Tuzemským firmám, úřadům, nemocnicím nebo obcím se krátí čas nutný k přípravě na zásadní změnu v ochraně soukromí jejich klientů, zaměstnanců či pacientů. Podnikům, které nebudou do devíti měsíců svá data lépe zabezpečovat, přitom hrozí od státu pokuta dosahující až půl miliardy korun nebo čtyř procent jejich globálního obratu. Za vším stojí již přijaté evropské nařízení na ochranu osobních údajů, známé pod anglickou zkratkou GDPR.

Velké banky a mobilní operátoři oslovení HN uvádějí, že se GDPR začali zabývat už loni, kdy bylo pravidlo schváleno, a na lepší zabezpečení každý z nich vydá desítky milionů korun. Aktuální výzkum Asociace malých a středních podniků (AMSP) provedený na vzorku 450 firem ovšem potvrzuje, že zbylé společnosti se do změn ještě vůbec nepustily. Podle studie většina podniků bez ohledu na svou velikost teprve chystá analýzy, které jim poradí, jak se ke GDPR dále zachovat.

"Řada firem tuto věc zlehčuje. Už nyní pro ně platí ustanovení českého zákona na ochranu osobních údajů, které ale mnohdy nedodržují. Pokud tak ale nečiní, je pro ně příprava na nařízení obtížná a zabere i několik měsíců," upozorňuje právnička Eva Škorničková, která provozuje web GDPR.cz. Menší podniky, které změna vyjde na desítky až stovky tisíc korun, tak mohou mít problém květnový start nových unijních pravidel stihnout.

20 mil. eur

nebo čtyři procenta z globálního obratu firmy činí maximální pokuta za nedostatečnou ochranu osobních dat podle nového evropského nařízení. České úřady a obce nejspíš zaplatí jen maximálně 10 milionů korun.

Mezi tuzemskými firmami přesto existují výjimky, které potvrzují, že už se na GDPR chystají. "Právě teď si celé nařízení analyzujeme. Celkové náklady nejsme schopni v tuto chvíli specifikovat, ale už teď víme, že budou nemalé," říká mluvčí zdravotnické sítě EUC Dita Fuchsová. "Naše firma už jedná s externím dodavatelem, který by zvýšil zabezpečení našich dat. Příliš zvýšené náklady neočekáváme," uvádí zástupce jazykové školy James Cook Ondřej Kuchař.

Podstata nového nařízení spočívá v oddělení osobních údajů od ostatních dat, která firmy nebo úřady schraňují. Osobní informace musí být dostatečně chráněny, u těch obzvlášť citlivých, které spravují banky či nemocnice, se navíc doporučuje data šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka. K tomu občané získávají právo na výmaz svých údajů z různých reklamních databází. E-shopy nebo mobilní operátoři navíc musí předem uvést, na co soukromá data svých klientů použijí.

Podniky kvůli takovým změnám souhrnně vydají stovky milionů korun za přestavbu svých počítačových systémů a za náklady spojené s novou administrativou. Většina z nich navíc povinně zavede novou pracovní pozici takzvaného pověřence ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo ve firmách, které zpracovávají velký objem osobních údajů. Povinnosti mít pověřence se tak ale nejspíš nevyhnou ani větší soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace používají statisíce lidí.

Vzhledem k velkému množství nových pravidel, které GDPR přináší, dostaly členské státy EU celé dva roky na to, aby na to své firmy, úřady a veřejné organizace připravily. Do proškolování podniků už se tak na sklonku loňského roku pustila AMSP i Svaz průmyslu a dopravy. Ze strany státu se naopak žádná informační kampaň nechystá. HN to potvrdilo ministerstvo vnitra, které má tuzemskou přípravu na GDPR spolu s Úřadem pro ochranu osobních údajů na starosti.

Oba úřady ale v minulých dnech představily očekávaný návrh národního zákona, který má nová evropská pravidla v Česku zpřesnit. V tuzemském případě půjde především o snížení maximálních pokut za nedostatečnou ochranu dat pro státní úřady, kraje, obce či nemocnice. Podle nařízení GDPR mohou takové organizace zaplatit nejvýše 20 milionů eur (520 milionů korun). Návrh zákona ale počítá pouze s 10 miliony korun. "Zejména v případě institucí s menším rozpočtem by šlo o pouhé formální přesuny prostředků v rámci státního rozpočtu," vysvětluje podstatu návrhu mluvčí ministerstva Klára Pěknicová.

Podle právníka Michala Nulíčka z advokátní kanceláře Rowan Legal tím ale stát jde proti smyslu nařízení, jehož pokuty mají mít odstrašující účinek: "Především kvůli vysokým sankcím si GDPR všímají všechny významné firmy. Podobně to mělo zafungovat i ve veřejné správě, což se ale zřejmě nestane."

Národní zákon ke GDPR by měl být přijat na sklonku roku. To ale podle právníka firmám nebrání, aby s přípravou na nová pravidla začaly už nyní. "Všechna důležitá ustanovení jsou uvedena v samotném nařízení, které již přes rok platí," dodává.