5 nejčastějších otázek a odpovědí k GDPR

Je Česká republika na GDPR dobře připravená?

Z průzkumu Svazu průmyslu a dopravy ČR vyplynulo, že na konci roku 2016 přes 60 % firem nemělo o GDPR žádné povědomí. Od té doby se o nařízení zajímaly a podnikly kroky, aby se na něj nachystaly.

Netroufáme si ale odhadovat, kolik procent firem je na nařízení skutečně připraveno. Podle našich zkušeností z Akademie GDPR, na které jsme firmám v průběhu minulého i letošního roku vysvětlovali, jaké změny pro ně z nařízení vyplývají, víme, že převážná většina firem není na účinnost nařízení zatím dobře přichystána. Dokonce ani podniky, které deklarují, že jsou připraveny stoprocentně, nemusí při kontrole obstát. Je to díky nejasnosti výkladu některých ustanovení nařízení. Podniky navíc mají pocit, že je nutné čekat na schválení národní legislativy. Skutečnou připravenost, ukáže až praxe. To, co chybí, je ucelená, systematická kampaň, osvěta doplněná podporou, něco, co jsme zažili u EET. Přitom dopad nařízení ve srovnání s EET je daleko závažnější.

Co pro firmy obnáší uvést toto nařízení do praxe?

Společnosti i další organizace, které schraňují osobní údaje a nakládají s nimi, si musí provést kompletní revizi způsobu práce s osobními daty a jejich zpracováváním a nakládáním na všech firemních úrovních a ve všech systémech. Musí se zaměřit i na datovou architekturu a zařadit ochranu osobních údajů mezi prioritní témata v chodu organizace. Některé podniky navíc musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii bezprostředně spadat pod vedení firmy. Pokud společnosti budou zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně.

Jak je pro firmy finančně náročné uvést GDPR do praxe?

Jednorázové vstupní finanční náklady odhadujeme řádově od vyšších desítek až nižších stovek tisíc korun u malých a mikrofirem až po jednotky milionů u firem středních. U velkých nadnárodních firem se může jednat o částky až v desítkách milionů korun. Podniky musí počítat i s dalšími pravidelně se opakující náklady, jako jsou odměny a zajišťování kvalifikace pověřenců, posudky o souladu postupů firem s GDPR a hodnocení dopadů u nových produktů a služeb na ochranu údajů. Tam lze očekávat, u firem všech velikostí, další náklady ve výši vyšších desítek a nižších stovek korun měsíčně.

Podařilo se firmám rozlišit skutečné povinnosti od dezinformací, které kolem GDPR kolují?

Dezinformace, které se v souvislosti s GDPR objevují, a to i v médiích, vnímáme jako velkou bolest. Ve Svazu průmyslu jsme se doposud zaměřovali na to, abychom firmám pomohli se na nařízení připravit. Nyní chceme věnovat úsilí tomu, abychom pomohli rozptýlit dezinformace, které kolují, a firmy tak nevynakládaly zbytečně ani peníze ani lidskou kapacitu.

Jedním z příkladů takové fámy je domněnka, že souhlas se zpracováním osobních údajů je vždy nutný a řeší vše. Často ale není vůbec zapotřebí, důležitější je naopak plnění právních povinností, plnění smluv nebo tzv. oprávněný zájem správce údajů.

Doposud nemáme národní legislativu. Neměly na ní firmy při přípravě na GDPR počkat?

Jedná se o nařízení, které platí bez ohledu na vnitrostátní legislativu přímo. Na nový zákon o zpracování osobních údajů není třeba čekat. GDPR upravuje pozici správců údajů a jejich subjektů, jejich vzájemná práva (resp. práva subjektů údajů) a povinnosti (resp. povinnosti správců a zpracovatelů údajů) a firmy i organizace se tedy mohou v plném rozsahu při své přípravě opřít o text nařízení samotného a nemusejí čekat na národní úpravu.