Až třináct tisíc nových úředníků zaměstná český stát na ochranu osobních dat. U tuzemských firem pak bude počet podobných zaměstnanců nejspíš ještě vyšší. Hromadný nábor nových lidí čeká podniky kvůli evropskému nařízení na ochranu osobních údajů (GDPR). Platit bude od května příštího roku a všem firmám v Evropské unii, státním úřadům, nemocnicím nebo městům nařizuje povinnost chránit osobní data před zneužitím. Počty nových lidí potřebných pro úřady a firmy odhadla pracovní skupina vlády, která se na nařízení připravuje.

"Může se zdát, že je na přípravu spousta času. Velkým firmám ale zabere nejméně rok, než provedou inventuru svého zacházení s osobními daty. Samotné zavedení jejich zabezpečení pak může trvat i několik měsíců," míní právnička Eva Škorničková, jež se bezpečnosti dat věnuje.

Společnosti tak budou citlivá data svých klientů i zaměstnanců povinně šifrovat nebo anonymizovat, aby se z nich nedala vyčíst identita osoby. Před uvedením nového výrobku nebo služby na trh navíc budou muset vyhodnotit možná rizika úniku osobních informací.

Co musí firmy udělat?

1. Zavést systém ochrany dat

Firmy, které pracují s osobními daty občanů Evropské unie, si budou muset ujasnit, jaká data sbírají a k čemu je využívají. Musí si určit pravidla, jak s nimi budou pracovat. Povinnost platí i pro ty společnosti, které sídlí mimo území unie.

2. Jmenovat odpovědnou osobu

Ti, kteří zpracovávají osobní data ve větším rozsahu, musí jmenovat osobu, která bude za dodržování ochrany dat odpovídat. Má být členem představenstva firmy a šéfovat bude oddělení, které na ochranu osobních údajů v rámci dané společnosti dohlédne. Nesmí ale jít o člověka, který s osobními daty firmy běžně zachází, jako třeba firemní právník nebo IT ředitel, aby nedošlo ke střetu zájmů a spojení funkce kontrolora dat s jejich uživatelem.

3. Zajistit bezpečnost dat

Jednotlivé firmy musí zaručit, že pro bezpečnost dat dělají skutečně maximum. Očekává se, že budou muset investovat do nových systémů a posílit opatření, která úniku dat brání. Správu dat také mohou přenést na specializované firmy nabízející cloudová řešení. Tyto firmy by pak pohlídaly data za ně.

4. Získat od klientů souhlas

Lidem by firmy měly jasně a srozumitelně říkat, jaká data od nich sbírají a za jakým účelem. Nebude už proto možné dát klientům odsouhlasit mnohastránkový dokument s kompletními podmínkami napsaný nesrozumitelnými výrazy a drobným písmem.

5. Umožnit lidem data vymazat

Evropská unie chce, aby měli lidé přehled, kdo jejich data má, jaké informace o nich sbírá a co s nimi dělá. Lidé také nově získají právo požádat o vymazání svých osobních informací u jejich zpracovatelů. Firma by jim potom měla vyhovět.

Náklady podniků půjdou do milionů

Nové administrativní a bezpečnostní náklady tak menší firmy vyjdou na statisíce korun. Oslovené banky nebo průmyslové giganty jako ČEZ pak mluví o desítkách milionů. Za nesplnění nového nařízení budou přitom firmám hrozit vysoké pokuty.

Pokud u nich k úniku dat dojde, budou jej muset do 72 hodin od zjištění incidentu nahlásit Úřadu na ochranu osobních údajů. Všem poškozeným osobám pak své pochybení musí oznámit.

"Třeba automobilky, které sbírají množství dat o pohybu svých klientů-řidičů, by v případě úniku čelily tisícům žalob od poškozených. Pokuta za porušení nařízení by pak mohla být likvidační," uvádí Škorničková, která připomíná případ českého T-Mobilu.

Ten loni v srpnu dostal za únik dat 1,2 milionu svých zákazníků pokutu 3,6 milionu korun. Podle nových pravidel by mu hrozila sankce až čtyř procent hrubých ročních tržeb jeho mateřské společnosti nebo maximálně 20 milionů eur, tedy 540 milionů korun.

"V tomto případě by se ovšem pokuta nejspíš počítala z obratu zdejší pobočky firmy, protože k úniku dat došlo v Česku. V T-Mobilu by muselo dojít k mnohem většímu úniku dat i v ostatních zemích, aby se pokuta počítala z jeho globálních tržeb," upřesňuje právnička. Nová pravidla podle ní nahrávají nadnárodním společnostem, které své divize rozdělují do samostatných firem. "Ty by se mohly drastickému výpočtu pokuty vyhnout," dodává.

Za vše může Snowden

Za nezvykle tvrdou evropskou normou, která navíc manažery firem v případě bezpečnostního pochybení vystaví trestní odpovědnosti, stojí zejména aféra Edwarda Snowdena z roku 2013. Tehdy vyšlo najevo, že americké tajné služby neoprávněně využívaly osobní údaje evropských klientů amerických firem, jako je Facebook nebo Microsoft. Tomu má nynější evropské nařízení zabránit.

"Nesmí se opakovat případy, kdy firmám kvůli nedostatečnému zabezpečení uniknou osobní data klientů. Každý z občanů by měl jasně vědět, jak s jeho osobními daty společnosti zacházejí," říká státní tajemník Tomáš Prouza, který má přípravu na start nařízení v Česku na starosti.

Na jeho úřad už přitom tlačí Svaz průmyslu, který se snaží s vládou dohodnout na měkčích národních pravidlech. "Obecně prosazujeme, aby na české společnosti dopadla co nejnižší administrativní zátěž, která bude se zaváděním nařízení neodmyslitelně spojena. Rozhodně bychom neměli jít nad rámec povinností, které norma ukládá," uvádí Milena Jabůrková ze Svazu průmyslu.

Svaz o celé věci jedná také s Úřadem na ochranu osobních údajů, který bude dodržování ochrany dat kontrolovat. "Jeho zástupci říkají, že si nedovedou v českém prostředí představit ukládání tak vysokých pokut, jaké GDPR umožňuje. Na druhou stranu ale firmám nikdo nemůže zaručit, že budou postihy za úniky osobních dat v Česku nižší. Musíme se zkrátka řídit zněním nařízení, které je pro všechny členské státy závazné a totožné," doplňuje další zástupkyně Svazu průmyslu Tereza Šamanová.

Podstatná pro start nového pravidla přitom bude novela českého zákona na ochranu osobních údajů, kterou připravuje ministerstvo vnitra a kterou by vláda měla projednat letos v srpnu.

Zatímco stát se na evropské nařízení připravuje, podniky o něm zatím příliš nevědí. Anketa, kterou Svaz průmyslu provedl mezi dvěma sty průmyslovými podniky, například ukázala, že o nařízení 58 procent z nich dosud neslyšelo. "Podle mých odhadů mezi menšími a středními firmami zabezpečení osobních dat řeší méně než 10 procent společností," myslí si Karel Havlíček, předseda Asociace malých a středních podniků, která rovněž začala své členské podniky na evropské nařízení připravovat.

Bezpečnostní firmy čekají hody

Kdo už ale na zabezpečení dat připraven je, jsou bezpečnostní a antivirové firmy, pro něž by v Česku mohl vzniknout zcela nový trh o velikosti stovek milionů korun.

"Rozhodně chceme příchodu tohoto nařízení využít. Je to příležitost, jak získat nové klienty," uvádí šéf byznysového vývoje slovenské antivirové firmy Eset Pavol Balaj. Jeho firma nabízí šifrovací software, který by firemní zákazníci mohli k zabezpečení citlivých údajů využít. Český Avast se na očekávaný zájem firemních zákazníků zatím nijak nechystá. "Je podstatné zmínit, že firmy musí útok nahlásit, pouze pokud se o něm dozvědí. A na to často nepřijdou ani velké společnosti," míní ředitel antivirové společnosti Vincent Steckler, podle něhož beztak většina firem už nějak svou kybernetickou bezpečnost řeší.

Opačný názor ale mají poskytovatelé služeb internetových úložišť − cloudů, jako česká pobočka Microsoftu nebo DataSpring ze skupiny KKCG. "Dá se čekat, že řada firem k nám převede osobní data, která zatím spravují. Pak se ale cloudoví poskytovatelé stanou garanty toho, že data neuniknou. V případě nějakého incidentu by totiž vysoké pokuty směřovaly právě na ně," uvádí šéf DataSpringu Zdeněk Honek. Podle něho se tak dá čekat, že by to mohlo vést i ke zdražení cloudových služeb na celém trhu.

"Každý klient očekává dobrou službu za nejméně peněz. Pokud na sebe ale budeme brát rizika takto vysokých sankcí, tak se to nejspíš promítne i v cenách celého trhu," vysvětluje Honek.

Ochrana dat dopadne na tisíce firem