Za její porušení hrozí tvrdé sankce. Ty mohou v konkrétním případě dosáhnout až 20 milionů eur (přes 500 milionů korun), nebo až 4 % celkového ročního světového obratu firmy. Vzhledem k charakteru evropských direktiv o nich nerozhodují vlády jednotlivých zemí, ale vejde v platnost automaticky, a to bez ohledu na činnost, či lépe nečinnost české národní administrativy. Státy ale mohou některá pravidla GDPR upřesnit formou národních zákonů, což se zatím u nás nestalo.
Včera bylo pozdě
Na čem se odborníci ze všech segmentů shodují, je to, že doba, kterou máme nyní k dispozici, je pro vyhovění všem požadavkům GDPR krátká. Nestihne to pravděpodobně ani ten, kdo tedy začal s ročním předstihem. Bohužel je v této situaci pravděpodobně velká část firem a patrně i státních institucí. Co s tím? Důležité je nerezignovat. Je třeba začít okamžitě a pro požadavky, které přináší GDPR, vytvořit plán pro jejich implementaci a nastavit odpovídající firemní procesy.
Pokud totiž budeme vycházet z praxe udělování sankcí za porušování obdobných zákonů (zákon o kybernetické bezpečnosti, zákon o ochraně osobních údajů), výše pokuty je sice úměrná závažnosti incidentu, ale může být výrazně nižší, pokud dotčený subjekt prokáže systematicky zodpovědný přístup.
Komplikovanější než EET
S GDPR jsou spojeny nemalé finanční náklady na zavedení potřebných opatření i investice na průběžné dodržování nově stanovených pravidel. „Ohledně důležitosti a náročnosti příprav je GDPR srovnatelná s EET. Česká vláda by měla urychleně adaptovat právní prostředí, tak aby se na ni mohli firmy, podnikatelé, organizace i státní instituce dobře připravit a nemuseli platit pokuty,“ upozorňuje Stanislav Klika z auditorské a poradenské společnosti BDO. Stará vláda to bohužel nestihla a pro novou to nemusí být nutně priorita. Navíc je politická situace taková, že není vůbec samozřejmé, že vláda, která má být jmenována 13. prosince 2017, vůbec získá důvěru a nebude ještě (několikrát) rekonstruována. Legislativní úpravu zavádějící GDPR do českého právního řádu bude muset připravit nová vláda a schválit ji nová Poslanecká sněmovna.
Pokud bude politická situace nestabilní a oba kroky se nepovedou, bude to pro všechny správce a zpracovatele osobních údajů velké riziko. Nebudou tedy zrušeny existující předpisy upravující ochranu osobních údajů a situace bude pro adresáty nových povinností GDPR značně nepřehledná, protože nebude jednoznačné, jakými pravidly se kdo má řídit. Aby se výkladovým a aplikačním potížím zabránilo, nová vláda musí co nejdříve oznámit podobu adaptačního zákona, jenž připraví právní rámec pro GDPR. To se ovšem může stát až na poslední chvíli, a bude se tak opakovat situace, kterou jsme zažili u EET, kdy ještě několik dnů před účinností zákona nebyla jasná všechna pravidla.
U GDPR bude ale realizace mnohem komplikovanější z technického i administrativního hlediska. Řada firem nabízí svá řešení pro GDPR, ale při bližším zkoumání se ukáže, že uvedené řešení pokrývá jen určitý segment problémů, které musí firma všechny vyřešit. Na druhou stranu se české organizace postavily k nové direktivě zodpovědně, ostatně její zavedení je pro ně i obchodní příležitostí. Prakticky všechna nyní dostupná řešení jsou „GDPR ready“. Typicky se to týká podnikového softwaru, služeb datových center i některého kancelářského hardwaru.
Navíc by každý subjekt nově měl mít určeného, na vedení nezávislého pověřence pro ochranu dat (DPO, Data Protection Officer), který bude veškerou agendu ohledně ochrany soukromí koordinovat a kontrolovat. V současné době se odborníků se znalostí IT (ta je ve většině případů jedním z předpokladů) zoufale nedostává; je tak otázka, zda se potřebný počet manažerů DPO podaří zajistit.
