Přichází nařízení GDPR: hysterie a panika pro firmy, nebo užitečný nástroj?

Už dlouho nezažívaly firmy v Evropské unii i v Česku takový poprask kvůli novinkám v legislativě. Zatímco ještě lednový nástup směrnice PSD2 se týkal pouze bankovního sektoru, nyní jde opravdu do tuhého.

Nařízení EU, které zpřísňuje pravidla pro ochranu osobních údajů (GDPR), má dát lidem větší kontrolu nad jejich osobními daty a přehled o tom, kdo a jak je používá. Nicméně to znamená spoustu povinností pro firmy, což rozhodně ne všechny do dne D, jímž je 25. květen 2018, stihly. Přestože je směrnice platná už dva roky, teprve nyní vstupuje v účinnost.

Západ je lépe připraven

O tom, jak jsou firmy připraveny, vyšla celá řada průzkumů. Například ten od společnosti EOS Group, který proběhl napříč 17 evropskými státy. Z jeho výsledků vychází Česká republika nejhůře. Pětina českých firem vůbec netuší, co pro ně GDPR znamená.

Ze všech dotázaných českých firem pouze 33 procent uvedlo, že se jich GDPR výrazně týká, což je s Bulharskem nejméně v Evropské unii. Celkově je GDPR „velmi relevantní“ pro 41 procent evropských firem, přičemž nejintenzivněji se téma podle průzkumu dotýká společností v Dánsku (74 %).

GRAF: Výsledky průzkumu k GDPR

Pozn.: Skupina EOS realizovala průzkum o nařízení GDPR ve 3 400 firmách ze 17 evropských zemí (Německa, Dánska, Velké Británie, Francie, Belgie, Švýcarska, Ruska, Polska, Španělska, Rumunska, Řecka, Bulharska, Chorvatska, Slovinska, Maďarska, České republiky a Slovenska). V každé zemi bylo v období od ledna do března 2018 dotazováno 200 firem.

Zdroj: EOS

Na nové nařízení jsou lépe připraveny firmy ze západní Evropy, ty východoevropské stále se změnami svých interních systémů otálejí nebo vyčkávají.

Je čeho se obávat?

Z průzkumu dále vyplynulo, že více než polovina českých firem předpokládá, že bude muset změnit své interní systémy. Téměř dvě třetiny pak znepokojuje větší byrokracie a 43 procent firem se obává o svůj obchodní model.

Společně s Rumunskem se firmy v Česku nejvíce shodují v tom, že kvůli GDPR budou muset navýšit počet zaměstnanců. Nejvíce ze všech sledovaných východoevropských zemí se pak české společnosti obávají nutnosti lepšího zabezpečení získaných dat.

„Obava z důkladnějšího nastavení oprávnění a ochrany dat při jejich zpracování může u některých firem naznačovat dosud nesprávné nakládání s osobními údaji, nebo dokonce jejich vědomé využívání nesprávným způsobem,“ dodává Vladimír Vachel, jednatel agentury EOS.

Podle šéfa firmy Audiopro Andreje Hronce však mnohem větší riziko představuje laxní přístup lidí a firem k dobrému zabezpečení soukromí. „Například citlivé soukromé informace týkající se financí nebo třeba zdravotního stavu přímo volají po větším zabezpečení,“ tvrdí.

Zaspalo se s osvětou?

Podle odborníků a lidí, kteří se GDPR zabývají, byly firmy i veřejnost nedostatečně informovány o důsledcích a nutných změnách, které s sebou nařízení přináší. Experti se shodují, že zejména ze strany státu byla situace podceněna. Jedním z následků tohoto zaspání je i to, že Česko dosud nepřijalo tzv. adaptační zákon, tedy zákon, jenž nařízení GDPR přizpůsobuje domácí legislativě.

„K nelichotivým výsledkům českých firem dochází pravděpodobně v důsledku nízké osvěty v počátku zavádění GDPR. Ve společnosti zkrátka nevznikl dojem o celkové potřebě ochrany dat,“ podotýká Vladimír Vachel.

Do jisté míry je to ale způsobeno i nezájmem řady subjektů o nová pravidla. Podle odborníků se totiž spousta podnikatelů domnívá, že se jich to až zas tolik netýká. „Ještě nedávno hlásila třetina podnikatelů, že nevědí, o čem je řeč,“ potvrzuje tento názor Karel Havlíček, šéf Asociace malých a středních podniků a živnostníků ČR.

GDPR: výnosný byznys? Jak pro koho

Dohledem nad dodržováním GDPR je pověřen Úřad pro ochranu osobních údajů (ÚOOÚ). Ten sice udělal řadu školení, ale výrazně větší podíl na „edukační“ činnosti měly samotné firmy. A nabídek zaškolení, zlepšení bezpečnosti dat a dalších „nezbytností“ souvisejících s GDPR se jen letos vyrojily tisíce.

VÍCE K TÉMATU:

Obsáhlý průvodce evropským nařízením: GDPR v digitálním světě – jak na to?

Michal Feix (Seznam.cz): Evropská regulace nesmí zabíjet on-line byznys

Ceny za taková školení se přitom pohybovaly od stovek až po desetitisíce korun. U větších firem a speciálních školení to bylo i násobně více.

Podle Dalibora Lukaštíka ze společnosti 4Stars jsou náklady na implementaci GDPR do vnitřních systémů firem různé, závisí případ od případu. Jsou například velké výrobní podniky o 2 000 zaměstnancích, které ale nepracují s osobními údaji klientů, a proto z hlediska implementace GDPR půjde o velmi jednoduchý případ.

„Jinak to bude například u neziskových organizací, které pracují s lidmi s nějakým zdravotním postižením. Tam dochází ke zpracování citlivých osobních údajů čili z hlediska GDPR jde o složitější, a tím pádem i nákladnější případ,“ řekl Lukaštík serveru Securitymagazin.cz.

Firmy vidí nedostatky

Jak ale podotýkají zástupci firem, které Peak.cz oslovil, právě absence zákona a různorodost právního výkladu vyvolává u některých součástí GDPR nejasnosti.

Zároveň se obávají, že úřad stejně nebude stíhat pořádné kontroly. „Vzhledem k tomu, že by kontroly měly probíhat jen na udání, lze očekávat, že úřad bude zavalen udáními a nebude stíhat,“ řekl Peak.cz jeden z odborníků.

Jako příklad komplikací uvedl mimo jiné zveřejňování fotek na firemním webu. „Abychom web oživili, dávali jsme na něj i fotky z našich různých školení a konferencí. Nyní však musíme vše mazat, protože řada lidí už u nás nepracuje a my měli jejich souhlas se zveřejněním jen na dobu trvání jejich pracovního poměru.“

Otazníkem je také povinnost některých oborů archivovat svoje data včetně zálohování. Pokud nově někdo požádá o vymazání svých dat, pak je to požadavek oprávněný, nicméně pak záleží na výkladu práva, zda je povinnost vymazat silnější než povinnost archivovat, či naopak.

Každopádně jde o mezní situace, kdy čas (a právníci) určí, jak se v podobných situacích zachovat. GDPR jistě není nástroj dokonalý a vždy se najde někdo, komu bude vadit. Na druhou stranu si alespoň řada lidí uvědomí, že žijeme v „době datové“, a tak bychom se podle toho (a podle nějakých pravidel) měli chovat.