Už za třináct měsíců začne pro všechny české firmy, nemocnice, kraje či větší obce platit nařízení, které zásadně promění ochranu osobních údajů jejich zaměstnanců či klientů. Novinka označovaná zkratkou GDPR (General Data Protection Regulation) dává Čechům a ostatním občanům Evropské unie od května 2018 třeba možnost zakázat využívání svých osobních údajů v marketingových kampaních jednotlivých firem. Společnostem naopak ukládá data lépe chránit například jejich šifrováním. Komu citlivé údaje uniknou, tomu hrozí od státu pokuta až ve výši 20 milionů eur (540 milionů korun) nebo čtyř procent ročního obratu.

Proto právníci a IT specialisté podnikům radí, aby s přípravou neotálely, a hrozbě vysokých pokut se tak vyhnuly. Banky nebo mobilní operátoři, kteří na náklady spojené s nařízením vydají desítky milionů korun, se již připravovat začali. Zvláště menší společnosti, z nichž každá za lepší zabezpečení vydá desítky až stovky tisíc, ale o GDPR dosud nevědí nebo o něm mají jen kusé informace. Potvrzuje to i aktuální průzkum banky ČSOB pro Hospodářské noviny, který byl proveden na vzorku 500 menších českých podniků a živnostníků.

Menší firmy bezpečnost řeší pouze antivirem

Z šetření vyplývá, že 57 procent oslovených firem o nové povinnosti dosud vůbec neslyšelo. Naprostá většina respondentů - 85 procent - navíc svá data chrání pouze za pomoci antiviru, což podle oslovených IT odborníků požadavkům nařízení nevyhovuje. "Antivir nevyřeší třeba ztrátu flash disku s důležitými daty. U řady firem jsou navíc na vině často sami zaměstnanci, kteří úmyslně nebo z neznalosti podniková data ukládají třeba na nechráněná veřejná úložiště typu ulož.to," uvádí Petr Žikeš, šéf IT společnosti Safetica, jež firemní údaje šifruje, aby nedocházelo k jejich zneužití.

Odborníci firmám a státním úřadům radí, aby si nejprve zmapovaly, jaká data vůbec spravují. Osobní údaje pak musí od zbylých dat oddělit. Významní správci citlivých informací, jako banky či nemocnice, je musí navíc začít šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka. A k tomu musí vybrat odborné společnosti, které údaje tímto způsobem zabezpečí. Ve větších firmách může takový proces trvat přes rok, v menších i několik měsíců.

Podniky čekají na přesné informace

Nařízení navíc zavádí novou funkci pověřence ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo ve firmách, které zpracovávají velký objem osobních údajů. Povinnosti mít pověřence se tak nejspíš nevyhnou ani soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace používají statisíce lidí.

Kdo všechno bude pověřence potřebovat, ale zatím není zcela jasné. "Zda takového člověka budeme muset jako výrobní podnik zaměstnat, zatím nevíme. Toto nařízení jsme začali řešit až začátkem tohoto roku," říká šéfka zaměstnaneckého odděleni mostecké firmy Keramost Petra Ulrychová.

Za pověřence není možné jmenovat třeba podnikové personalisty nebo šéfy IT oddělení. "Kontrolovali by sami sebe. Takový střet zájmů není přípustný," vysvětluje Ivana Janů, šéfka Úřadu pro ochranu osobních údajů, který bude dodržování nařízení kontrolovat. Proto se na GDPR připravují zvláště právníci a IT firmy, jež hodlají podnikům pověřené ochránce dat dodávat zvenčí.

Před poradenskými firmami ale varuje Asociace malých a středních podniků (AMSP). "Poradenské společnosti se snaží podniky přesvědčit o tom, že musí urychleně do zabezpečení investovat. My jim ale doporučujeme vyčkat, dokud se zcela nevyjasní, jak se každé firmy GDPR dotkne," míní šéf AMSP Karel Havlíček.

Český zákon, jenž má nová pravidla ochrany dat zpřesnit, budou schvalovat až noví poslanci zvolení po říjnových volbách. Ti se k tomu nejspíš dostanou na sklonku letošního roku. "Věci neprospěje, že se řeší ve volebním roce," obává se mluvčí zdravotnické skupiny EUC Dita Fuchsová.

Asociace malých a středních podniků, stejně jako Svaz průmyslu a dopravy ovšem své členy ubezpečují, že je budou o všech novinkách týkajících se GDPR průběžně informovat.

Více se o tématu nařízení GDPR dozvíte ve středečním vydání časopisu ICT Revue.