Nařízení zavádí řadu nových technických a organizačních opatření. Bude se týkat všech firem a státních institucí, které pracují s osobními údaji, jako je třeba už jen jméno.

„Nové všeobecné nařízení o ochraně osobních údajů se dotkne všech společností, které jakýmkoli způsobem zpracovávají osobní údaje,” sdělila Novinkám advokátka Stanislava Šurinová z advokátní kanceláře PS legal.

Regulaci přijal loni v dubnu Evropský parlament, v Česku má začít platit 25. května 2018. Ač se zdá, že je to za dlouho, odborníci varují, že je tomu přesně naopak.

Jestliže chtějí firmy používat více osobních údajů, musí být schopny prokázat, že jsou tyto údaje schopny chránitpředsedkyně Úřadu pro ochranu osobních údajů Ivana Janů

„Ve skutečnosti je (přinejlepším) za pět minut dvanáct. Kdo k této problematice nepřistoupí zodpovědně již nyní, bude mít v květnu 2018 skutečně těžkou hlavu,“ sdělil Novinkám ředitel divize rozvoje obchodu společnosti OKsystem Tomáš Ammer, který se specializuje na oblast ochrany osobních údajů.

Podobný názor má i expert ze společnosti Billanc Partners Pavel Nauš. Varoval, že zavedení nových pravidel zabere i několik měsíců. „Především u velkých korporací bylo už včera pozdě,“ podotkl.

Hrozí vysoké pokuty

Z lednového průzkumu Svazu průmyslu a dopravy vyplývá, že některé společnosti o nových pravidlech moc nevědí.

„Přetrvávají otazníky nad řadou termínů. Ne všichni respondenti vnímají nové povinnosti jako skutečně závazné a firmy v řadě případů nejsou vůbec s to odhadnout finanční náklady související se zavedením nových povinností, anebo jsou jejich odhady velmi podhodnocené,“ konstatovala analýza.

Za nedodržení předpisů přitom může být udělena správní pokuta až 20 miliónů eur (asi 550 miliónů korun), případně pokuta ve výši čtyř procent z celosvětového obratu podniku.

Nových povinností přibude celá řada. Zpřísňuje se například uchovávání dat, firmy budou muset znovu požádat klienty a zaměstnance o písemný souhlas se zpracováním osobních údajů. U větších firem bude muset navíc nově vzniknout funkce pověřence, který bude na systém dohlížet.

„Společnosti se budou muset mnohem víc zajímat jak o samotný způsob zpracování údajů, tak i o samotný výběr dalších spolupracujících osob, které pro ně tyto osobní údaje dále zpracovávají. Nejvíc se nařízení dotkne společností, které mají zpracování osobních údajů jako hlavní náplň svého podnikání nebo mají víc než 250 zaměstnanců — tyto společnosti musí navíc jmenovat tzv. pověřence pro ochranu osobních údajů,” přiblížila Šurinová.

Ammer zdůraznil, že nařízení stanovuje skutečně velmi přísné podmínky pro zpracování osobních údajů a citelné sankce při jejich porušení.

„Organizace veřejné správy i komerčního sektoru budou muset do účinnosti nařízení učinit řadu kroků v oblasti právní, organizačně-procesní i technické, aby požadavkům tohoto nařízení vyhověly,“ upozornil Ammer.

Má se zvýšit ochrana spotřebitelů

Předsedkyně českého Úřadu pro ochranu osobních údajů Ivana Janů naproti tomu argumentuje vyšší ochranou spotřebitelů a klientů firem. Nařízení podle ní zvyšuje standard ochrany osobních údajů.

„GDPR znamená nový přístup pro ochranu údajů v 21. století — jak pro spotřebitele, tak pro firmy. Jestliže chtějí firmy používat více osobních údajů, musí být schopny prokázat, že jsou tyto údaje schopny chránit,“ uvedla Janů začátkem března na konferenci ke zmíněné problematice.

Dodala, že doufá, že pravidla budou znamenat nový začátek v digitální éře, kdy veřejnost musí znovu získat kontrolu nad daty, která se v digitálním světě čím dál víc používají jako platidlo.