Takřka pár chvil před začátkem účinnosti nového nařízení o ochraně osobních údajů (GDPR) neexistuje téma, které by podnikatelským prostředím rezonovalo víc. Nařízení zavádí nové přísné povinnosti pro zpracovatele údajů a naopak jejich subjektům údajů dává do rukou doteď netušená práva. Za porušení povinností pak firmám i dalším subjektům hrozí vysoké pokuty. O úskalích GDPR i přípravě na něj se mluvilo i na konferenci, kterou v listopadu 2017 pořádalo vydavatelství Mafra a o které píšou jeho Lidové noviny.
Na konferenci nesměly chybět ani komentáře právě o tom, čeho se řada podnikatelů bojí nejvíc – totiž o hrozících astronomických sankcích. Jejich závažnost vystihl Daniel Rous, ředitel bezpečnosti Skupiny ČEZ, když na konferenci poznamenal, že za havárii jaderné elektrárny hrozí nižší pokuty než za porušení nařízení GDPR, které se pohybují v maximálních výších 20 mil. eur nebo 4 procenta z obratu firmy.
Ostatní účastníci konference ale spíše uklidňovali. Třeba Radim Polčák z Masarykovy univerzity nebo Pavel Vinkler z Ministerstva průmyslu a obchodu se shodli, že české firmy se nemusí neúměrně vysokých sankcí bát: vysoká hranice je podle nich nastavena především kvůli největším evropským společnostem. Úřad pro ochranu osobních údajů navíc podle nich zpočátku upřednostní spíše informační kampaň před vysokými sankcemi.
I přesto je nezbytné, aby se firmy, kterých se ochrana osobních údajů dotýká, na příchod nového nařízení co nejlépe připravily – nejen proto, aby předešly pokutám, ale také proto, aby zvládly nadcházející administrativní zátěž. Jak tedy příprava v českém prostředí probíhá?
Již citovaný Daniel Rous celý proces spíše kritizuje. Je podle něj spíše chaotický a nesjednocený – a zaspalo tu především Ministerstvo vnitra, které by mělo přípravu na GDPR koordinovat. Přípravě na GDPR se nicméně systematicky věnují alespoň jiná ministerstva – třeba MPO o nařízení podle LN informuje podnikatele prostřednictvím podnikatelských svazů a připravuje pro ně informační materiály. Podobně aktivní je i Ministerstvo zdravotnictví – to se ale pochopitelně omezuje na organizace, které jsou mu přímo podřízené, a jeho práce tak na běžné podnikatele nedosáhne.
V souvislosti s GDPR se často objevují hlasy, které tvrdí, že většina českých podnikatelů se nařízení nemusí obávat, protože už dosavadní úprava ochrany osobních údajů byla dostatečně přísná. Pro Lidové noviny totéž potvrzuje Radek Policar z Ministerstva zdravotnictví. Neznamená to ale, že by přípravu bylo možné zcela vynechat. Zvýšené administrativní zátěži v souvislosti s účinností se – alespoň podle účastníků konference – firmy nevyhnou. Měly by proto začít přinejmenším zevrubnou analýzou stávající ochrany osobních údajů a pečlivým vyškolením zaměstnanců.