Sociální síť Facebook se od dubna ptá svých uživatelů, jestli může v jejich fotografiích a videích používat technologii pro rozpoznávání obličeje, jestli chtějí i nadále sdílet informace ze svých profilů anebo zda si přejí zobrazovat reklamy cílené na své zájmy. Na svém blogu sociální síť informovala o tom, jak pracuje s osobními údaji dětí a že až do doby, než budou plnoletí, nebudou moci mladí lidé využívat některé funkce sítě, například rozpoznávání obličejů. Při přihlášení dostávají uživatelé také informaci o tom, jaké údaje o nich Facebook sdílí se svými obchodními partnery.

Největší sociální síť na světě tak zareagovala na nové evropské nařízení o ochraně osobních údajů, známé též pod zkratkou GDPR. To začne platit 25. května. Řídit se jím od té chvíle budou muset nejen firmy z Evropské unie, ale i ty ze zámoří, pokud pracují s osobními daty Evropanů.

Nová pravidla znamenají revoluci v ochraně soukromí. Lidem garantují například právo žádat výmaz svých údajů z marketingových databází. A nejen odtud je budou muset firmy a instituce smazat také v případě, že už pominul účel, pro nějž informace o klientech sbíraly. To je v Česku velkou novinkou. Jak ukázal průzkum společnosti O2, 86 procent českých firem doposud neprovádělo pravidelný výmaz ani aktualizaci osobních údajů ve svých databázích.

Lepší ochranu nové evropské nařízení slibuje občanům také v případě, že dojde k úniku nebo krádeži dat. Ty totiž budou muset firmy, ale i státní instituce hlásit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy je odhalily. Pokud by hrozilo, že kvůli úniku dojde třeba ke zneužití bankovních účtů klientů, budou muset informovat o ztrátě údajů i nebezpečí jejich zneužití všechny klienty, o jejichž data přišly.

GDPR v číslech

10 miliard korun

zaplatí v úhrnu české podniky a instituce za přípravy na GDPR.

50 tisíc korun

nepřesáhnou výdaje u většiny jednotlivých firem. Víc zaplatí zhruba jen šest procent podniků.

350 milionů korun

stojí v průměru přípravy na GDPR firmy ze žebříčku pěti set největších amerických společností, které působí v Evropě nebo zpracovávají data o Evropanech.

110 tisíc korun

zaplatí za přípravy české město s 20 tisíci obyvateli. U menších obcí by náklady neměly přesáhnout 50 tisíc korun.

75 procent

českých firem a institucí nesplní podle odhadů do 25. května všechny požadavky nového nařízení.

500 milionů korun nebo 4 procenta

z celosvětového obratu je maximální pokuta, která hrozí firmám za porušení nového nařízení.

35 procent

nadnárodních společností se obává, že pokuta za porušení nových pravidel může jejich společnost přivést ke krachu.

Zdroj: Deloitte, Bureau Veritas, SmartEmailing, NetApp, Svaz měst a obcí

Doposud přitom firmy úniky dat obvykle tajily. Například společnost Yahoo přiznala až po třech letech, že jí hackeři ukradli data tří miliard uživatelů. Byly mezi nimi e-maily, telefonní čísla, data narození i takzvané hashe, tedy kontrolní součty hesel, z nichž by mohli útočníci hesla odhalit. Skutečný rozsah úniku vyšel najevo až na podzim loňského roku, kdy Yahoo převzala společnost Verizon.

Jednou z hlavních novinek, které evropské nařízení zavádí, je také právo na přenos údajů od jednoho poskytovatele služeb k druhému. To má podle představ Evropské komise lidem usnadnit třeba změnu e-mailové schránky nebo služeb, jako je on-line kalendář. Doposud uživatele od změny poskytovatele takových služeb odrazoval čas, který by museli strávit přepisováním svých údajů z jedné aplikace do druhé.

Další šanony

Pro firmy a instituce, které pracují s osobními údaji klien­tů, zaměstnanců nebo obchodních partnerů, znamená přechod na nová pravidla náročné přípravy. Musí zmapovat cestu osobních údajů jejich organizací od prvotního sběru až po výmaz těch nepotřebných a zastaralých. Výstupy tohoto zkoumání, stejně jako nové vnitřní směrnice shrnující interní pravidla práce s osobními daty musí pečlivě založit do šanonů, aby byly po ruce v případě, že na ně přijde úřední kontrola.

"Prvotní správné nastavení záznamů o zpracování osobních údajů je časově nejnáročnější. Pro společnosti, které nemají přehled o toku svých dokumentů, může jít o práci na několik týdnů až měsíců," varuje zakladatelka advokátní kanceláře Sedlakova Legal Jana Sedláková.

Přitom jde jen o úvodní mapování situace. Podle rizik a slabých míst v ochraně, která vstupní analýzy odhalí, musí poté správci dat udělat kroky, které zajistí soulad s novými pravidly. V některých případech firmy musely v reakci na GDPR od základů přestavět celé své informační systémy. Státním úřadům, nemocnicím nebo také třeba mobilním operátorům a internetovým vyhledávačům navíc nařízení ukládá povinnost jmenovat pověřence pro ochranu osobních údajů, tedy jakéhosi styčného důstojníka pro ochranu soukromí. Celkové náklady, které si příprava na novinky vyžádá u firem a institucí z Česka, odhadla poradenská společnost Deloitte na deset miliard korun.

Osm z deseti českých firem dosud neprovádělo výmaz ani aktualizaci osobních údajů ve svých databázích. GDPR to má změnit.

Největší české podniky, jako je například Seznam.cz, se začaly připravovat už před dvěma lety, kdy evropští zákonodárci nařízení schválili. Postupně se přidávaly další společnosti − mobilní operátoři, banky. Teď už GDPR řeší i drobní živnostníci, neziskové organizace nebo bytová družstva. Kdo nechal přípravy na poslední chvíli, většinou nestíhá. "I přes zvýšený zájem firem o tuto problematiku během posledního měsíce odhaduji, že k meznímu termínu bude v souladu s GDPR méně než čtvrtina povinných subjektů," obává se ředitel inspekční a certifikační společnosti Bureau Veritas Jakub Kejval.

Zkušenosti konzultantů ukazují, že podniky obvykle odkládají technická opatření a investice do hardwaru. Jsou totiž drahé a komplikované. "Nejnáročnější jsou jednoznačně změny zasahující do IT infrastruktury například v návaznosti na povinnost vymazat osobní údaje," upozorňuje advokát KPMG Legal Filip Horák.

Pokračování textu je k dispozici pouze pro platící čtenáře

  • V pátek začíná platit celoevropské nařízení GDPR, které zpřísňuje ochranu osobních dat.
  • Nová legislativa zasáhne zejména velké zpracovatele dat, jako jsou banky či e-shopy. Připravit se musí i školy, nemocnice a úřady.
  • Většina firem zatím podle průzkumů není na GDPR připravena a Česko ani nestihlo přijmout vlastní adaptační zákon.

Předplatitelé mají i řadu dalších výhod: nezobrazují se jim reklamy, mohou odemknout obsah kamarádům nebo prohlížet archiv.

Proč ji potřebujeme?

Potřebujeme e-mailovou adresu, na kterou pošleme potvrzení o platbě. Zároveň vám založíme uživatelský účet, abyste se mohli k článku kdykoli vrátit a nemuseli jej platit znovu. Pokud již u nás účet máte, přihlaste se.

Potřebujeme e-mailovou adresu, na kterou pošleme potvrzení o platbě.

Pokračováním nákupu berete na vědomí, že společnost Economia, a.s. bude zpracovávat vaše osobní údaje v souladu se Zásadami ochrany osobních údajů.

Vyberte si způsob platby kliknutím na požadovanou ikonu:

Platba kartou

Rychlá online platba

Připravujeme platbu, vyčkejte prosím.