Ochrana soukromí všech Čechů se již brzy podstatně zvýší. Firmám bude například zakázáno bez jasného souhlasu lidí využívat jejich osobní údaje třeba k zasílání nevyžádané reklamy. Úniky citlivých dat budou pokutovány mnohem více než nyní a vznikne celý nový byznys pro právníky a IT společnosti.

Všechno ale budou muset zaplatit české firmy. A s nimi tisíce státních úřadů, všechny kraje, školy, nemocnice či větší obce. Všechny tyto subjekty se nevyhnou novému evropskému nařízení na ochranu osobních údajů, které současná pravidla zpřísní a které zcela promění způsob ochrany soukromí. Pro mnoho firem bude nové pravidlo tvrdším oříškem než průběžně zaváděná evidence tržeb (EET). Investice do lepšího zabezpečení dat vyjde podle odborníků banky nebo mobilní operátory až na stovky milionů korun, menší firmy na desítky až stovky tisíc.

Nové evropské nařízení je v celé unii včetně Česka platné už nyní, v účinnost vstoupí až v květnu 2018. "Firmy by se ovšem měly začít připravovat už teď. Jinak jim hrozí, že při startu nařízení nebudou nové požadavky splňovat," říká právník z advokátní kanceláře Rowan Legal Michal Nulíček. "Zvláště středně velké podniky o nové povinnosti ale zatím vůbec nevědí," míní Tereza Šamanová ze Svazu průmyslu.

540 milionů korun

Až takové výše může dosáhnout pokuta u jedné firmy za velké chyby při ochraně dat.

Pokuta za velké chyby při ochraně dat může u jedné firmy dosáhnout výše až 540 milionů korun nebo čtyř procent jejího celosvětového obratu − podle toho, která částka bude vyšší. Podnik, který na závažný incident přijde, ho navíc musí státu ohlásit do 72 hodin a informovat o něm také všechny své poškozené klienty či zaměstnance.

Firmy a úřady mají proto už nyní podle odborníků zmapovat, jaká data vůbec schraňují. Osobní údaje se pak musí od zbylých dat oddělit. Významní správci citlivých informací − jako banky či nemocnice − je musí začít šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka. A k tomu musí vybrat odborné společnosti, které údaje tímto způsobem zabezpečí. To může ve větších firmách trvat přes rok, v menších několik měsíců.

Nařízení navíc zavádí novou funkci: pověřenec ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo ve firmách, které zpracovávají velký objem osobních údajů. Povinnosti mít pověřence se tak ale nejspíš nevyhnou ani soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace používají statisíce lidí.

Firmy ale nemohou za pověřence jmenovat třeba své personalisty ani šéfy IT oddělení, tedy obecně zaměstnance, kteří s daty běžně přicházejí do styku. "Kontrolovali by sami sebe. Nařízení takový střet zájmů nepřipouští," vysvětluje Ivana Janů, šéfka Úřadu na ochranu osobních údajů, který bude dodržování zákona kontrolovat. Proto se na nová pravidla připravují advokátní kanceláře či IT firmy, jež pověřence podnikům dodají zvenčí. Úřad ale ubezpečuje, že jeden pověřenec může posloužit více firmám či úřadům zároveň a svou práci nemusí vykonávat na plný úvazek.

Podniky se přesto obávají nejasností. Český zákon, který unijní pravidla zpřesní, má být schválen až po říjnových volbách. "Na 90 procent novinek se ovšem lze připravit již nyní," míní Jan Pfeffer z advokátní kanceláře Kinstellar. Klíčové je podle něj evropské nařízení, které bude v květnu 2018 účinné tak jako tak.