České společnosti mají už jen 12 měsíců na to, aby se připravily na důkladnější ochranu osobních údajů, s nimiž pracují. Pokud se nové evropské legislativě včas nepřizpůsobí, hrozí jim vysoké sankce. Ty mohou být pro řadu společností likvidační, shodli se experti u kulatého diskuzního stolu Mikroskop, který uspořádal deník E15.
Obecné nařízení o ochraně osobních údajů (GDPR − General Data Protection Regulation) začne platit za rok − 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů a související zákon o ochraně osobních údajů. Připravuje se i adaptační zákon ke GDPR, vláda by ho měla projednat koncem léta.
Nová legislativa se týká všech firem a institucí, ale i jednotlivců a on-line služeb, které zpracovávají data uživatelů. Tisíce záznamů s osobními daty klientů obsahují databáze e-shopů, telekomunikačních firem, nemocnic, státních úřadů nebo bank. Veškeré subjekty budou muset svůj stávající systém nakládání s daty upravit tak, aby odpovídal novým, výrazně přísnějším standardům.
V případě porušení legislativy hrozí firmám značné pokuty. Jejich maximální výše je buď dvacet milionů eur, nebo čtyři procenta z celkového ročního obratu skupiny − podle toho, která hodnota je vyšší.
„Čtyři procenta z celosvětového obratu není vůbec malé číslo. Čistý zisk firmy může být na hranici právě této hodnoty nebo i nižší. Sankce je to značná,“ potvrdil v diskuzi Vladimír Střálka ze společnosti VMware, která patří mezi přední poskytovatele cloudové infrastruktury.
„Sankce jsou nastaveny na dvě úrovně. U té nižší je maximální pokuta deset milionů eur, u vyšší dvacet milionů. Záleží na typu porušení,“ vysvětlila advokátka Deloitte Legal Jaroslava Kračúnová.
V Česku bude dozorovým orgánem Úřad pro ochranu osobních údajů. Při posuzování porušení legislativy bude brát v potaz, na jakém území se tak stalo a kolika občanů se týkalo. „Z diskuzí s úřadem vyplývá, že nejspíš nebude sahat po hraničních sankcích,“ dodala Kračúnová.
Úřadu přibudou pravomoci odrážející závažnost celé reformy a zároveň bude své aktiviti koordinovat s Evropským sborem pro ochranu osobních údajů. Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy bude existovat možnost obrátit se s odvoláním na evropský sbor.
Většina firem dnes sice má povědomí o tom, že GDPR vejde za rok v platnost, podnikatelé už ale netuší, jaké mají čekat dopady na interní firemní procesy a informační technologie.
Velké množství firem navíc neví o sankcích, které jim v případě porušení nově nastavených pravidel hrozí. Vyplývá to z průzkumu společností VMware a Trend Micro, kterého se zúčastnilo 150 českých a slovenských firem (60 procent z nich bylo tuzemských).
„Většina firem má již dnes zavedené procesy, které umějí prokazovat shodu s touto legislativou. Asi sedmdesát procent firem je připraveno na investice do školení zaměstnanců, kolem padesáti procent má představu o dopadech na IT,“ podotkl Střálka a dodal, že zhruba třetina firem neví, kolik času jim tyto implementace zaberou.
Jednou ze zásadních a povinných implementací bude určení takzvaného pověřence pro ochranu osobních údajů (DPO − Data Protection Officer). Tato osoba či společnost bude kontrolovat, jestli je zpracování osobních údajů v souladu s novým evropským nařízením, školit pracovníky a celkově řídit agendu interní ochrany dat.
Touto činností může být pověřen i stávající zaměstnanec, Robin Bay ze společnosti Trend Micro specializované na bezpečnostní řešení ale upřednostňuje delegovat agendu na externí, na společnosti nezávislý subjekt. „Pokud to bude firmička o deseti lidech a pověřenec DPO bude z téže firmy, asi tušíte, jak to bude fungovat. Doporučuji nezávislou osobu, která řekne, co všechno je špatně,“ domnívá se Bay.
Určení pověřence DPO patří k základním krokům, které musí subjekt podléhající GDPR učinit. Jaké další postupy má ale podnik zvolit, aby byl na evropskou novinku adekvátně připraven? „GDPR říká: ,Vyhodnoťte si rizika podle objemu dat, jejich typu, citlivosti a rizikovosti prostředí,‘“ odpovídá Ivan Svoboda z Anectu, jenž zajišťuje integraci IT systémů, které musejí splňovat požadavky GDPR.
„Podnikatelé by si nejdříve měli zjistit povinnosti, které se jich týkají, a rozhodovat se podle toho, jak dlouho by implementace daného ustanovení trvala. Stanovit si harmonogram, určit priority,“ radí advokátka Kračúnová.
Pokud by firmě přes veškerá bezpečnostní opatření unikla data, bude povinna informovat úřad nejpozději do 72 hodin od momentu, kdy se o ztrátě dat dozvěděla. Svoboda odkázal na statistický výpočet, dle kterého ovšem trvá v průměru dvě stě dní, než si firma narušení svého informačního systému všimne.
„Jde-li o malý incident ztráty dat, stačí ho jen zaevidovat. Pokud je větší, musí se hlásit úřadu. Pakliže hrozí fyzickým osobám vysoké riziko, musejí být informovány – například když firmě uteče databáze s hesly které lze zneužít pro přístup i k jiným službám, například k emailu nebo k elektronickému bankovnictví,“ vysvětlil Svoboda.
Zhruba třetina firem zatím netuší, kolik času jim příprava na novou evropskou ochranu dat zabere.
Veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Zdroj: gdpr.cz |
