Hlavní navigace

Po dvou letech je tu GDPR, jsou na to firmy připraveny?

30. 5. 2018

Sdílet

 Autor: Fotolia - pe3check
Od 25. května platí nový zákon Evropské unie na ochranu osobních údajů. Obávané GDPR je tu, ale jsou na něj firmy připraveny?

Facebook Evropskému parlamentu řekl, že ano. Pokud však skutečně bude splňovat tvrdé podmínky GDPR, půjde o jednu z mála firem. Podle studie Ponemonova institutu z dubna letošního roku polovina společností sama sdělila, že do 25. května nebudou mít vše připraveno pro dodržování pravidel GDPR. Co se týče technologického průmyslu, 60 % korporací není připraveno. I přes to už je Facebook podáno několik stížností.

Jak vyplývá z našich vlastních dat, v České republice není situace o nic růžovější.

Ačkoliv firmy mají s GDPR problém z mnoha důvodu – často například proto, že detaily o tom, co s daty dělají, se jim zákazníkům sdělovat nechce, jde i o značné dodatečné náklady. Firmy například mají právo požádat o osobní informace, které o nich firmy sbírají, a požádat o jejich smazání, úpravu nebo jejich získání v přenosné formě.

Jenže tyto informace mohou být na pěti různých serverech v bůh ví jakých formátech – pokud vůbec firma sama ví, kde ty data jsou a zda vlastně existují. Implementace GDPR tak logicky vyžaduje i úpravu interní infrastruktury, což je velice náročné.

Problém je také určitá nespecifičnost GDPR a možná až příliš široké definice toho, co jsou osobní informace. Obzvláště firmy, které pracují pod principem „posbírejme co nejvíce dat a pak se zabývejme tím, co s nimi vlastně dělat“ mají o zábavu postaráno.

Před rokem 61 % společností ještě ani nezačala s implementací GDPR a část ani netušila, co to vlastně je. Není tak divu, že spousta firem nebude vůbec připravena. Čtvrtina podniků v Londýně to podle jiné studie nevěděla ještě v lednu.

Pokuty za porušení pravidel GDPR mohou být až likvidační. Pokuta až 4 % celosvětového obratu (maximální trest) by kupříkladu u Amazonu činila 7 miliard dolarů; to jsou zisky za dva roky podnikání amerického giganta.

Firmy mají na poskytnutí osobních údajů a další práci s nimi 30 dní. Pokud neodpoví, „datový subjekt“ (kdokoliv, kdo data vyžaduje dle GDPR) může podat stížnost lokálnímu regulátorovi (obvykle státní subjekty.) GDPR po lokálních regulátorech akci vyžaduje. Nepůjde nutně o 4% pokuty, ale nějaká reakce přijít musí v každém případě.

Cloud22

GDPR platí pouze pro Evropskou unii a obyvatele státu EU. Jenže mnoho amerických organizací v Evropě podniká nebo pracují s údaji evropských zákazníků, takže splnit zásady GDPR jim činí značné potíže. Je možné, že některé menší korporace, kterým by se zkrátka nevyplatilo vložit náklady do GDPR přestanou v Evropě podnikat.

Je však pravděpodobné, že GDPR ovlivní i americké zákony na ochranu osobních údajů; obzvláště s tím, jak si jich uživatele začínají stále více a více všímat.