Velké firmy začínají počítat přínosy a náklady nového evropského nařízení o ochraně dat. A tato matematika jim nevychází vůbec dobře. Naopak menší hráči novinky ještě ani podrobně neznají. O to větší šok jim podle expertů přinese probuzení ze "sladké nevědomosti".

"Valná většina malých firem vůbec netuší, o co jde, ale dopadne to na ně stejně jako na ty velké," varuje výkonná ředitelka Sdružení pro internetový rozvoj Kateřina Hrubešová. Nejde přitom jen o IT byznys - ochranu dat budou muset začít řešit i lidé, kterým byla tato problematika doposud cizí. Třeba lékaři, kteří rovněž osobní data spravují.

Opakovat se tak snadno může situace z roku 2000, kdy začal v Česku platit zákon o ochraně osobních údajů. Tím se začala řada firem, ale i státních institucí zabývat až ve chvíli, kdy začaly padat první pokuty za jeho porušení. Rozdíl je v tom, že tehdy byly sankce v porovnání s tím, co hrozí nyní, minimální. Pokuta ve výši až 20 milionů eur už může být pro řadu firem likvidační.

Konec obav Evropanů

Nové obecné nařízení o ochraně dat, které Evropská unie - jak sama zdůrazňuje - ušila na míru digitálnímu věku, má změnit obavy Evropanů z toho, že jejich osobní data nejsou v rukou soukromých společností v bezpečí. Finální text už prošel schvalovacím kolečkem a teď mají firmy i státní instituce napříč Evropou dva roky na to, aby mu přizpůsobily své procesy a začaly se jím plně řídit.

Podle předsedkyně Úřadu pro ochranu osobních údajů Ivany Janů novinky akcentují hlavně právo každého jednotlivce na informační sebeurčení a právo na zachování lidské důstojnosti. Ta by měla zůstat neobchodovatelnou komoditou. Usnadnit by nařízení mělo také vymahatelnost práv. "Bude jedno místo pro žalobu, nebude se muset jezdit třeba do Irska, ale bude jedno místo v každém členském státě, odkud se může občan domáhat ochrany osobních údajů," vyzdvihla jeden z klíčových přínosů novinky Janů.

Co si firmy zaplatí

Nařízení mění celé scénáře zpracování osobních údajů a vyžádá si technologické změny systémů. Zatímco doposud se organizace pracující s osobními údaji zabývaly jejich ochranou často až dodatečně, nařízení vyžaduje, aby byla každá nová služba již navržena tak, aby brala v potaz ochranu citlivých dat.

Podniky nad 250 zaměstnanců budou muset nově jmenovat také inspektora ochrany dat. Jeho úkolem bude dohlížet na to, zda jsou firemní procesy v souladu s regulací, poskytovat informace a poradenství ohledně povinností vyplývajících z nařízení a sloužit jako kontaktní místo pro jednání s dozorovým orgánem či subjekty, jejichž data firma využívá.

Ve světě informačních technologií se bude nejviditelnější novinka týkat tzv. cookies, tedy dat, která internetovým platformám umožňují odlišit jednotlivé uživatele a přizpůsobit obsah jejich požadavkům. Po vzoru zahraničí by nově i tuzemské weby měly hned při vstupu požadovat souhlas uživatele s cookies. To podle nich část uživatelů od užívání jejich služeb odradí.

Na dokument se snáší také kritika hovořící o přílišné administrativní zátěži. Jako první s ní přišli právníci, kteří text analyzovali. Vadí jim hlavně pravomoc Evropské komise vydávat prováděcí akty a standardizované formuláře, což se může odrazit právě v růstu nákladů spojených se zpracováním dat.

Žalovat sám na sebe

Novými pravidly na ochranu osobních údajů se má celá Evropa jednotně začít řídit až od poloviny roku 2018. Jak ale experti poukazují - novinek je tolik, že času není nazbyt. Jedním z nejožehavějších témat, která už teď v souvislosti s novou právní úpravou byznys řeší, je otázka informování veřejnosti o bezpečnostních incidentech, kvůli nimž by potenciálně mohl hrozit únik citlivých dat. "Kolegové z trhu se často dotazují, co to pro ně znamená za rizika, kdo má případy narušení ochrany osobních údajů hlásit. Bojí se sebeudávat, bojí se reputačního rizika," popisuje Jana Adamcová, zakladatelka Institutu pro digitální ekonomiku.

Jasnou odpověď, která by pomohla obavy rozptýlit, ale zatím firmám nedokázal dát ani Úřad pro ochranu osobních údajů. "Zatím je pro nás velkou neznámou, jak řešit tyto incidenty, jak nakládat s firmou, která se k únikům dat přizná. Myslíme si, že bude nutné učinit nějaký zásah do národní legislativy," říká k tomu ředitel správní sekce úřadu Josef Prokeš.

To přitom není jediná věc, která tuzemským firmám vadí. Tak třeba největší český internetový vyhledávač považuje za nesmyslné ustanovení, které firmám ukládá povinnost žádat souhlas rodičů při zpracování osobních údajů dítěte do 16 let. "Nerozumíme tomu, proč máme vyžadovat nějaký nadstandardní souhlas v on-line prostředí, kde z principu nevíte, kolik let je doopravdy tomu, kdo sedí na opačné straně počítače," uvádí zástupce generálního ředitele společnosti Seznam.cz Michal Feix. "V kombinaci s pokutou ve výši až čtyř procent z ročního obratu, která hrozí za porušení nařízení, to považujeme za absurdní," uzavírá.

Článek vyšel v časopisu Ekonom dne 9. června 2016.

Související