Český trh diskutuje o nákladnosti zavedení EET. Ovšem pozor! Blíží se k nim další regulace! Náklady na její zavedení budou ještě vyšší a její porušení přináší i tvrdší sankce. Ovšem většina firem o ní zatím vůbec netuší. V květnu příštího roku (2017) přitom startuje obecné nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie. Úniky osobních dat trestá pokutami až ve výši 4% z jejich hrubých ročních tržeb nebo maximálně 20 miliony eur (540 miliony korun).
A o co se jedná?
- České firmy i státní úřady čeká už za několik měsíců povinnost lépe chránit osobní data, jež spravují.
- Podle evropského nařízení na ochranu osobních dat musí všechny organizace všechny úniky takových informací hlásit, a pokud data dostatečně nezabezpečí, hrozí jim pokuta až ve výši 540 milionů korun.
- Většina firem o nové povinnosti zatím neví. Odborníci přitom radí začít s přípravami už nyní.
Ochraně dat se nikdo nevyhne
Nová evropská norma se týká všech firem i státních organizací, jako jsou nemocnice či města a obce. Ty budou nově muset osobní data zabezpečit jejich šifrováním nebo anonymizací, aby se z nich nedala vyčíst identita konkrétní osoby. Významnější úniky budou povinně hlásit státnímu regulátorovi (ÚOOÚ) a pak o nich také informovat všechny poškozené klienty nebo vlastní zaměstnance. Většina podniků a úřadů bude muset navíc zřídit funkce takzvaných pověřenců na ochranu osobních údajů, kteří budou v organizacích dohlížet na bezpečnou správu citlivých údajů. Jenom státní úřady by měly takových lidí podle odhadů vládní pracovní skupiny zaměstnat až 13,5 tisíce. Nemůže přitom jít o lidi, kteří už pro dotčené organizace pracují třeba jako právníci nebo IT ředitelé.
V rozhovoru pro Hospodářské noviny, uvedla mluvčí České spořitelny - Klára Zelenková - že u menších firem by se náklady na zabezpečení dat mohly pohybovat v řádu stovek tisíc. Například v případě České spořitelny se náklady odhadují na desítky milionů korun. Většina podniků přitom o chystaném nařízení ještě vůbec neví. Podle Asociace malých a středních podniků je na nové podmínky zabezpečení údajů připravena necelá desetina menších firem. Z ankety Svazu průmyslu mezi 200 českými průmyslovými podniky zase vyplývá, že o nařízení 58 procent z nich dosud neslyšelo.
Jak to vzniklo?
Za nezvykle tvrdou evropskou normou stojí zejména aféra Snowden. Ta proběhla v červnu 2013, kdy zaměstnanec americké NSA Edward Snowden předal světovým médiím informace potvrzující, že tajné služby USA dlouhodobě sledovaly kromě 1,7 milionu Američanů také tisíce Evropanů včetně německé kancléřky Angely Merkelové.
Navíc se ukázalo, že americké tajné služby neoprávněně využívaly osobní údaje evropských klientů amerických firem jako Facebook nebo Microsoft. Tomu všemu má nynější evropské nařízení zabránit.
"Tato aféra se přitom vůbec netýkala vztahů v byznysu a jen podpořila vlnu hysterie, v níž bylo nařízení následně schváleno Evropským parlamentem," míní Milena Jabůrková ze Svazu průmyslu, který se teď snaží s vládou dohodnout na měkčích národních pravidlech, jež by české podniky v jejich byznysu příliš nesvazovala.
Svaz o celé věci jedná také s Úřadem na ochranu osobních údajů, který bude dodržování ochrany osobních dat kontrolovat. "Zástupci úřadu nám řekli, že si nedovedou v českém prostředí představit ukládání tak vysokých maximálních pokut, jaké GDPR umožňuje. Na druhou stranu ale firmám nikdo nemůže zaručit, že budou postihy za úniky osobních dat v Česku nižší. Musíme se zkrátka řídit zněním nařízení," doplňuje další zástupkyně Svazu průmyslu Tereza Šamanová. Úřad na ochranu osobních údajů se zatím k dotazům HN nevyjádřil.
Začít můžete hned!
Některé firmy, které se zabývají vývojem antivirových programů, již nyní nabízí šifrovací software, který by firemní zákazníci mohli k zabezpečení citlivých údajů využít. Na start GDPR se chystají také poskytovatelé služeb internetových úložišť - cloudů jako česká pobočka Microsoftu nebo DataSpring ze skupiny KKCG. Ti uvádějí, že jsou na podmínky nařízení připraveni. To potvrdil i šéf DataSpringu Zdeněk Honek - "Dá se čekat, že řada firem k nám převede osobní data, která spravují. Pak se ale cloudoví poskytovatelé stanou garanty toho, že data neuniknou. V případě nějakého incidentu by totiž vysoké pokuty směřovaly právě na ně".