Velké i menší české společnosti, které provozují své dceřiné firmy také v jiných členských státech Evropské unie, budou v příštích měsících nejspíš řešit zajímavé dilema: jak splnit tvrdá pravidla nového evropského nařízení na ochranu osobních údajů (GDPR) a přitom se vyhnout přísnějšímu dohledu úřadů v Německu nebo v Nizozemsku.

GDPR evropským firmám, úřadům či nemocnicím od května 2018 ukládá, aby osobní data svých zaměstnanců, klientů nebo pacientů lépe zabezpečily třeba za pomoci šifrování. Každá organizace přitom musí příslušnému národnímu úřadu pro ochranu osobních údajů pravidelně hlásit, jak s takovými daty nakládá, a prokázat, že jsou v bezpečí. Jinak jí v případě jejich úniku hrozí pokuta až ve výši 20 milionů eur (520 milionů korun), případně čtyř procent globálního obratu firmy − podle toho, která suma bude vyšší.

Domácí Úřad pro ochranu osobních údajů (ÚOOÚ) se už nechal slyšet, že bude k podnikům shovívavý a k ukládání maximálních pokut nejspíš nepřistoupí. Zahraniční filiálky tuzemských firem se ale musí připravit na to, že řada národních úřadů v západní Evropě bude pochybení v ochraně dat trestat mnohem tvrději. "Už nyní je jasné, že nejpřísnější budou při kontrolách Němci, Britové a také Nizozemci," říká právnička Eva Škorničková, která provozuje web GDPR.cz.

Seriál HN k ochraně dat GDPR

11. 10.

Jak na souhlasy se zpracováním dat

18. 10.

GDPR a marketing

25.10.

GDPR a fintech

Český úřad nemusí stíhat, Němci jsou připraveni

Podle unijního nařízení se musí každá firma při ochraně soukromí zodpovídat úřadu v zemi, kde sídlí. Pokud ale osobní údaje zpracovává také její firemní pobočka třeba právě v Německu, musí společnost komunikovat také s tamními úřady. A s těmi se pak nejspíš bude český ÚOOÚ dohadovat o tom, jak případného firemního hříšníka společně potrestají.

"Dovedu si proto představit, že společnosti začnou kalkulovat s tím, jak přísně budou ochranu dat posuzovat v různých členských státech, a začnou zpracování svých údajů přesouvat tam, kde budou úřady benevolentnější," míní Škorničková. Její slova potvrzuje i největší tuzemský e-shop Alza, který působí v dalších třech státech EU. "Osobní údaje budeme zpracovávat v Česku," uvádí pro HN mluvčí firmy Patricie Šedivá. A stejně k věci přistoupí i domácí výrobce mobilních her Gamee, který je sice formálně britskou společností, ochranu dat však bude řešit jeho česká filiálka s tuzemským úřadem.

Ani tak se ale české společnosti dohledu "datových úředníků" z ciziny mnohdy nevyhnou. "Pokud třeba tuzemská firma zaměstná občana Německa a dojde v ní ke zneužití jeho údajů, bude případ nejspíš řešit jak český, tak německý úřad," vysvětluje Nikolay Chernomorsky, ředitel poradenského týmu agentury Deloitte, která se na GDPR zaměřuje.

Chernomorsky podotýká, že český ÚOOÚ bude nejspíš se startem nového nařízení zavalen prací, protože stát příliš nenavýší počet jeho úředníků, takže by úřad nemusel stíhat vše vyřizovat. "V Německu ovšem vláda masivně počet zaměstnanců tamního úřadu pro ochranu údajů posiluje. A ten už si navíc vytipovává problematické firmy k budoucím kontrolám," tvrdí zástupce Deloittu. Proto se podle něj českým podnikům s německou pobočkou nevyplatí přípravu na GDPR podceňovat.

V cizině se může ochrana dat lišit

Co je GDPR?

General Data Protection Regulation je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.

Nová unijní pravidla na ochranu soukromí mají formu evropského nařízení, což znamená, že by měla platit ve stejné podobě ve všech státech osmadvacítky. Některá ustanovení GDPR jsou ovšem natolik obecná, že členským zemím umožňují je ještě dále zpřesňovat v národních zákonech.

A jsou to opět zmiňovaní Němci, kteří jdou v ochraně dat nejdál ze všech Evropanů. "Německo už svůj národní zákon přijalo a v mnoha směrech v něm stanovilo tvrdší opatření, než jaká zavádí evropské nařízení," říká Škorničková.

Příkladem je povinnost zřizovat funkci takzvaného pověřence ochrany dat. Ten bude mít za úkol kontrolovat dodržování pravidel nařízení GDPR a musí ho mít všechny podniky, které nakládají s velkým objemem osobních údajů.

V Česku zatím není zcela jasné, kdo všechno bude muset s pověřenci počítat. Jejich nabírání se ale zřejmě nevyhnou ani menší IT firmy, jejichž aplikace používají tisíce lidí. "V Německu šli ještě dál a napevno určili, že pověřence musí mít každá společnost nad 10 zaměstnanců. Nutnosti takového člověka zaměstnat se tak nevyhne ani tamní pobočka české firmy, která zmíněné podmínky splňuje," říká právnička Škorničková.

V Polsku či Británii vědí, co přesně očekávat

Zatímco v Německu už národní zákon k GDPR mají, v ostatních unijních státech včetně Česka se zatím připravuje.

Tuzemský návrh zákona, který by měl parlament schválit na přelomu roku, je podle expertů příliš obecný, a konkrétní pravidla pro novou ochranu dat tak nejspíš stanoví až praxe. Firmy, jež se chtějí v problematice GDPR zorientovat, se tak z českého zákona příliš nového nedozvědí.

"Jinak je to na Slovensku, kde je tamní návrh národního zákona srozumitelnější," uvádí Škorničková, podle níž se ale od Slováků nečeká, že by byli při kontrole dat přísní stejně jako Němci.

Také chystaný polský zákon o ochraně osobních údajů zpřesňuje pravidla GDPR více než v Česku. A navíc zmiňuje i nutnost novel dalších národních zákonů, které se budou muset kvůli evropskému nařízení upravit, aby s ním byly ve shodě. Chernomorsky z Deloittu upozorňuje na to, že Poláci budou zřejmě v posuzování nových datových pravidel přísní. "Část britských firem do země přesunula svá oddělení, která data zpracovávají, aby po brexitu zůstala uvnitř EU. Polsko tedy bude kontroly v rámci GDPR nejspíš řešit více než jiné státy střední a východní Evropy, a to i z tohoto důvodu," předpokládá.

Evropské nařízení se přitom nevyhne ani Velké Británii. "GDPR začne platit ještě před brexitem. I po něm ale budou Britové ochranu dat ve spolupráci s EU řešit, aby měli přístup na unijní trh," zmiňuje Škorničková. Podle ní se mohou tuzemské podniky i úředníci inspirovat právě u Britů. Jejich úřad ICO prý o GDPR informuje velmi srozumitelně a podobně se to má také s britským návrhem zákona na ochranu dat.

Související