Směrnice o ochraně osobních údajů dělá byznys právníkům a poradcům, zlobí se živnostníci

Malé firmy kritizují novou směrnici Evropské unie, která podle nich „chudým bere a bohatým dává“. Vytváří totiž uměle byznys pro velké specializované společnosti, zatímco malé firmy a podnikatelé jsou vystaveni riziku likvidačních pokut.



Na novou směrnici o ochraně osobních údajů, známou pod zkratkou GDPR, si stěžují živnostníci a malé firmy. Jde podle nich o typické opatření, které skrytou formou likviduje právě malé podniky a jednotlivé podnikatele. „Zatěžuje to všechny. Ale živnostníka, který například zaměstnává pět lidí, je to abnormální zátěž. Protože si tuto službu musí objednat a zaplatit…. Ze svého zisku,“ upozorňuje Bedřich Danda, šéf Sdružení podnikatelů a živnostníků.

Na rozdíl od velkých firem, které mají specializovaná IT oddělení a právní sekce, totiž malé firmy a živnostníci nemají kapacity na zpracování rozsáhlé agendy související s GDPR. A tak riskují, že dostanou pokutu až ve výši 550 milionů korun, nebo si budou muset objednat zpracování potřebných opatření od specializovaných IT nebo právních firem, případně si sjednávat speciální pojistky. „To, že je to obchod, a vždy výnosný, pro IT firmy není pochyb,“ zdůrazňuje Bedřich Danda.

Podle něj podobná nařízení zpochybňují veškerá slova o podpoře malých a středních firem, ať už ze strany státu nebo Evropské unie. „Nerozumíme tomu, že komise EU prosazuje podporu zejména mikro firem do 10 zaměstnanců, a to velkorysou, a proti tomu jdou podobná opatření,“ diví se Bedřich Danda.

Malé firmy a živnostníci by podle něj měli z GDPR dostat výjimku. „Určitě by se měla omezit povinnost na větší firmy, například nad 250 zaměstnanců. Ostatně jak může manipulovat s osobními daty soukromníček s několika zaměstnanci, nebo dokonce bez zaměstnanců?“ ptá se Bedřich Danda.

„Kdyby to nebylo vážné, tak bych to považoval za legraci, zejména když můj citlivý údaj to jest rodné číslo visí ‚na všech nádražích‘. A to nemluvím o EET, kde na každé účtence, která se vydá, je rodné číslo podnikatele!,“ tvrdí Bedřich Danda.

„Přitom sdružení podnikatelů již na toto téma zaslalo jednoduché řešení na Úřad na ochranu osobních údajů, ale nikoho to zřejmě moc nezajímá,“ podotýká Bedřich Danda.

Všichni se nestihnou připravit

Podnikatelské organizace se snaží na nové nařízení připravit. Svaz obchodu a cestovního ruchu České republiky (SOCR ČR) vyzval vládu, aby intenzivněji informovala české podnikatele o nutnosti zavést opatření související s GDPR. Reagoval tak na množství dotazů a žádostí o informace, které přicházejí zejména od malých a středně velkých firem.

„Nové nařízení o ochraně osobních údajů je zapotřebí, na druhou stranu ale půjde o další finanční a administrativní zátěž, která dopadne na podnikatele. Vzhledem k množství změn považujeme již dnes za téměř nereálné, aby se všechny firmy stihly na nová pravidla fungování připravit,“ uvedla Marta Nováková, prezidentka SOCR ČR.

„Pro své členy jsme uspořádali už řadu konferencí a workshopů týkajících se této zásadní problematiky a v této činnosti chceme pokračovat i nadále. Při této příležitosti jsme rovněž navázali spolupráci s Ministerstvem vnitra ČR a s Úřadem pro ochranu osobních údajů a snažíme se pomáhat našim členům s přípravou na zavedení GDPR,“ dodala Marta Nováková.

Evropská unie zavedením GDPR reaguje na rozvoj nových technologií, jako jsou internetové nabídky či služby, elektronické obchodování nebo komerční využití sociálních sítí. To vše s sebou nese rozsáhlý sběr a zpracování osobních údajů, profilování a monitoring fyzických osob i chování zaměstnanců či klientů. Proto požaduje zavedení technických a organizačních opatření, která budou osobní údaje chránit.

„Předpokládáme, že uvedení GDPR do praxe způsobí mnoha podnikatelům v České republice nejrůznější komplikace. Celá problematika je poměrně složitá a vyžaduje odborný přístup podpořený znalostí právního prostředí. Kromě seminářů a workshopů pracujeme na přípravě sektorových kodexů GDPR,“ konstatovala Marta Nováková.

Akademii GDPR spustil Svaz průmyslu a dopravy České republiky ve spolupráci s Úřadem pro ochranu osobních údajů a partnery IBM Česká republika, KPMG Česká republika a advokátní kanceláří PRK Partners. Cyklus jedenácti seminářů se koná za podpory Ministerstva průmyslu a obchodu.

Lektoři Akademie GDPR osvětlí účastníkům ve strukturované podobě zaměřené na jednotlivé úseky a činnosti podniků a jednotlivé změny, které pro ně z nařízení vyplývají. Na třech seminářích se zaměří i na povinnosti v jednotlivých oborech.

„Na seminářích budou přednášet přední čeští a slovenští odborníci v oblasti ochrany dat, kteří se dlouhodobě tímto tématem zabývají. Chceme účastníkům představit aspekty nového nařízení, upozornit je na rizika s ním spojená a pomoct jim hledat způsob, jak je efektivně řešit,“ vysvětlila Milena Jabůrková, členka představenstva SP ČR.

Změna datové architektury

Pro většinu podniků, neziskových organizací, orgánů veřejné správy i územní samosprávy, zdravotnická zařízení a další subjekty bude příprava na platnost nařízení znamenat i změnu celé datové architektury, a z jejich strany zaznívá mnoho otázek. Podle průzkumu Svazu průmyslu a dopravy ČR, který realizoval na konci roku 2016, navíc téměř 60 procent firem není o novém nařízení informováno a není na jeho platnost ani technicky připraveno.

GDPR začne platit v rámci celé Evropské unie jednotně od 25. května 2018. Také českým společnostem ukládá povinnost zřídit speciální funkci pověřence pro ochranu osobních údajů. Tento takzvaný inspektor ochrany osobních údajů ve společnosti dohlíží na to, že se s osobními údaji zaměstnanců a zákazníků nakládá v souladu s daným nařízením a je kontaktní osobou pro Úřad pro ochranu osobních údajů.

Daná osoba má povinnost ve své funkci sbírat informace pro další zpracovávání osobních údajů, analyzovat je, kontrolovat shodu interního zpracovávání s právní úpravou, poskytovat rady a vydávat doporučení pro danou společnost. Nová funkce pověřence se týká každé společnosti, která jako jednu ze svých hlavních činností provádí monitorování osob nebo která zpracovává citlivé osobní údaje ve větším rozsahu, a to jak v soukromém, tak i státním sektoru.

Pověřencem se může stát jak vlastní zaměstnanec společnosti, tak externě spolupracující osoba nebo organizace. Ke jmenování do funkce pověřence dochází splněním kvalifikačních předpokladů pro výkon funkce, na základě prokázaných odborných právních znalostí a příslušné praxe v oblasti ochrany osobních údajů. Pověřenec musí mít také znalosti v oblasti národní a evropské legislativní úpravy ochrany osobních údajů a v neposlední řadě by se měl dobře orientovat ve firemní struktuře dané společnosti.

Právní kanceláře v současnosti začínají firmám nabízet, že pro ně budou vykonávat službu externího pověřence. „Využitím služby externího pověřence klientovi odpadá finanční zátěž způsobená náklady spojenými s trvalým zaměstnáním vlastního pracovníka,“ komentuje jednu z výhod užití služby externího pověřence Gabriela Jiráková, advokátka kanceláře bpv Braun Partners.

Kalamita pro mailové informace

Kalamitu bude opatření znamenat pro všechny společnosti, které zasílají svým klientům informace prostřednictvím emailu. Nyní je řada souhlasů ze strany zákazníků a uživatelů získávána takovými způsoby, že s příchodem GDPR ztratí svoji platnost a společnosti budou muset tato data přestat používat a zcela odstranit. Týká se to všech souhlasů získaných podmíněně, kdy musel uživatel souhlas udělit například v rámci obchodních podmínek, nebo bez něj nemohl uskutečnit nákup.

Spadají sem i všechny souhlasy získané pasivním souhlasem, kdy typicky na webu uživatel měl při vytváření profilu předzaškrtnutou volbu, že souhlasí se zpracováním a zasíláním a musel tedy udělat aktivní krok a svůj souhlas stáhnout. Kromě toho také za žádných okolností nebude možné využívat zakoupené databáze zákazníků, včetně těch pořízených před účinností GDPR.

Řadě společností tak hrozí, že s účinností GDPR přijdou o značnou část své zákaznické báze. „Jediná situace, kdy souhlas zůstane do budoucna v platnosti, je tak případ, kdy uživatel aktivně zaškrtl políčko, že souhlasí se zpracováním svých osobních údajů, respektive se zasíláním obchodních sdělení,“ říká Filip Mejzlík ze společnosti VIVmail.cz.

Na legislativní novinku se připravují rovněž pojišťovny. Podle GDPR budou totiž firmy, které se stanou obětí kybernetického útoku, zároveň posuzováni jako viníci, kteří svá data nedostatečně zajistili. Pojišťovny tak pro firmy připravují speciální pojištění na tuto oblast.

„Pro úspěšnou implementaci pojistných produktů pokrývajících kybernetická rizika je celosvětově za nejdůležitější považováno získání dostatku relevantních dat umožňujících další vývoj pojistných produktů na míru dle potřeb konkrétních zákazníků. Nezbytný však bude také dostatek kvalifikovaných odborníků upisovatelů, kteří u velkých společností již nebudou posuzovat tradiční rizika a jejich zábranné systémy, ale zaměří se na posouzení zabezpečení IT architektury, IT systémů, a tím i podmínek jejich pojistitelnosti,“ říká Petr Jedlička, vedoucí oddělení pojistné matematiky a analýz České asociace pojišťoven.

Policie ČR v roce 2016 šetřila 5344 kybernetických zločinů, což je 6,4 procenta více než v předchozím roce. Z propočtů České asociace pojišťoven vychází, že v ČR může ročně dojít k až 1,7 milionům kybernetických útoků s potenciálními celkovými ztrátami v případě úspěchu útoku ve výši až 5,4 miliardy korun.

Dalibor Dostál

Doporučujeme