GDPR pod Mikroskopem

GDPR pod Mikroskopem

Robin Bay ze společnosti Trend Micro a další odborníci diskutovali o GDPR v deníku E15

Firmám hrozí likvidační pokuty, podnikatelé o nich mnohdy ani netuší

České společnosti mají už jen 12 měsíců na to, aby se připravily na důkladnější ochranu osobních údajů, s nimiž pracují. Pokud se nové evropské legislativě včas nepřizpůsobí, hrozí jim vysoké sankce. Ty mohou být pro řadu společností likvidační, shodli se experti u kulatého diskuzního stolu Mikroskop, který uspořádal deník E15.

Obecné nařízení o ochraně osobních údajů (GDPR − General Data Protection Regulation) začne platit za rok − 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů a související zákon o ochraně osobních údajů. Připravuje se i adaptační zákon ke GDPR, vláda by ho měla projednat koncem léta.

Nová legislativa se týká všech firem a institucí, ale i jednotlivců a on-line služeb, které zpracovávají data uživatelů. Tisíce záznamů s osobními daty klientů obsahují databáze e-shopů, telekomunikačních firem, nemocnic, státních úřadů nebo bank. Veškeré subjekty budou muset svůj stávající systém nakládání s daty upravit tak, aby odpovídal novým, výrazně přísnějším standardům.

V případě porušení legislativy hrozí firmám značné pokuty. Jejich maximální výše je buď dvacet milionů eur, nebo čtyři procenta z celkového ročního obratu skupiny − podle toho, která hodnota je vyšší.

„Čtyři procenta z celosvětového obratu není vůbec malé číslo. Čistý zisk firmy může být na hranici právě této hodnoty nebo i nižší. Sankce je to značná,“ potvrdil v diskuzi Vladimír Střálka ze společnosti VMware, která patří mezi přední poskytovatele cloudové infrastruktury.

„Sankce jsou nastaveny na dvě úrovně. U té nižší je maximální pokuta deset milionů eur, u vyšší dvacet milionů. Záleží na typu porušení,“ vysvětlila advokátka Deloitte Legal Jaroslava Kračúnová.

V Česku bude dozorovým orgánem Úřad pro ochranu osobních údajů. Při posuzování porušení legislativy bude brát v potaz, na jakém území se tak stalo a kolika občanů se týkalo. „Z diskuzí s úřadem vyplývá, že nejspíš nebude sahat po hraničních sankcích,“ dodala Kračúnová.

Úřadu přibudou pravomoci odrážející závažnost celé reformy a zároveň bude své aktivity koordinovat s Evropským sborem pro ochranu osobních údajů. Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy bude existovat možnost obrátit se s odvoláním na evropský sbor.

Většina firem dnes sice má povědomí o tom, že GDPR vejde za rok v platnost, podnikatelé už ale netuší, jaké mají čekat dopady na interní firemní procesy a informační technologie.

Velké množství firem navíc neví o sankcích, které jim v případě porušení nově nastavených pravidel hrozí. Vyplývá to z průzkumu společností VMware a Trend Micro, kterého se zúčastnilo 150 českých a slovenských firem (60 procent z nich bylo tuzemských).

„Většina firem má již dnes zavedené procesy, které umějí prokazovat shodu s touto legislativou. Asi sedmdesát procent firem je připraveno na investice do školení zaměstnanců, kolem padesáti procent má představu o dopadech na IT,“ podotkl Střálka a dodal, že zhruba třetina firem neví, kolik času jim tyto implementace zaberou.

Diskuzní pořad Mikroskop věnovaný GDPR naleznete na stránkách e15.cz: http://e-svet.e15.cz/it-byznys/firmam-hrozi-likvidacni-pokuty-podnikatele-o-nich-mnohdy-ani-netusi-1333016