Další zátěž při podnikání. Obrovské pokuty kvůli osobním údajům
Obsah dostupný jen pro předplatitele.
Přihlásit se můžete
zde.
Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete .
Obsah dostupný jen pro předplatitele.
Předplatné můžete objednat
zde.
Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete zde.
Sbírání osobních dat bude pro firmy, nemocnice, lékaře, ale i stát během následujících měsíců velkým tématem. Jejich ochrana bude totiž daleko přísnější a sankce za její nedodržení se bude pohybovat v řádech stovek milionů korun. Většina českých firem na zpřísnění ale není připravena a některé ani netuší, že se jich ochrana údajů týká.
Nové povinnosti vyplývají z nařízení evropských institucí, které bude platit od jara 2018. To se dotkne všech členských států Evropské unie (EU) a každého, kdo nějakým způsobem s osobními údaji nakládá. Osobními údaji jsou přitom nejen jméno a datum narození, ale například už také korporátní email. Ten totiž umožňuje člověka konkrétně identifikovat, pokud v jedné firmě nepracují dvě osoby se stejným jménem i příjmením.
Osobním údajem je ale také například kombinace jména a informace o spotřebě vody, kterou disponují vodárenské společnosti. Nařízení se tak týká nejenom zasilatelských firem, bankovních institucí či úřadů, ale také společností dodávajících energie a také například nemocnic a lékařů. Ti navíc disponují nejen osobními údaji, ale také citlivými osobními daty.
„Obecné nařízení o ochraně osobních údajů například u rizikových zpracování údajů přinese povinnost vypracování posouzení dopadů na ochranu osobních údajů, stanovení pověřence pro ochranu osobních údajů či nahlášení porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů,“ popsal některé body nařízení tiskový mluvčí Úřadu pro ochranu osobních údajů (ÚOOÚ) David Pavlát.
Změna se týká například souhlasu se zpracováním osobních údajů, který musí být podle nařízení jednoduchý a srozumitelný, nebo přenositelnosti údajů, tedy že lidé mohou zažádat, aby společnost jejich osobní údaje „přenesla“ třetí straně. Velkou změnou bude pro některé firmy vznik takzvaného data officera, tedy pověřence pro ochranu dat. To se bude týkat společností, které s osobními údaji pracují ve větší míře. Podle Kateřiny Hrubešové ze Sdružení pro internetový rozvoj v České republice (SPIR) je ale nyní nařízení ve fázi výkladu, a proto nejde přesně říct, jaké konkrétní změny bude pro jednotlivé firmy znamenat.
Nařízení také přináší nová práva pro občany, kteří osobní údaje poskytují. „Jedná se například o přenositelnost údajů, tedy právo získat osobní údaje, jež dotyčný poskytl správci, a právo předat je jinému správci, dále právo být zapomenut, tedy za určitých okolností možnost požádat internetové vyhledávače o odstranění odkazů na moji osobu z vyhledávání,“ dodal Pavlát.
Firmy připravené nejsou, většina o nařízení ani neví
Těm, kteří svá data dobře nezabezpečí, hrozí velmi přísné pokuty až 20 milionů eur (cca 540 milionů korun). „Sankce se mohou pohybovat až do výše 20 milionů eur, nebo jedná-li se o podnik, až do výše 4 procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší,“ uvedla serveru Echo24.cz Hrubešová.
Ministerstvo vnitra se v tomto směru snažilo firmám ulehčit. „Při vyjednávání ČR prosadila do recitálu 150, že při ukládání pokut nepodnikajícím osobám se má přihlédnout nejen k ekonomické situaci osoby, ale i k obecné úrovni příjmů v daném členském státě, neboť v této oblasti panují v EU stále značné rozdíly,“ uvedla pro server Echo24.cz tisková mluvčí resortu Hana Malá.
Na nové nařízení, které má začít platit za přibližně 20 měsíců, ale není většina z českých firem připravena. Požadavky nařízení splňuje dnes podle šéfa Asociace malých a středních podniků Karla Havlíčka asi desetina firem. „Číslo 10 procent jsme zjistili na bázi rychlého miniprůzkumu, ale řada firem ještě neví, co vše to bude obnášet, tedy i podniky to spíše odhadují,“ uvedl serveru Echo24.cz Havlíček.
S tím souhlasí i Hrubešová, podle které to není jen případ firem. „Čeká nás náročná práce, protože se ukazuje, že mnoho firem nemá reálnou představu, co je v oblasti nakládání s osobními údaji od roku 2018 čeká. A řekněme si upřímně, že lépe na tom zatím není ani stát a některé resorty, jichž se tato norma týká,“ uvedla. Problém podle ní nebudou mít velké firmy a nadnárodní společnosti.
„Obecně řečeno subjekty zvyklé již nyní používat mechanismy ochrany osobních údajů o nařízení vědí, studují ho a připravují se na jeho implementaci. U menších firem, jednotlivců nebo živnostníků je situace velmi individuální, a to nejenom v oblasti digitální ekonomiky, neboť nařízení se dotkne citelné části všech firem podnikající na evropském trhu,“ dodala Hrubešová.
Podle Havlíčka to ale firmy buď nepovažují za prioritu, nebo o tom skutečně ani neví. „Pro asociaci to již začíná být důležité, musíme na to podniky s předstihem připravit, budeme dělat semináře, připravíme manuál a budeme doporučovat právní i ICT služby,“ uvedl Havlíček. Náklady si ale zatím netroufá odhadovat. „Je fakt, že se to nesmí podcenit, na druhou stranu se nesmí podlehnout černým scénářům ICT a právních odborníků, v mnoha případech je to jen dobrý marketing,“ dodal.
Znění návrhu schválila Evropská komise, Evropská rada a Evropský parlament na sklonku loňského roku, rada pak normu potvrdila v polovině února dosažením politické dohody. K finálnímu schválení pak došlo v dubnu. Nařízení začne platit od jara 2018.