Podnikatelé a manažeři firem všech velikostí a oborů – buďte na pozoru! Zbývá čtrnáct měsíců do doby, kdy nabudou účinnosti nové předpisy pro nakládání s osobními údaji. Vítr tentokrát vane z Bruselu, jde o zavádění evropských pravidel pro ochranu dat.
Nové opatření vyplývá z nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů. Nařízení vešlo ve známost pod názvem General Data Protection Regulation (GDPR). Od 25. května 2018, kdy vstoupí v platnost, přinese povinnosti firmám všech velikostí a oborů, pro něž bude znamenat revoluci v práci s osobními údaji. Ale nejen to. Bude znamenat novou obrovskou administrativní i finanční zátěž.
Šibeniční termín
Zásadní změny v této oblasti dopadnou nejen na podnikatelské subjekty v ČR, ale také v dalších zemích EU. Pokud o této novince zatím nevíte, nejste sami. Podle průzkumu Svazu průmyslu a dopravy ČR (SP ČR) o chystaných změnách v práci s osobními údaji neví téměř 60 % tuzemských firem, natož aby se na ně připravovaly. Podle nařízení GDPR budou firmy muset provést obrovské změny v interních pravidlech a procesech pro práci s osobními údaji a musí se proto na implementaci všech novinek dobře připravit. A to doslova v šibeničním termínu. „Je třeba firmy na nařízení dobře připravit a vysvětlit jim veškeré novinky a zejména rizika, která z nových pravidel pro podniky dle jejich typologie a velikosti vyplývají. Čtrnáctiměsíční lhůta zbývající do nabytí účinnosti nových předpisů je extrémně krátká. Velké a střední firmy se již nyní nacházejí ve fázi, kdy, aby stihly implementovat všechny novinky, musejí v nejbližší době učinit rozhodnutí o tom, jak k jejich naplnění přistoupí,“ říká k tématu členka představenstva SP ČR s gescí pro digitální ekonomiku a předsedkyně pracovní skupiny pro ochranu dat Milena Jabůrková.
Komplikací víc než dost
Zástupci české státní správy a tuzemského byznysu o daném tématu nedávno debatovali s evropskou komisařkou Věrou Jourovou a šlo o diskusi opravdu rušnou.
„Mám zájem dodržet duch nové evropské legislativy, efektivně chrá nit osobní údaje evropských občanů, ale současně nezkomplikovat výkon podnikání v odvětvích, která pracují s osobními daty,“ uvedla eurokomisařka Věra Jourová. Ta také prosadila, aby výkladová vodítka k implementaci nařízení byla vždy konzultována s byznysem tak, aby maximálně zohledňovala potřeby a požadavky podnikatelské praxe.
SP ČR podle dosavadního průběhu předpokládá, že nařízení bude velmi obtížně implementovatelné jednak v národní legislativě (bude vyžadovat schválení velkého balíku legislativních změn). Komplikace způsobí také českým firmám, které často nejsou o nových povinnostech informovány ani připraveny na jejich aplikaci v praxi. Bohužel, i velmi iniciativní firmy, které se již na aplikaci nařízení připravují, mají problém s uvedením všech interních procesů do souladu s nařízením. „Ukazuje se, že výklad nařízení je extrémně nejasný a můžeme očekávat různorodé navazující legislativní změny ve všech členských státech EU,“ upozornila Milena Jabůrková.
Hrozící sankce
Přístup české vlády a státní správy hodnotí SP ČR jako jeden z mála případů dobré praxe při implementaci nařízení v EU – jak čeští vyjednavači, tak i gestoři zodpovědní za implementaci nařízení do českého právního řádu své kroky velmi pečlivě konzultují se všemi zainteresovanými stranami včetně podnikatelů a při Úřadu vlády funguje expertní pracovní skupina pro legislativu v oblasti ochrany dat. „Za náš svaz se snažíme udělat vše pro to, aby firmy měly dostatek relevantních a aktuálních informací. Zároveň od nich sbíráme i zpětnou vazbu o podnikové praxi tak, abychom měli dostatek střeliva pro vyjednávání o textu budoucí nové české legislativy k ochraně osobních údajů,“ doplnila členka představenstva SP ČR.
O tom, že uvedené nařízení nebude pouze nějaký byrokratický čajíček, svědčí i možné postihy. Sankce za jeho nedodržení či porušení budou nemalé. V případě podniku se mohou vyšplhat až do výše 4 % jeho celkového ročního obratu za předchozí rozpočtový rok. I proto je na místě větší informovanost o daném tématu, k čemuž by měla přispět i série regionálních diskusních setkání s podnikateli, pořádaná SP ČR v průběhu letošního prvního čtvrtletí.
