Firmy ochranu dat zatím podceňují, riskují sankce

Čeští podnikatelé zatím přípravu na nová evropská pravidla příliš neřeší, a to i přesto, že jim za jejich porušení hrozí citelné pokuty.

Pod nové nařízení přitom spadají nejen velké firmy, ale i živnostníci bez zaměstnanců. Stačí, aby shromažďovali nebo zpracovávali osobní údaje svých zákazníků nebo dodavatelů.

Na tom, že čeští podnikatelé nechávají opět vše na poslední chvíli, se shodují Asociace malých a středních podniků a živnostníků ČR (AMSP), Hospodářská komora a Svaz průmyslu a dopravy.

Podle průzkumu Svazu průmyslu a dopravy nevědělo o novém nařízení nebo na ně nebylo technicky připraveno na konci loňského roku téměř 60 procent firem. K podobným výsledkům dospěla letos v létě i AMSP.

„Připravenost na novou legislativu hlásí přibližně jedna čtvrtina členů a přibližně další dvě třetiny členů se zavedením příslušných změn počítají,“ uvedl pro Právo Zdeněk Tomíček, člen představenstva AMSP.

Zájem o nová pravidla však s blížícím se začátkem jejich platnosti stoupá. Pro velké firmy je podle odborníků nejlepší obrátit se na poradenské firmy, které implementují nové nařízení do jejich podnikání na klíč. Menší firmy a živnostníci mohou využít servis a poradenství, které nabízejí oborové organizace.

„Připravenost podnikatelů na GDPR není příliš velká, o čemž svědčí i to, že s blížícím se datem se čím dál více podnikatelů obrací na Hospodářskou komoru s požadavkem, abychom jim s ochranou dat pomohli,“ podotkl pro Právo Miroslav Diro z odboru vnější komunikace Hospodářské komory České republiky.

Kromě školení chystá Hospodářská komora na konec listopadu celorepublikovou konferenci, kde se podnikatelé budou moci s novými povinnostmi seznámit. Semináře pořádá pro své členy i Svaz průmyslu a dopravy, který na nich spolupracuje s Úřadem pro ochranu osobních údajů.

AMSP pak vsadila na přehledný informační web www.gdprbezobav.cz, který kromě bezplatného poradenství obsahuje i odpovědi na nečastější dotazy.

„Sekce dotazů je hojně navštěvována, jen za první týden provozu ji navštívilo přes 6000 podnikatelů a nejčastěji navštěvovaný dotaz se týkal technického zabezpečení, nutnosti zakoupit speciální SW nebo HW,“ řekl Tomíček.

Podle AMPS sice velká část menších firem nebude muset pořizovat speciální software a hardware, pokud ten, který používají nyní, odpovídá běžným standardům zabezpečení. Pouhé seznámení s novou směrnicí však přesto nestačí.

Data musí být nejen zabezpečena proti zneužití, ale firmy musí i změnit způsob, jak s osobními daty pracují na všech firemních úrovních a ve všech systémech a patřičně proškolit zaměstnance. Vstupní náklady se tak mohou pohybovat od desítek tisíc až po stovky tisíc u živnostníků a malých firem, přes milióny u středně velkých firem až po desítky miliónů korun u velkých nadnárodních firem.

Jednorázovými vstupním náklady to však nekončí. „Některé podniky navíc musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii musí bezprostředně spadat pod vedení firmy,“ upozorňuje Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.

Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. V případě, že bude firma zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně.

Jakkoli mohou být náklady na zavedení nových pravidel pro firmu citelné, případné sankce budou mít ještě vyšší dopad. Jejich výše jsou jednotné pro celou Evropskou unii. Při méně závažném provinění může pokuta dosáhnout až 10 miliónů eur (264 miliónů korun) nebo dvou procent z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším provinění je pak horní hranice dvojnásobná. Výše pokuty přitom bude stanovena jako vyšší z obou možností.