PRAHA Do Česka se blíží nové evropské nařízení, které straší tuzemské firmy. Takzvané Obecné nařízení o ochraně osobních údajů (GDPR) začne platit v květnu a výrazně zpřísní nakládaní s daty ve firmách. Za porušení pravidel pak budou hrozit velmi přísné pokuty. Ministerstva proto začala pracovat na tom, aby pomohla společnostem i státním organizacím se zavedením novinky.
„V GDPR Česko hodně zaostalo, zákon od ministerstva vnitra není ani v legislativním procesu, má přitom platit od května,“ řekl Dušan Navrátil, ředitel, Národní úřad pro kybernetickou a informačníbezpečnost na konferenci Kybernetická bezpečnost, kterou pořádalo vydavatelství Mafra ve spolupráci s LN.
Řada nemocnic je připravena
Radek Policar, náměstek na Ministerstvu zdravotnictví (MZ), však zůstává optimistický. „Řada subjektů je připravena, pokud dodržovali dosavadní principy ochrany osobních dat, nemusí toho dělat tolik,“ popsal. Z organizací pod jeho ministerstvem jsou prý připraveny hlavně velké nemocnice, u menšíchzařízení bude ještě potřeba práce.
GDPR
Obecné nařízení o ochraně osobních údajů
· Nová evropská legislativa, která citelně zvyšuje ochranu osobních údajů.
· Týká se všech firem, institucí i jednotlivců, které pracují s daty uživatelů.
· Za porušení předpisů hrozí pokuty až ve výši 20 milionů eur nebo čtyř procent obratu.
· V platnost vstoupí 25. května 2018.
· Zavádění v Česku má na starost Ministerstvo vnitra a Úřad pro ochranu osobních údajů.
MZ se proto snaží vzdělávat všech svých 69 organizací, s kterými na přípravách pracuje. „Nutíme je mít plán, aby se vše stihlo,“ řekl. Zároveň také jednotlivé institucevede k tomu, aby měli vybranou osobu, která bude za přípravy odpovědná.
Připustil však, že se místy opakují nejasnosti, jaké probíhaly při zavádění Zákona o ochraně osobních údajů. Řada podnikatelů tehdy řešila, zda se na ně zákon vztahuje. „Opatření se týká všech, od jednočlenných ordinací po nemocnice,“ zdůraznil Policar.
Do příprav k GDPR se pustilo i ministerstvo průmyslu a obchodu (MPO), které na věci spolupracuje s podnikatelskými svazy. MPO podle Pavla Vinklera, ředitele odboru podnikatelského prostředí a vnitřního obchodu, připravuje například vlastní příručky a bude pořádat i konference. Do informování se navíc zapojí i regionální kanceláře CzechInvestu.
Ne všichni jsou ale s přípravami spokojeni. „Vadí mi, že v oblasti bezpečnosti Česká republika nemá lídra,“ řekl Daniel Rous, ředitel bezpečnosti Skupiny ČEZ. Tím by mělo být v případě GDPR Ministerstvo vnitra, které má zavádění nové směrnice na starost. Podle jeho slov Rouse ale svou roli neplní dostatečně.
Podle zástupců státu je však dobře, že se o přípravu na GDPR starají jednotlivá ministerstva, jelikož tak mohou lépe reagovat na konkrétní požadavky svých oborů.
„V různých sektorech se opatření mohou velmi lišit,“ přidal Radim Polčák, vedoucí ústavu práva a technologií Masarykovy univerzity v Brně. „Pravidla jsou stanovena na velmi abstraktní úrovni, subjekt si sám stanovuje, jak je bude konkrétně plnit,“ dodal.
Hrozba vysokých pokut
Mezi firmami rezonuje také výše pokut, které za porušení nových pravidel ochrany osobních údajů hrozí. Maximální pokuta dosahuje 20 milionů eur (přes 510 milionů korun) nebo až čtyři procenta z obratu. Rous z ČEZ považuje hrozící sankce za drakonické, za havárii jaderné elektrárny podle něj ve výsledku hrozí nižší postih.
„Nemyslíme si, že by mělo k sankcím v této výši docházet. Úřad pro ochranu osobních údajů povede vysvětlovací kampaň a nebude hned sahat k maximálním pokutám,“ vysvětloval Vinkler z MPO.
„Hranice 20 milionů eur je nastavena kvůli největším firmám,“ popsal Polčák. Pokuta musí být podle něj citelná i firmy jako Google, který má v Evropě stovky milionů uživatelů. České firmy se tak podle něj nemusí bát, že by tak vysokou pokutu dostaly.
Účastníci konference se však shodli, že pro firmy bude nařízení znamenat víc práce. „Přinese to administrativní zátěž pro podnikatele,“ řekl Vinkler z MPO. Podle něj se přitom právě administrativní nároky na firmy ministerstvu v posledních letech dařilo snižovat.
„Podnikatelé se ptají, jestli na ně dopadá povinnost chránit osobní data. Ona však na ně dopadá už nyní, nové povinnosti jsou hlavně dokumentační,“ popsal Polčák z Masarykovy univerzity.
Zástupce dodavatele informačních systémůGordic Jan Dienstbier také varoval před lidskými chybami. „Je to o lidech, o tom, jak to dělají,“ popsal. Firmám proto doporučuje dobře vědět kde a jakým způsobem citlivé informace zpracovávají a dobře vyškolit zaměstnance.
