Evropské novinky potrápí české podnikatele. Hrozí stamilionové sankce
NOVÉ EVROPSKÉ SMĚRNICE
NOVÉ
1
Evropská unie připravuje pro podnikatele novinky, které se týkají ochrany osobních dat i soukromí na internetu. Dotknou se i českých firem, ale také třeba lékařů, nemocnic nebo úřadů. Evropské nařízení začne platit příští rok a za nedodržení evropských nařízení hrozí sankce v řádech stovek milionů korun. Poslanci také minulý týden schválili novelu zákona o kybernetické bezpečnosti, která se dotkne podnikatelů v e-commerce.
Nové povinnosti vyplývají z nařízení evropských institucí, které bude platit od jara 2018. To se dotkne všech členských států Evropské unie (EU) a každého, kdo nějakým způsobem s osobními údaji nakládá. Některé firmy se na nové povinnosti už několik měsíců připravují. Šéf Asociace malých a středních podniků Karel Havlíček ale doporučuje, aby firmy zbytečně nespěchaly.
„Žádný zásadní posun zatím není, mimo toho, že už na tom začínají vydělávat různí poradci. Doporučujeme ale firmám, aby byly zatím trpělivé, ještě není úplně jasné, jak se to různých segmentů podnikatelů dotkne,“ uvedl pro server Echo24 Havlíček, který už v listopadu minulého roku upozorňoval, že připravena je asi desetina firem.
Jaké konkrétní dopady bude směrnice na podniky mít, totiž zatím není jasné. Nejsou totiž zcela vyjasněné některé podmínky. Nařízení totiž například zavádí pozici takzvaného data officera, tedy pověřence pro ochranu dat. Povinnost se bude týkat společností, které s osobními údaji pracují ve větší míře. Konkrétní podmínky ale zatím popsány nejsou.
„Dáváme dohromady všechny relevantní právní podklady a připravíme manuál, který budeme zdarma distribuovat v papírové i elektronické podobě. Také připravíme konference v krajských městech. Je to určitě důležité, může to být i pro někoho náročné a drahé,“ dodává Havlíček.
Stamilionové pokuty
Směrnice ale zavádí také velmi vysoké sankce. Těm, kteří svá data dobře nezabezpečí, hrozí přísné pokuty až 20 milionů eur (cca 540 milionů korun). „Sankce se mohou pohybovat až do výše 20 milionů eur, nebo jedná-li se o podnik, až do výše 4 procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší,“ uvedla serveru Echo24.cz Kateřina Hrubešová ze Sdružení pro internetový rozvoj (SPIR).
Ministerstvo vnitra se v tomto směru snažilo firmám ulehčit. „Při vyjednávání ČR prosadila do recitálu 150, že při ukládání pokut nepodnikajícím osobám se má přihlédnout nejen k ekonomické situaci osoby, ale i k obecné úrovni příjmů v daném členském státě, neboť v této oblasti panují v EU stále značné rozdíly,“ uvedla pro server Echo24.cz tisková mluvčí resortu Hana Malá.
Součástí tohoto nařízení, které má zkratku GDPR, je také takzvaný ePrivacy. To je nařízení o soukromí a elektronických komunikacích. „Pokud by bylo přijato v podobě stávajícího návrhu, dotklo by se všech společností, které spadají do působnosti dosud platné tzv. cookie směrnice, a nově také společností, které umožňují komunikaci v internetovém prostředí,“ uvedla pro server Echo24 manažerka pro státní správu ze SPIR Jana Břeská.
Podle ní má ale Evropská komise ambici do působnosti nového nařízení zahrnout také například vyhledávání na internetu či publikování. „Obecně lze říct, že nařízení by se mělo týkat všech společností, které nějakým způsobem shromažďují nebo zpracovávají data fyzických osob, ať už se jedná o obsah komunikace, nebo metadata, tedy údaje o chování fyzických osob na internetu,“ dodala Břeská.
Nové náklady
Pokud ePrivacy bude odhlasována, pro některé firmy to bude představovat vysoké finanční náklady. „Jak vysoké, to záleží na tom, v jaké podobě bude nakonec ePR schválena. Klíčovou novinkou stávajícího návrhu je zavedení de facto plošné povinnosti získat souhlas fyzické osoby s užitím jejích dat, včetně metadat, a to bez ohledu na výši rizika, které by použití těchto dat mohlo pro soukromí této osoby představovat,“ vysvětlila Břeská.
Pro některé subjekty je podle ní velmi obtížné, ne-li nemožné, souhlas získat, což znamená přímé ohrožení existujících obchodních modelů postavených právě na použití dat. V mnoha případech se přitom jedná o takové obchodní modely, které soukromí uživatele nijak neohrožují, nebo do něj zasahují jen minimálně.
„Typickým příkladem jsou měření návštěvnosti nebo cílená reklama, kdy jsou uživatelé internetu na základě svého chování na internetu rozděleni jen do velmi širokých základních skupin, na něž je reklama mířena, aniž by zadavatel reklamy dokázal jakkoliv blíže určit jejich identitu. Hrozí zde reálné nebezpečí, že na některé, zejména menší společnosti, by takováto nová právní úprava měla citelný dopad, pokud by nebyla přímo likvidační,“ říká.
Pro reklamní společnosti a vydavatele například zpravodajských webů, jejichž bezplatný obsah je financován právě z online reklamy, by pak tato úprava znamenala významné snížení příjmů z reklamy, které by bylo třeba kompenzovat jinými, pro uživatele často nepříjemnými, způsoby, jako je například necílená plošná reklama s mnohem vyšší frekvencí zobrazování, nebo zpoplatnění obsahu.
Ve jménu kybernetické bezpečnosti
Sněmovnou také v týdnu prošla novela zákona o kybernetické bezpečnosti, která se týká firem poskytujících e-commerce. Předloha ve vládním znění přejímá evropskou směrnici. Počítá s tím, že nově zahrnuté skupiny subjektů budou muset přijmout odpovídající kroky, aby zabránily možným bezpečnostním rizikům.
Případné kybernetické incidenty budou povinně oznamovat bezpečnostnímu úřadu. Týkat se to bude podle novely rovněž klíčových poskytovatelů digitálních služeb, například platforem pro elektronické obchodování a vyhledávače. Poslanec ODS Martin Novotný navíc do předlohy prosadil úpravu o zabezpečení vzdálených úložišť.
Malých a středních firem by se novela nijak zvlášť ve smyslu nákladovosti nebo růstu administrativy neměla týkat. „Snad s výjimkou středně velkých poskytovatelů elektronických služeb nebo platforem pro e-commerce, vyhledávacích serverů apod. Pro většinu malých firem to ale není téma,“ dodal Havlíček.
Čtěte také: Další zátěž při podnikání. Obrovské pokuty kvůli osobním údajům
Česko bude mít úřad pro kybernetickou bezpečnost
