Čeští podnikatelé zatím přípravu na nová evropská pravidla příliš neřeší, a to i přesto, že jim za jejich porušení hrozí citelné pokuty.

Pod nové nařízení přitom spadají nejen velké firmy, ale i živnostníci bez zaměstnanců. Stačí, aby shromažďovali nebo zpracovávali osobní údaje svých zákazníků nebo dodavatelů.

Na tom, že čeští podnikatelé nechávají opět vše na poslední chvíli, se shodují Asociace malých a středních podniků a živnostníků ČR (AMSP), Hospodářská komora a Svaz průmyslu a dopravy.

Poradenství nabízejí obory

Podle průzkumu Svazu průmyslu a dopravy nevědělo o novém nařízení nebo na ně nebylo technicky připraveno na konci loňského roku téměř 60 procent firem. K podobným výsledkům dospěla letos v létě i AMSP.

„Připravenost na novou legislativu hlásí přibližně jedna čtvrtina členů a přibližně další dvě třetiny členů se zavedením příslušných změn počítají,“ uvedl pro Právo Zdeněk Tomíček, člen představenstva AMSP.

Zájem o nová pravidla však s blížícím se začátkem jejich platnosti stoupá. Pro velké firmy je podle odborníků nejlepší obrátit se na poradenské firmy, které implementují nové nařízení do jejich podnikání na klíč. Menší firmy a živnostníci mohou využít servis a poradenství, které nabízejí oborové organizace.

Náklady až desítky miliónů

„Připravenost podnikatelů na GDPR není příliš velká, o čemž svědčí i to, že s blížícím se datem se čím dál více podnikatelů obrací na Hospodářskou komoru s požadavkem, abychom jim s ochranou dat pomohli,“ podotkl pro Právo Miroslav Diro z odboru vnější komunikace Hospodářské komory České republiky.

Kromě školení chystá Hospodářská komora na konec listopadu celorepublikovou konferenci, kde se podnikatelé budou moci s novými povinnostmi seznámit. Semináře pořádá pro své členy i Svaz průmyslu a dopravy, který na nich spolupracuje s Úřadem pro ochranu osobních údajů.

AMSP pak vsadila na přehledný informační web www.gdprbezobav.cz, který kromě bezplatného poradenství obsahuje i odpovědi na nečastější dotazy.

„Sekce dotazů je hojně navštěvována, jen za první týden provozu ji navštívilo přes 6000 podnikatelů a nejčastěji navštěvovaný dotaz se týkal technického zabezpečení, nutnosti zakoupit speciální SW nebo HW,“ řekl Tomíček.

Podle AMPS sice velká část menších firem nebude muset pořizovat speciální software a hardware, pokud ten, který používají nyní, odpovídá běžným standardům zabezpečení. Pouhé seznámení s novou směrnicí však přesto nestačí.

Data musí být nejen zabezpečena proti zneužití, ale firmy musí i změnit způsob, jak s osobními daty pracují na všech firemních úrovních a ve všech systémech a patřičně proškolit zaměstnance. Vstupní náklady se tak mohou pohybovat od desítek tisíc až po stovky tisíc u živnostníků a malých firem, přes milióny u středně velkých firem až po desítky miliónů korun u velkých nadnárodních firem.

Jednorázovými vstupním náklady to však nekončí. „Některé podniky navíc musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii musí bezprostředně spadat pod vedení firmy,“ upozorňuje Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.

Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. V případě, že bude firma zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně.

Jakkoli mohou být náklady na zavedení nových pravidel pro firmu citelné, případné sankce budou mít ještě vyšší dopad. Jejich výše jsou jednotné pro celou Evropskou unii. Při méně závažném provinění může pokuta dosáhnout až 10 miliónů eur (264 miliónů korun) nebo dvou procent z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším provinění je pak horní hranice dvojnásobná. Výše pokuty přitom bude stanovena jako vyšší z obou možností.

Co je GDPR
Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation, GDPR) je nařízení Evropského parlamentu a Rady EU 2016/679, které bylo přijato 27. dubna 2016. Jedná se o ucelený soubor pravidel na ochranu osobních údajů.
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji, včetně těch, kteří sledují nebo analyzují chování uživatelů na webu nebo při používání chytrých technologií. Podřídit se mu přitom musí i společnosti a instituce ze zemí mimo EU, které však působí na evropském trhu.
V celé EU začne GDPR jednotně platit od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení.