Téma ochrany dat vnímají podnikatelské svazy jako nedílnou součást průmyslu 4.0. S rostoucí digitalizací okolního světa je podle nich třeba ochranu osobních dat stále více řešit. Za rok začne platit GDPR − evropské nařízení na ochranu dat, které bude znamenat pro české podniky velké změny. A bude je stát spoustu peněz.

HN: Jako Svaz průmyslu se snažíte firmy na změny připravovat. Jak se vám to daří?

Zatím jsme provedli sedm školení v krajích. V červnu spouštíme GDPR akademii ve spolupráci s Úřadem pro ochranu osobních údajů. Pomáhají nám firmy, protože od státu na to žádné peníze nejdou.

HN: Na ministerstvu vnitra nám řekli, že žádnou informační kampaň nechystají.

Je pravda, že žádný státní úřad kampaň nechystá, rezignovali na to. Komisařka Věra Jourová jen zmínila, že bude evropské občany informovat o tom, jaká nová práva jim GDPR přinese. Žádostí svazu bylo, že by se masivně měly informovat také podniky a všechny další subjekty, které budou muset tato práva naplňovat.

HN: Stále přitom není jasné, jak přesně bude česká úprava vypadat.

Je to tak. V jednotlivých zemích se místní úpravy budou lišit. Když jste malá firma a máte třeba 35 zaměstnanců a poskytujete služby na Slovensku, v Belgii, Česku a například ještě v Polsku, tak musíte přesně vědět, které povinnosti se budou v těchto jednotlivých státech lišit.

Nová ochrana dat se blíží. Firmám Hrozí stamilionové pokuty

 

HN: V čem to může být?

Může to být věk dítěte, jehož rodič musí dát souhlas se zpracováním jeho osobních údajů. Někde to může být od 13 let, jinde od 16. Je zhruba třicet různých oblastí, které umožňují různé národní výklady. V některých státech se mohou rozšířit pravomoci pověřenců. To, s čím my nejsme spokojeni, je práce celoevropské pracovní skupiny, která členským státům doporučuje různá vodítka k tomu, co by měly přijmout do národních zákonů. Jejich vodítka jdou ale nad rámec nařízení, zavádějí nové povinnosti, například to, že přenositelnost osobních údajů musí podnik zaplatit z vlastní kapsy. O tom se v nařízení vůbec nehovoří.

HN: Kdy bude český národní zákon?

Už se na něm pracuje. Musím ocenit, že vláda zřídila pracovní skupinu, jíž se svaz účastní. Vláda si uvědomuje, kde by mohly vzniknout problémy, takže by národní zákon neměl být příliš přísný.

HN: Už se ví, které podniky budou potřebovat pověřence?

Bude to záviset na tom, jaké objemy dat firma zpracovává, zda monitoruje chování svých zaměstnanců, nebo klientů.

HN: Průzkumy ukazují, že podniky o nařízení zatím ani neslyšely. Mění se to nějak?

Povědomí je větší v Praze, protože se tu o tom více mluví. Mimo hlavní město se o tom ale ví velmi málo a třeba neziskové organizace, kterých se to také týká, o tom často nevědí vůbec. Velký dopad bude mít nařízení také na zdravotnické organizace, kde se o tom také příliš nedebatuje. Analytická firma Gartner nedávno vydala studii, podle níž polovina evropských firem nebude za rok na start nařízení připravena. Už ani ty firmy, které s přípravami začaly teď, to nemusí stihnout.

HN: Měly by firmy začít již nyní?

Měly by opravdu začít co nejdříve. Musí v podstatě změnit fungování svého podniku. Nestačí jen obměnit vlastní IT systém. Firmy musí analyzovat, jak pracují se svými daty a kde všude je uchovávají. Zda osobní údaje sbírají jen ke stanovenému účelu, a neporušují tak ustanovení GDPR. Je zřejmé, že firma nikdy nemůže zcela zabránit tomu, aby jí nějaká data unikla. Ale aby se pak vyhnula postihu, musí prokázat, že data zabezpečila v maximální možné míře. Musí mít plán, co při úniku dat dělat a jak by se jednotliví zaměstnanci měli zachovat. K tomu musí mít záznamy o proběhlých bezpečnostních incidentech. Když pak k úniku dat dojde, doložíte, že jste udělali vše, abyste mu zabránili.

HN: Budou firmy muset udělat datový audit?

Ano, musíte si udělat audit, jaká data spravujete, jak s nimi zacházíte, jak se jich zbavujete a kdo k nim má přístup. Musíte mít vyřešené také to, jak data předáváte nějakému dalšímu správci. Firmy na takové postupy často nejsou nastaveny. Řada z nich si bude muset udělat audit, zda potřebuje pověřence. Pak se musí rozhodnout, zda ho zaměstná, nebo ho najme jen externě.

HN: Jak podle vás bude Úřad pro ochranu osobních údajů firmy pokutovat?

Z debat s úřadem mám pocit, že bude postupovat rozumně a bude se spíše snažit podporovat zavádění nařízení, než aby se vrhl na nějaký menší podnik a exemplárně ho pokutoval.

HN: Myslíte si, že úřad bude schopen šetřit všechny úniky dat?

Myslím, že to zvládat nebude. Požadavkem svazu proto je, aby úřad získal větší rozpočet. Pokud to stát s přípravou GDPR myslí vážně, tak na to musí připravit peníze v rozpočtu. Na trhu je navíc nedostatek pověřenců a hrozí, že firmy budou přetahovat právě kvalifikované lidi z úřadu. Zaměstnanci úřadu by měli získat nějakou výjimku v rámci tabulkových platů a měli by být lépe zaplaceni.

HN: Kolik očekáváte, že firmy budou potřebovat pověřenců?

Mohly by to být tisíce lidí. Určitě ale půjde o nedostatkové povolání. To samé bude muset provést státní správa. Podle odhadů, které jsem někde zaslechla, půjde jen u státu o 13,5 tisíce nových lidí.

HN: Co radíte podnikům, aby nenaletěly na přehnané nabídky ze strany IT firem a právníků?

Měly by se zeptat více lidí a obrátit se třeba na svaz nebo další oborové organizace. My chceme, aby stát v nějaké kampani firmám osvětlil jejich povinnosti a práva, aby nebyly vydány napospas chaotickému trhu, který řešení GDPR nabízí.

HN: Za rok začne nařízení platit, jak myslíte, že se to stihne?

Myslím si, že firmy ani další organizace nebudou plně v souladu s nařízením. Podniky netuší, co se na ně řítí. Bude je to stát spoustu peněz na výměnu zastaralých IT systémů.

HN: Máte odhady nákladů firem?

Nemáme. Pokud jste kadeřnictví, tak to na vás nemusí dopadnout vůbec. Pokud jste ale malý vývojář aplikací a zpracováváte množství dat, tak už je to o něčem jiném. My jsme chtěli, aby v komisi byla zpracována nějaká analýza dopadů v podnicích podle velikosti a typu byznysu. To se ale zatím nestalo.

HN: Stát není zcela připraven, co když si firmy řeknou, že to nebudou řešit?

Tam není žádná časová výjimka. Příští rok bude GDPR účinné a na tom se nic nemění. Když se na to firmy vykašlou, tak jim mohou hrozit vysoké, až likvidační pokuty, když se něco stane. Dá se navíc očekávat, že hlášení úniků využijí mnohé jiné firmy v rámci konkurenčního boje. Není tedy vhodné přípravu podceňovat.