochraňovány, i když podle Paucha konkrétní opatření z textu nařízení vyčíst nezle. Za nedodržení směrnice přitom hrozí drakonické pokuty. Ty se mohou pohybovat až do výše 20 milionů eur (cca 540 milionů korun), nebo jedná-li se o podnik, až do výše čtyř procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

Při vyjednávání ČR prosadila , že při ukládání pokut nepodnikajícím osobám se má přihlédnout nejen k ekonomické situaci osoby, ale i k obecné úrovni příjmů v daném členském státě, neboť v této oblasti panují v EU stále značné rozdíly.

Měsíce příprav a milionové náklady

Prvním, byť časově velmi náročným krokem tak musí být vnitřní audit, který se zaměří na to, jaké údaje jsou zpracovávány a za jakým účelem. Až poté je možné doporučit a realizovat organizační a technická opatření vyplývající z nařízení. „Je nutné si uvědomit, že konkrétní technická opatření typu šifrování, anonymizace a další, jsou až ve druhé fázi přípravy na GDPR. Nejkritičtější součástí první fáze, která je spíše procesně analytická, je říct si, kde všude ve firmě s osobními údaji vlastně pracujeme a k čemu je potřebujeme,“ uvedl pro server Echo24 poradce pro kybernetickou bezpečnost společnosti Anect Ivan Svoboda. 

Neexistuje přitom jednotný návod, kterého by se mohly firmy či instituce držet. „GDPR klade důraz na vlastní kvalifikované posouzení každého správce a zpracovatele. Jen tyto subjekty mohou odpovědně zhodnotit, jak v konkrétních případech údaje zabezpečit, a proto není ani možné požadavky GDPR splnit unifikovaným řešením,“ vysvětlil Pauch. 

Firmy tak budou muset upravovat interní procesy, připravovat nové vnitřní směrnice a dokumentace, udělat revize souhlasů a smluv a v řadě případů dokonce zasáhnout do struktury databází a posílit zabezpečení počítačové infrastruktury. Takové procesy přitom nejsou levné.

„Zatím pracujeme pouze s odhady a příklady prvních firem, nicméně lze odhadnout, že pro menší až střední podnik půjde o jednotky milionů, naopak například pro velké firmy, třeba banky, se jedná o stovky milionů,“ uvedl Svoboda. Rozhodující přitom podle něj není velikost firmy či počet zaměstnanců, ale množství a citlivost dat, s nimiž firma pracuje. I malá firma totiž může pracovat s milionem citlivých údajů a naopak. Velkou roli hraje také to, jak už má daná firma ochranu údajů nastavenou. Pokud totiž začíná víceméně od nuly, náklady budou vyšší. 

Pomůže nový web?

O důležitosti nařízení svědčí i to že Evropská komise připravuje k nařízení speciální webové stránky, které by měly být ve všech členských jazycích EU. To se běžně při vydávání nařízení či směrnic neděje. Fungovat ale začnou až od někdy v novém roce.

Spuštění webu potvrdil tiskový mluvčí komise Christian Wigand. „Skutečně připravujeme stránku, která bude spuštěna v lednu. Myšlenka je vysvětlit nová pravidla ochrany dat, která vstoupí v platnost v květnu. Cílem je vytvořit praktické pokyny on-line pro tři hlavní skupiny, které by měly z nového nařízení těžit: občany, podniky a veřejnou správu,“ uvedl pro server Echo24 Wigand. 

Stránky by měly obsahovat sekci s nejčastějšími otázkami a odpověďmi na ně, vysvětlení pravidel ale také konkrétní příklady, jak bude nařízení fungovat. Jak nápomocné budou ale jednotlivým firmám či živnostníkům jasné není.

31. prosince 2017