Sdílejte
Desítky milionů korun, stovky hodin práce, naštvaní a zmatení podnikatelé. V pátek začíná platit takzvané Obecné nařízení o ochraně osobních údajů, které je známe spíš pod zkratkou GDPR. Někteří podnikatelé a jejich zaměstnanci kvůli němu už řadu týdnů nespí, jiní doteď netuší, zda zavedli správná opatření. Děsí se kontrol a astronomických pokut. Česká legislativa z pera ministerstva vnitra není schválená. To je živná půda pro řadu rádoby odborníků na ochranu osobních dat, kteří na vystrašených firmách, ale třeba i některých státních institucích, vydělávají.
Zpravodajství
24.05.2018
„GDPR je geniální gigantický byznys pro právnické kanceláře. Rozšířila se tu atmosféra strachu, aby je všichni začali využívat," říká pro ZDROJ.CZ David Rýc ze společnosti Up, která vydává stravenky Chéque Déjeuner. Tu už konzultace a zavádění různých opatření stálo za poslední dva roky něco mezi sedmi a osmi miliony korun.
Jenže nařízení musí řešit i firmy, které data primárně nezpracovávají. A to jak ve vztahu ke klientům, tak k zaměstnancům. Společnost Prabos vyrábí boty, které nosí čeští vojáci a policisté, a osobní údaje nejsou předmětem její obchodní činnosti. I ona ale GDPR musela řešit a stálo jí to peníze.

„Jakkoliv je GDPR přínosné pro občany EU, do obchodní činnosti naší společnosti se v zásadě nepromítne, kromě předpokládaného zvýšení nákladů na provoz společnosti. Náklady představují odměny expertů na analýzu současného stavu a navržení patřičných opatření k dosažení plné ‚compliance' s nařízením. Dále vzniknou a budou stanoveny náklady případných nezbytných opatření," uvádí předseda představenstva společnosti Jaroslav Palát. Přesnou částku ale říct nechce.
Nařízení přitom necílí speciálně na firmy, dotkne se i státních institucí, nemocnic, škol a samospráv, které hospodaří se státními penězi, a tady můžou být náklady ještě daleko větší. Svaz měst a obcí odhaduje náklady pro samosprávy v prvním roce až na miliardu. Některé nemocnice, které zpracovávají obzvláště citlivé osobní informace, hovoří o desítkách milionů korun.

Neschopný stát

Zástupcům firem navíc vadí, že ani nemají jistotu, jestli podnikají správné kroky. A to právě proto, že není schválená česká legislativa. „Podnikatelé se nejčastěji ptají po metodikách, které by jim pomohly s aplikací GDPR v praxi. Rádi by měli k dispozici přesný návod, jak postupovat. Někteří podnikatelé stále nevědí, jak konkrétně zpracovat interní audit osobních údajů," vypočítává tiskový mluvčí Hospodářské komory Miroslav Diro.
„Negativní je, že nejsou hotové prováděcí předpisy. Tedy i právníci, kteří nám radí, opakují - a nechávají si za to platit, že jsou otázky, na které neznají odpovědi, ačkoliv my je už potřebujeme," vysvětluje Rýc.

V některých firmách se tak skartují stohy dokumentů, ačkoliv to není potřeba, ruší se různé sdílené databáze, montují zámky na skříně. Jestli pouze neřeší problémy, které neexistují, netuší.

Průzkumy ukazují, že většina firem je na GDPR buď připravena, nebo jej aspoň intenzivně řeší. Hospodářská komora hovoří asi o pětině nepřipravených společností. Podle Karla Havlíčka z Asociace malých a středních podniků jsou střední a větší firmy připravené, malé firmy a živnostníci méně. "Ještě nedávno hlásila třetina podnikatelů, že neví o čem je řeč, nyní odhadujeme, že to bude tak čtvrtina," uvedl Havlíček.
Ukazuje se, že podnikatelé a firmy berou GDPR velmi vážně. Otázka je, zda je vážně bere i stát, který v přípravě národní legislativy k nařízení totálně selhal. Evropský parlament schválil nařízení v dubnu 2016. Česko tedy mělo více než dva roky na to, aby se zákon napsal, projednal, schválil a doplnil o metodiky a prováděcí předpisy. Schválený dosud není.

Problém je v tom, že evropské nařízení dává jednotlivým státům možnost různých výjimek. Ty do české verze zákona zapracovalo i ministerstvo vnitra, jenže platit začnou později než GDPR. Český zákon mohl například snížit drakonické pokuty pro obce. Maximální pokuta totiž může být i ve výši 20 milionů euro nebo 4 procent celkového obratu společnosti podle toho, která je vyšší.
Nařízení nespecifikuje konkrétní požadavky, ale volí takzvaný přístup založený na hodnocení rizika pro subjekty údajů, tedy konkrétní fyzické osoby, jejichž osobní data jsou zpracovávána. Právě proto není jednoduché říci, co konkrétně musí firmy dělat.

Dozví se to přitom pravděpodobně až ve chvíli, kdy některá společnost dá za ostatní hlavu na špalek a půjde k soud. "K tom, aby bylo možné skutečně posoudit, co je a co není přiměřené úsilí v rámci ochrany osobních údajů, chybí výkladová stanoviska dozorových úřadů. V případě ČR je to Úřad na ochranu osobních údajů, a pak především judikáty soudů, které budou konečným arbitrem správnosti postupu," uvedl pro ZDROJ.CZ odborník na veřejnou správu Tomáš Bezouška.
Tento web využívá cookies. Jeho používáním s tím vyjadřujete souhlas.
ROZUMÍM