Je to tu. Ode dneška platí GDPR, nejpřísnější nařízení o ochraně osobních údajů. Jen 3 % firem se cítí dobře připravená. Více než třetina evropských firem ale říká, že připravená není. Co že se to vlastně s dnešním datem 25. května změní? Měly by se firmy bát, že když GDPR nestihly doteď, hrozí jim ohromné postihy? Anebo je to všechno jen jedna velká nafouknutá bublina a zas tak nic hrozného se neděje? Co bude dál?
Pokuty za nesplnění GDPR
Termínem 25. 5. 2018 jsme se všichni nechali děsit více než rok. Vyhrožovali nám přísnými kontrolami a vysokými pokutami, které by pro některé firmy mohly být klidně likvidační. A vzápětí začali prohlašovat, že to zas tak horké nebude.
Novinky.cz: Za porušení GDPR hrozí pokuta až 500 miliónů. Sankce nebudou likvidační, slibuje úřad
ÚOOÚ pravděpodobně nezačne udělovat řádově vyšší pokuty jen kvůli GDPR, nemá k tomu důvod. Od začátku se snaží situaci spíše uklidnit a ani v návrhu zákona o zpracování osobních údajů nejsou žádné extrémy. Naopak se do něj dostalo snížení pokuty na 10 milionů korun.
Ale všichni tak trochu čekáme na precedens. Na první případ úniku dat po 25. květnu. Teprve ten ukáže, jak moc bychom se měli GDPR bát. Pokud přijde první velká pokuta, můžeme očekávat obrovský nárůst zájmu o pomoc se splněním GDPR u firem, které jej doteď ignorovaly anebo přinejmenším braly na lehkou váhu.
Bát se kontrol ÚOOÚ? Spíš lidí, kteří budou chtít poškodit firmu a její pověst
Ačkoliv ÚOOÚ slibuje, že pokuty budou přiměřené, to, čeho bychom se měli všichni bát, je zlomyslnost lidí a poškození reputace. Snadno se totiž může stát, že někdo bude chtít poškodit firmu, která mu není sympatická. Může jít jen o bezvýznamné drobné pochybení, jež však může vyústit v rozsáhlou kontrolu. Fyzické osoby mohou žalovat správce i zpracovatele osobních údajů a nárokovat si náhradu škody v případě hmotné i nehmotné újmy. Takové obvinění bude dozajista propíráno v médiích, což bude mít za následek to nejhorší, co se může firmě stát. A sice poškození reputace či ztrátu důvěry. Pokuta je totiž jednorázové vyrovnání, ale napravit poškozenou reputaci, to je mnohem delší a nákladný proces s nejistým výsledkem.
GDPR není žádná revoluce
O GDPR se často mluví jako o revolučním nařízení na ochranu osobních údajů. To však není úplně pravda. Už před ním jsme měli zákon č. 101/2000 Sb. o ochraně osobních údajů, který se v základních principech a povinnostech shoduje s GDPR. Mediální masáž kolem GDPR byla pro některé firmy a jednotlivce spíše cestou ke zviditelnění. Častokrát kvůli tomu unikly do médií informace, které nedávaly smysl anebo pramenily z nesprávného pochopení požadavků nařízení. Začal se tak šířit strach z revolučního nařízení GDPR a z vysokých pokut, které umožňuje uložit.
Technet.cz: Podnikatelé budou za porušení GDPR trestáni přísně, úřady výrazně méně
Revoluční je spíše přístup firem k novému nařízení GDPR, které prakticky jen opakuje a mírně rozšiřuje již zmíněný zákon. Teprve s příchodem GDPR začínají firmy řešit něco, co měly mít už dávno zajištěné.
Mediální kolotoč
Co se rozhodně změní s novou povinností hlásit incidenty, je veřejná diskuze. Podle našich zkušeností dochází k únikům osobních dat naprosto běžně. Jen se o tom nemluví, protože firmy doposud neměly povinnost bezpečnostní incidenty hlásit. Většinou je zvládly vyřešit v tichu a ututlat je před veřejností. Nově však musí každý incident hlásit do 72 hodin od zjištění a v některých případech dokonce informovat poškozené. To zajisté povede k medializaci a podnítí to veřejnou diskuzi o samotných únicích, ale hlavně i o ochraně osobních údajů. To ale není nutně nic negativního. Subjekty údajů mají totiž silnější práva. A zaměstnanci i firmy jsou nucení více se zamýšlet nad tím, jak pracují s citlivými daty. A to je jedině dobře, protože doposud se s osobními údaji zacházelo spíše nerozvážně. Budiž důkazem jeden z posledních průzkumů, který odhalil, že je na internetu veřejně k dispozici přes 1,5 miliardy citlivých dokumentů.
E15.cz: Na internetu je veřejně k dispozici přes 1,5 miliardy citlivých dokumentů
Ve zkratce. Co bude jinak a co zůstává při starém?
Co se nezmění:
- Kompetence a pravomoc v dohledu nad ochranou osobních údajů bude mít stále ÚOOÚ.
- Úřad pravděpodobně nezačne udělovat řádově vyšší pokuty. Od začátku se snaží situaci spíše uklidnit. I v návrhu zákona o zpracování osobních údajů je snížení pokuty na 10 milionů korun.
- Nemění se definice toho, co je osobní údaj.
- Nejdůležitější požadavky na firmy zůstávají stejné – na legalitu, minimalizaci a transparentnost.
- Pořád bude velké množství organizací, které ochranu osobních údajů neřeší a řešit nebudou. Alespoň dokud nedojde k incidentu nebo nedostanou pokutu.
- Nezmění se základní principy a povinnosti co se ochrany osobních údajů týče (ÚOOÚ: Desatero omylů o GDPR).
Co se změní:
- Práva subjektů údajů jsou značně posílena.
- Není třeba hlásit zpracování osobních údajů na ÚOOÚ (povinné jsou jen předběžné konzultace dle potřeby při posouzení vlivu).
- Vzniká povinnost hlásit incidenty do 72 hodin od zjištění. To nejspíš povede k větší medializaci a veřejné diskuzi o únicích osobních dat.
- Očekáváme, že se objeví pár jedinců, kteří zneužijí svá nová práva, aby administrativně zatížili anebo jinak poškodili firmu, která jim není sympatická.
- Díky změnám začne více organizací reálně řešit ochranu osobních údajů, protože zjistily, že to musí dělat. To povede celkově ke zvýšení datové bezpečnosti, za což bychom měli být všichni rádi, protože GDPR má chránit osobní údaje každého z nás.
Ověřte si, že jste se na GDPR připravili dobře. Přijďte na náš webinář GDPR v praxi: nejčastější omyly a opomenutí.