Každý, kdo pracuje s osobními údaji, tedy i malá firma s pár zaměstnanci, musí systémy připravit do května příštího roku na nová pravidla. Ve zkratce se novému obecnému nařízení říká GDPR.
Novinka od května
|
To je samo o sobě závazné pro všechny členské státy EU. „Máme však platný zákon o ochraně osobních údajů, který je třeba novelizovat tak, abychom tu neměli dvě paralelní právní úpravy. Velká část tohoto zákona proto bude zrušena. S ohledem na blížící se volby ovšem neočekávám, že by Parlament tuto změnu stihl schválit do května 2018, kdy GDPR vstoupí v účinnost,“ říká právník Viktor Dušek z KPMG Legal.
Podle mluvčího Úřadu pro ochranu osobních údajů Tomáše Patáka má nařízení přinést jednotnou celoevropskou úroveň ochrany osobních údajů v době rychlého rozvoje informačních technologií a globalizace. „Například nebude možné podmiňovat uzavření smlouvy se zákazníkem souhlasem s použitím osobních údajů k jiným účelům včetně předání dalším firmám,“ uvádí Paták.
Podstatnou novinkou, která by měla zjednodušit třeba přechod klienta od jedné banky k jiné, bude právo na přenositelnost údajů. „Mělo by vést k posílení konkurence mezi jednotlivými poskytovateli služeb a tedy ke zvýšení jejich kvality odstraněním situací, kdy někdo zůstává u „starého“ poskytovatele, protože nechce přijít například o již vytvořený vlastní obsah. Využít tohoto práva bude možné, jedná-li se o osobní údaje zpracovávané automatizovaně na základě souhlasu subjektu těchto údajů či plnění smlouvy. Je-li to navíc technicky možné, lze vyžadovat předání údajů přímo mezi správci,“ vysvětluje Dušek.
Některé firmy a instituce už se na přechod pod přísnější regulaci chystají. „V České pojišťovně probíhají přípravy již od konce minulého roku tak, abychom byli na účinnost nové legislativy připraveni,“ prohlašuje mluvčí České pojišťovny Ivana Buriánková.
„V současnosti analyzujeme dopady přímo do naší společnosti a slaďujeme se s kolegy z ostatních zemí EU v rámci celého holdingu,“ nastiňuje Lenka Sedláková, finanční ředitelka Europ Assistance.
Nová regulace se má dotknout asi milionu subjektů v Česku. „Náklady budou odvislé od velikosti a složitosti organizací a na stavu, v jakém mají systém bezpečnosti informací. Půjde o investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu,“ podotýká Jakub Kejval z poradenské a inspekční společnosti Bureau Veritas. Podle něj si uvedení GDPR do praxe vyžádá investice ve výši zhruba šest miliard korun.
Za porušení nařízení hrozí pokuty až 20 milionů eur, případně čtyři procenta z jejich obratu. „Nařízení říká, že pokuty musí být odrazující. Tím se budeme řídit. Záležet bude na závažnosti porušení,“ dodává Paták.