Nová evropská pravidla o ochraně osobních údajů mají od května příštího roku udělat přítrž nekontrolovanému "obchodu" s daty. Předávání údajů klientů bez jejich souhlasu třetím subjektům bude zakázáno. Pokuty za porušení pravidel hrozí likvidací hříšníků. Mohou přesáhnout půl miliardy korun, anebo může chybující organizace stihnout i úplný zákaz práce s osobními daty. Nařízení, mezi odborníky známé pod zkratkou GDPR, tak mění v celé Evropě základní principy ochrany osobních údajů, jejich definici i základní pohled na práci s nimi.

Navzdory hrozbám se ale zatím české firmy do příprav na novinky nehrnou. Bezmála třetina jich o regulaci, která je čeká, vůbec neví. Mezi státními institucemi, pro které nařízení platí také, je to dokonce 40 procent. "Náš plán je, že bychom se tomu měli začít intenzivně věnovat v září. Díky certifikaci ISAE, kterou používáme, máme náskok, rozsah přípravy na nové nařízení odhadujeme maximálně na šest měsíců," míní Jan Mrvík, výkonný ředitel společnosti Editel, která se zabývá elektronickou výměnou dokumentů. Jasnou představu o tom, jaké konkrétní dopady bude na jeho podnik nařízení mít, zatím nemá. A podobně jsou na tom podle průzkumu agentury IDC čtyři z pěti malých a středních firem.

"Povědomí o nařízení je poměrně dobré v Praze, mimo hlavní město pak významně klesá. Celkově jsme bohužel přesvědčeni, že podniky připraveny nejsou," popisuje aktuální situaci v byznysu členka představenstva Svazu průmyslu a dopravy ČR Milena Jabůrková.

Úkoly na rok

Přípravy přitom nebudou snadné. Nařízení žádá, aby správci dat od firem přes státní úřady, vesnice a města až po nemocnice provedli komplexní revizi svých vnitřních pravidel a procesů, udělali desítky analýz a identifikovali rizika, která jim ze zpracování osobních dat občanů, klientů, zaměstnanců nebo obchodních partnerů plynou. Teprve podle nich mohou navrhovat konkrétní opatření, která budou muset přijmout.

"V některých společnostech bude kromě organizačních a právních kroků potřeba i změna celého IT systému či datové architektury a rok, který na to odteď mají, je nezbytné minimum," upozorňuje Jabůrková. Podle odhadů technologické společnosti Avnet jen datový audit, který má dát organizacím odpověď na to, co, kde, jak a proč s osobními údaji dělají, zabere ve společnosti s tisícovkou zaměstnanců 6 až 12 měsíců. Implementace nového softwaru a hardwaru spolu s úpravou interních směrnic, procesů a proškolení zaměstnanců v oblasti ochrany dat si pak vyžádá nejméně další tři měsíce. Příprava na novinky se tak snadno může přehoupnout až za termín jejich účinnosti.

Česká republika v přípravách zaostává i za okolními státy. "V Česku je to stále velmi opomíjená záležitost," říká eurokomisařka Věra Jourová, která na přípravu na GDPR napříč EU dohlíží. A dodává: "Naopak máme v EU země − typicky Německo −, kde je obrovská politická priorita mít ochranu soukromí lidí na co nejvyšší úrovni. GDPR je tam silné téma pro vládu i pro média."

Horší než Slovensko

Pozadu je Česká republika také ve srovnání se Slovenskem. Tam už o nařízení ví 89 procent firem, zatímco v Česku je to jen 69 procent. Slovensko už v roce 2013 přijalo přísný zákon na ochranu osobních údajů, který staví na některých principech GDPR. Tamní podniky tak už zpracovávají bezpečnostní projekty a musí povinně zaměstnávat osobu odpovědnou za ochranu osobních údajů. "Na Slovensku tedy informační kampaň již proběhla v minulosti. Pro nás jsou všechna tato opatření novinkami," vysvětluje Jabůrková.

Česko svůj zákon o ochraně osobních údajů ani do účinnosti nařízení nejspíš upravit nestihne. Ministerstvo vnitra plánuje předložit návrh změn vládě až v srpnu. Na setkání s eurokomisařkou Jourovou národní koordinátor digitální agendy Ondřej Malý varoval, že legislativní proces průměrně trvá 11 až 12 měsíců. Tentokrát navíc schvalování zákona přetnou podzimní sněmovní volby. O normě tak budou moci hlasovat až nově zvolení poslanci. I to zákon zdrží a správce osobních údajů to od příprav odrazuje. Bojí se, že nalijí peníze do projektů, které se ve světle národních pravidel ukážou jako zbytečné.

"Jak již tomu v případě obdobných nařízení bývá, musí se objevit nějaký obětní beránek, díky kterému vážnost situace pochopí většina organizací. K tomu, aby firmy začaly brát GDPR opravdu vážně, bude zapotřebí exemplární pokuty," míní Robin Bay ze společnosti Trend Micro, která se zabývá internetovou bezpečností. Výši pokut, které mohou podle nových pravidel za chyby hrozit, nyní zná jen osm procent společností. Přispívá k tomu i to, že doposud v Česku žádné významné sankce za narušení bezpečnosti dat nehrozily. K historicky nejvyšším, které Úřad pro ochranu osobních údajů za únik dat o klientech udělil, patřila loňská pokuta pro mobilního operátora T-Mobile. Za ztrátu dat více než milionu lidí firma tehdy zaplatila 3,6 milionu korun.