Hlavní navigace

Statisíce podnikatelů zastihne GDPR nepřipravené. Kde sehnat potřebné informace?

Daniel Morávek

Statisíce podnikatelů zastihne GDPR, které nabude účinnosti za několik dní, nepřipravené. Přesto není důvod k panice, vše se dá ještě stihnout.

Doba čtení: 5 minut

Připravili jsme přehled, s čím mají podnikatelé největší problémy. K dispozici jsou i příručky, které ke GDPR vydaly podnikatelské asociace a úřady.

Statisíce podnikatelů tápou

Přestože se většina podnikatelů povinnostmi GDPR už několik měsíců zabývá, nemalý počet podnikatelů zastihne nové nařízení nepřipravené. Z šetření Hospodářské komory ČR (HK ČR) například vyplynulo, že zatímco ještě před několika měsíci si ani ne polovina podnikatelů byla vědoma toho, že se musí připravit na nově ukládané povinnosti vyplývající z GDPR, v současnosti se jimi zabývá už drtivá většina z nich.

I přes zlepšení povědomí o nových povinnostech mezi podnikateli je ale podle HK ČR pravděpodobné, že 25. května 2018 zasáhne nařízení GDPR až pětinu českých firem nepřipravenou. Zavádění opatření v souladu s evropským nařízením o ochraně osobních údajů si totiž běžně vyžádá i několik měsíců práce. Záleží na velikosti firem i objemu údajů, které shromažďují. Asi 34 % podnikatelů přitom stále neví, jaká opatření zavést. Slabou útěchou je, že připravenost firem v EU není o nic lepší, doplnil serveru Podnikatel.cz Miroslav Diro, mluvčí HK ČR.

Obdobně vychází i odhad Asociace malých a středních podniků a živnostníků ČR (AMSP ČR). Z celkového počtu podnikatelských subjektů, tedy asi 460 tisíc právnických osob a 1 milionu fyzických osob, se podle průzkumu AMSP ČR dotkne GDPR cca 2/3 z nich, tj. jednoho milionu. Podle různých průzkumů z poslední doby odhadujeme, že zhruba 25 % podnikatelských subjektů, kterých se GDPR týká, ještě není na GDPR připraveno nebo se v nařízení vůbec neorientují. V tom případě by se jednalo cca o 250 tisíc podnikatelských subjektů, odhadl Věroslav Sobotka, manažer pro legislativu AMSP ČR.

S čím se podnikatelé nejvíce potýkají

Co se týče problémů, se kterými se podnikatelé potýkají, existuje jich celá řada. Firmy si například stále neuvědomují všechny dopady GDPR. Zacházení s osobními údaji souvisí přímo s nástroji, které dnes a denně podnikatelé používají. Ať už to jsou fakturační systémy, HR systémy s údaji o zaměstnancích nebo CRM systémy pro řízení vztahů se zákazníky, uchovávání kontaktů a informací o probíhajících obchodních procesech. Dodržování GDPR bude muset přitom každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování, upozornil Miroslav Diro.

Podle Dira se stále někteří podnikatelé mylně domnívají, že pokud se nestihne přijmout národní předpis, tak se jich GDPR netýká. Podnikatelé též mají nejasnosti i v právních titulech, na základě kterých zpracovávají osobní údaje. Neustále převažuje využití souhlasu se zpracováním osobních údajů. Ten je ale podle Dira nadužíván už podle stávající národní legislativy. GDPR nedovoluje použití souhlasu tam, kde je dán jiný právní titul, např. zákonná povinnost či oprávněný zájem. Takto zpracované údaje na základě souhlasu jsou zpracovány v rozporu s GDPR.

Nejasnosti se týkají i vypracování posouzení vlivu na ochranu osobních údajů, povinnosti jmenovat pověřence pro ochranu osobních údajů či vedení záznamů o činnostech zpracování a konzultace s dozorových orgánem před samotným zpracováním osobních údajů. Důležité téma je i technická bezpečnost a zabezpečení osobních dat (např. šifrování). Podnikatelé mají dále problém s vytvářením dokumentů pro interní použití i pro veřejnost, případně jaké
informace rozesílat klientům atp.

Podle Asociace pro elektronickou komerci (APEK) přináší největší problémy správně nastavené vztahy s dodavateli služeb, tedy se zpracovateli osobních údajů, a popsání interních procesů. Naopak plnění informačních povinností, zabezpečení osobních údajů či znalost nových práv subjektů údajů bude podle nás v pořádku. Záležet bude také na tom, jak do budoucna bude státní správa k jednotlivým bodům a výkladům přistupovat, uvedl serveru Podnikatel.cz Jan Vetyška, šéf APEK.

Informovaly úřady dostatečně?

Samostatnou kapitolu tvoří dostupnost informací, oficiálních výkladů a příkladů, jak se s požadavky GDPR vypořádat. Z naší zkušenosti víme, že Úřad pro ochranu osobních údajů (ÚOOÚ) přistupuje ke GDPR opravdu s maximální snahou obchodníky kvalitně informovat a máme pozitivní zkušenost také se zodpovídáním konkrétních dotazů. Myslíme si ale, že i přes snahu byly úřady „málo slyšet“. Může za to ovšem částečně silný marketing advokátních kanceláří a společností, pro které je GDPR zajímavou příležitostí. Díky tomu dostaly velký prostor různé zastrašující výklady, které mohou negativně ovlivnit přístup podnikatelů k přípravám a následnému dodržování GDPR, podotkl Vetyška.

Mnohem kritičtější je k úřadům Radomil Bábek, předseda Podnikatelských odborů, podle kterého státní správa neudělala nic pro to, aby mohli malí podnikatelé a živnostníci v klidu a bez pocitu ohrožení aplikovat GDPR do své podnikatelské praxe. Samozřejmě, úředníci mají pocit, že udělali mnohé, vždyť přece na tom pracují tak intenzivně a vydávají různé dokumenty. Pokud však panuje mezi podnikateli a živnostníky nejistota a obavy, pak je zřejmé, že státní správa neodvedla svou práci, jak měla, domnívá se Bábek, který zároveň dodal, že nejistota panuje především u drobných podnikatelů. Ve velkých firmách problém uchopí právní oddělení a vyčlení si na to celý tým. Drobní podnikatelé nemají prostředky, ani lidské, ani finanční, aby si vše nechali překousat, prověřit a připravit, vysvětluje Bábek.

Podle Hospodářské komory ČR se úřady spíše soustředily na to, jak by samy měly vyhovět požadavkům GDPR. A nakonec zjistily, že samy nejsou schopné se na GDPR včas připravit. Dokládá to nový požadavek lidovců a Pirátů, aby se neziskových organizací a veřejných subjektů netýkaly pokuty za nedodržování ochrany osobních údajů ukládané nařízením GDPR. Překvapuje nás, s jakou rychlostí dokážou poslanci najít způsob, jak obejít pravidla GDPR, pokud jde o veřejné subjekty a neziskovky. A to s odůvodněním, že při zavádění GDPR je nezbytné chránit obce, neziskové subjekty a další orgány veřejné moci. Podnikatelé, kteří financují provoz této země, je ale nezajímají, kritizuje Miroslav Diro z Hospodářské komory ČR.

WT 100 tip v článku obecný

Hospodářská komora každopádně usiluje o to, aby dozorový orgán Úřad pro ochranu osobních údajů při kontrolách postupoval zdrženlivě. Podle komory by úřad, alespoň ze začátku, měl na možné pochybení při zpracování osobních údajů jen upozorňovat a ne rovnou sankcionovat.

Kde sehnat informace

Podnikatelé se v této souvislosti nejčastěji ptají po metodikách, které by jim pomohly s aplikací GDPR v praxi. Rádi by měli k dispozici přesný návod, jak postupovat.