Letošní 25. květen by si měly ve svých kalendářích zakroužkovat všechny firmy v Česku. Od tohoto dne začne být účinné nařízení na ochranu dat známé pod zkratkou GDPR, které zásadně promění způsob, jakým se v celé Evropské unii chrání soukromí.

Všichni zaměstnanci, zákazníci nebo pacienti získají větší přehled o tom, jaké informace o nich firmy, úřady či nemocnice schraňují. Budou moci žádat o vymazání údajů z různých reklamních databází, bez jejich souhlasu nebudou smět firmy navíc sledovat jejich chování na internetu a poskytovat zjištěná data dál. Podniky musí lidem osobní údaje na vyžádání zpřístupnit, mají také povinnost zabezpečit je před zneužitím. Menší firmy na to vynaloží desítky či stovky tisíc korun, ty větší až stamiliony.

Investice by se ale měly vyplatit, už kvůli vysokým pokutám, které podnikům za porušení nových pravidel hrozí. Sankce, které bude v Česku dávat Úřad pro ochranu osobních údajů, mohou dosáhnout až 20 milionů eur, tedy 514 milionů korun, nebo čtyř procent globálního obratu společnosti.

Nová pravidla se týkají všech firem, ale také státních, obecních i krajských úřadů nebo škol a nemocnic. Každé se dotknou trochu jinak. "Všechny bez rozdílu by si ale měly na úvod udělat přehled o tom, jaké osobní údaje mají k dispozici, kde je skladují a kdo k nim má přístup," radí právnička Eva Škorničková, která provozuje odborný web GDPR.cz.

Nutnost hlásit úniky

V mnohém se bude ochrana osobních údajů podobat dodržování bezpečnosti práce. Firmy si musí vytvořit postupy pro nakládání s daty o svých zaměstnancích, klientech i dodavatelích a bránit tomu, aby se k nim nedostal nikdo nepovolaný. Kontrolnímu úřadu musí navíc prokázat, že proti zneužití údajů udělaly maximum, a pokud odhalí únik dat, jsou povinné o něm do 72 hodin úřad informovat.

Samotná pravidla přesně neříkají, jak se má zabezpečení řešit. U bank či nemocnic, které spravují citlivé osobní informace, se doporučuje data šifrovat, aby z nich nebylo možné identitu člověka vyčíst. Ostatním společnostem odborníci radí investovat do bezpečnostních systémů.

Vedle zmíněných opatření se většina podniků nevyhne zřízení nové pracovní pozice, zvané "pověřenec ochrany dat". Ten bude radit, jak s osobními údaji uvnitř firem nakládat podle pravidel. Podle GDPR musí tuto funkci zřídit úřady státu i místních samospráv a spolu s nimi i všechny společnosti, které pravidelně zpracovávají velké množství dat. Povinnosti mít zmíněného pověřence se tak pravděpodobně nevyhnou ani soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace využívají statisíce lidí.

Podniky ovšem nemohou za pověřence jmenovat třeba své personalisty ani šéfy IT oddělení, tedy zaměstnance, kteří s daty běžně přicházejí do styku. "Kontrolovali by sami sebe. Nařízení takový střet zájmů nepřipouští," vysvětluje Ivana Janů, šéfka úřadu Úřadu pro ochranu osobních údajů. Ubezpečuje ale, že jeden pověřenec může posloužit více firmám či úřadům zároveň a svou práci nemusí vykonávat na plný úvazek.

I tak budou všechny organizace potřebovat najednou desítky tisíc takových pracovníků. Při současné nízké nezaměstnanosti, kdy se noví lidé hledají těžko, to bude problém. "Řešením je do této funkce jmenovat někoho ze stávajících zaměstnanců nebo využít externí firmy," radí šéf poradenského týmu společnosti Deloitte Nikolay Chernomorsky.

Souhlasy v novém kabátě

Jednou z hlavních změn, kterou evropské nařízení přináší, je nová podoba souhlasů se zpracováním osobních údajů, které musí od svých klientů už nyní sbírat banky či e-shopy.

Zvláště internetové obchody udělením souhlasu často podmiňují nákup na svých stránkách, údaje o zákaznících jim pak slouží k tomu, aby na ně v budoucnu lépe zacílily reklamu. Nově už to ale nebude možné.

"V souhlasu se zpracováním údajů musí e-shop jasně uvést, na co data svého zákazníka použije, a nesmí tímto souhlasem podmiňovat koupi," vysvětluje právník Michal Nulíček z advokátní kanceláře Rowan Legal. Dodává, že souhlasy už firmy nesmí ukrývat v sáhodlouhém výčtu všeobecných obchodních podmínek, kde je lidé mnohdy přeskočí a jen bezmyšlenkovitě potvrzují.

Kvůli takovým požadavkům se obchodníci již nyní začínají pouštět do úpravy svých žádostí o zpracování dat. Existují ovšem i výjimky, které podniky nových povinností zbavují. I bez souhlasu tak bude nadále možné zasílat reklamní nabídky stávajícím zákazníkům v rámci takzvaného přímého marketingu. "Pokud ale člověk uvede, že si takové zasílání reklam dále nepřeje, tak ho musí obchodník okamžitě ukončit, což platí již nyní," podotýká Nulíček.

Lidé získávají nová práva

Celkově si všechny organizace musí dát větší pozor na to, jak s osobními údaji pracují. Nová pravidla požadují, aby firmy zpracovávaly jen nezbytně nutné množství takových dat.

Zákazníci i zaměstnanci mohou žádat, aby podnik sběr informací o nich podstatně omezil. Propuštění pracovníci nebo bývalí klienti navíc získávají takzvané právo na zapomnění, které jim zaručuje, že budou jejich údaje u firmy či obchodníka smazány. Třeba při přechodu klienta k jiné firmě je zase možné žádat o přenesení jeho údajů za ním.

Takové požadavky zvýší u firem nároky na administrativu. Některá dosavadní pravidla však nové nařízení naopak změkčí. Prodejci například doposud musí na Úřadě pro ochranu osobních údajů registrovat kamery, které chtějí instalovat do svých obchodů jako ochranu před zloději. Nově ale povinnost registrace odpadá a obchodník ani nemusí své pracovníky žádat o souhlas, když bude kamerou jejich práci sledovat. "Je ovšem nutné, aby byli zaměstnanci o přítomnosti kamery informováni, a měli by také vědět, jakým způsobem se záznamy z kamer zpracovávají," vysvětluje právnička Škorničková.

Vzhledem k rozsáhlým požadavkům odborníci celý minulý rok podniky upozorňovali, aby se do příprav pustily co nejdříve. Připravily se hlavně banky, mobilní operátoři či velké e-shopy. Průzkumy z posledních měsíců ovšem ukazují, že většina z nich se na GDPR teprve chystá.

"Očekávám, že většina firem ani dalších organizací nebude zpočátku pravidla zcela splňovat," myslí si viceprezidentka Svazu průmyslu a dopravy Milena Jabůrková.

Připravený zatím není ani český stát, od něhož se stále čeká, že přijde se zákonem, který pravidla zpřesní. I bez něj se ale termín ani znění nového nařízení nemění a 25. května začne být účinné v celé unii včetně Česka.

Odborníci firmy přesto uklidňují. Od Úřadu pro ochranu osobních údajů, který bude nová pravidla vymáhat, očekávají, že bude ve svých kontrolách mírný. "Myslím si, že nebude dávat likvidační pokuty. Záležet ale bude na míře provinění a ochotě s úřadem spolupracovat," míní Škorničková.

I přes své vysoké nároky se nové nařízení podle Evropské komise firmám nakonec vyplatí. Více než dvě miliardy eur by se mělo v celé Evropské unii ušetřit na administrativních nákladech − třeba tím, že podniky a úřady už nebudou muset každé zpracování osobních údajů hlásit kontrolním úřadům, anebo tím, že se celá unie bude řídit jednotnými pravidly namísto 28 různých zákonů.