Přesně za rok začne platit nové evropské nařízení na ochranu dat. Díky němu Češi získají třeba právo zažádat firmy o vyškrtnutí z různých reklamních databází nebo větší přehled o tom, jaké údaje o nich společnosti nebo státní úřady schraňují. Všem tuzemským podnikům, úřadům, obcím či nemocnicím ale nová pravidla přinesou také zvýšené náklady nutné na vylepšení jejich počítačového zabezpečení nebo posílení administrativy. Menší firmy za to zaplatí desítky tisíc korun, u větších korporací se náklady vyšplhají až na desítky či stovky milionů.

"Podniky by přípravy rozhodně neměly odkládat a pustit by se do nich měly už nyní. Už kvůli vysokým pokutám, jež jim hrozí, když své osobní údaje dostatečně nezabezpečí," říká členka předsednictva Svazu průmyslu a dopravy Milena Jabůrková. Naráží na to, že velká chyba při ochraně dat může každý podnik stát až 540 milionů korun nebo čtyři procenta jeho celosvětového obratu. Firma, která na závažný incident přijde, ho navíc musí státu ohlásit do 72 hodin a informovat o něm také všechny své poškozené klienty či zaměstnance.

Odborníci společnostem radí, aby přípravy nepodcenily. Začít by měly s analýzou všech shromažďovaných údajů. Osobní data je pak třeba od ostatních vyčlenit a analyzovat, kdo všechno k nim má ve firmě přístup. To obnáší také modernizaci dosavadních IT systémů.

Tisíce nových pracovníků

Nařízení navíc zavádí novou funkci pověřence ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo firmách, které zpracovávají velký objem osobních údajů. Očekává se, že takových lidí budou firmy potřebovat tisíce.

Co podniky čeká s novým nařízením na ochranu dat

Společnosti ale nemohou za pověřence jmenovat třeba své personalisty ani šéfy IT oddělení, tedy obecně zaměstnance, kteří s daty běžně přicházejí do styku. "Kontrolovali by sami sebe. Nařízení takový střet zájmů nepřipouští," vysvětluje Ivana Janů, šéfka Úřadu na ochranu osobních údajů, který bude dodržování zákona kontrolovat.

Na nová pravidla se proto připravují advokátní kanceláře či IT firmy, jež pověřence podnikům dodají zvenčí. "Řada poradenských firem už obchází třeba obce a nabízí, že jim s přípravou na realizaci nařízení za miliony korun poradí," varuje digitální koordinátor vlády Ondřej Malý. Organizace by podle něj měly být k podobným nabídkám obezřetné, aby za podobné služby nepřeplácely.

Soukromé podniky a státní organizace přitom o nových povinnostech často zatím ani nevědí. Dokazuje to třeba průzkum banky ČSOB pro Hospodářské noviny. "Z oslovených podniků novou povinnost dosud nezaregistrovalo 57 procent z nich. Většina firem navíc svá data chrání pouze za pomoci antiviru, což se startem nových pravidel nebude dostatečné," uvádí šéf firemního bankovnictví ČSOB Petr Manda.

HN proto ve spolupráci s IT firmou Cleverlance vytvořily analýzu dopadů na jednotlivé obory podnikání, kterých se nová pravidla dotknou.

Firmy musí na vyžádání údaje "zapomenout"

Podle očekávání budou muset nejvíce změn provést internetové obchody. Jakékoliv zpracování osobních údajů jejich klientů bude nově vyžadovat jejich informovaný souhlas. Zákazníka tak nebude možné zařadit třeba do reklamní databáze e-shopu jen proto, že si v něm nakoupil zboží. Lidé budou moci rovněž vymáhat nové právo na zapomenutí svých údajů, které pak bude muset e-shop ze svých systémů smazat. Stejné právo pak platí také pro zaměstnance všech typů firem, kteří mohou o výmaz svých údajů požádat při ukončení pracovního poměru.

V případě zdravotnických ordinací a nemocnic, které spravují citlivé osobní údaje, bude třeba taková data šifrovat nebo anonymizovat − aby z nich nebylo možné vyčíst identitu konkrétního člověka. "Dosud ovšem lékaři zdravotní data svých pacientů často posílají svým kolegům přes e-maily a zdravotnická zařízení bývají velmi špatně zabezpečena," uvádí analýza Cleverlance, podle níž bude pro nemocnice výzvou nové bezpečnostní požadavky splnit.

Stát by měl informovat

Nařízení na ochranu údajů se dotkne téměř všech firem, říká Milena Jabůrková ze Svazu průmyslu a dopravy.Milena Jabůrková, Svaz průmyslu a dopravy

Čtěte zde

Pacienti navíc získají právo nahlížet do své zdravotní dokumentace. To mohou již nyní, v praxi je ale lékaři často odmítají. Nově přitom budou muset rovněž získávat souhlas se zařazením zdravotních údajů pacienta do výzkumu. Stejně jako u e-shopů bude třeba do každé z nemocnic přijmout pověřence ochrany dat. U ordinací soukromých lékařů ovšem stále není zřejmé, zda budou pověřence potřebovat také.

Výrobní podniky nařízení zasáhne podle typu jejich obchodního modelu a bude se vztahovat jak na ochranu dat zaměstnanců, tak jejich obchodních partnerů či klientů. "Podniky si musí rovněž ohlídat správu svých kamer nebo digitálních systémů, které zaměstnance sledují při práci," upozorňuje Jabůrková ze Svazu průmyslu a dopravy.

Živnostníci se ochraně dat vyhnou

Živnostníci a menší podniky by se měli tvrdým pravidlům nové ochrany dat vyhnout. To ale neplatí třeba pro drobné IT firmy, jejichž aplikace používají statisíce lidí. Takové společnosti musí zaměstnat datové pověřence a stejně jako větší podniky vést evidenci zacházení s osobními údaji.

Stejné povinnosti se týkají rovněž všech státních úřadů, krajů a obcí s rozšířenou působností. Tyto instituce většinu osobních údajů shromažďují ze zákona. Nově ale občané získají právo do státních informačních databází nahlížet. Budou rovněž moci po úřadech vyžadovat, aby některé osobní informace, které nejsou k výkonu státní správy potřebné, byly smazány.

Co podniky čeká s novým nařízením na ochranu dat