Náklady na zavedení nových pravidel ochrany osobních údajů převýší přínosy, říká Milena Jabůrková ze Svazu průmyslu a dopravy. S Josefem Prokešem z Úřadu pro ochranu osobních údajů se však shodla, že nová regulace je kvůli rozvoji technologií zapotřebí.

V jakém stavu jsou přípravy podnikatelské sféry na GDPR?

Jabůrková: Někde je ochrana dat už součástí obchodního modelu, třeba ve finančnictví a telekomunikacích. Spousta práce ale ještě zbývá ve firmách zabývajících se digitální ekonomikou, personalizovaným marketingem či datovými analýzami. GDPR se může dotknout i výrobních podniků a ani ty ještě nejsou připraveny.

Zavádění EET bylo v porovnání s GDPR procházkou růžovým sadem. Kvůli evidenci tržeb existovala informační kampaň a my se neustále ptáme vlády, kde je kampaň ke GDPR, kde jsou informace, státem garantovaná školení, dotační tituly pro malé a střední podniky, aby se na to mohly připravit. Protože nic takového není, dává se tím prostor k nekorektním výkladům a nabídkám.

Kolem GDPR existuje řada mýtů, třeba že rozšiřuje definici osobních údajů nebo že se nevztahuje na nejmenší podniky. Jaké další nepravdy jste zaznamenali?

Prokeš: Řada firem se domnívá, že základním právním titulem ke zpracování osobních údajů je souhlas člověka, s jehož daty pracujete. Zpracování se ale většinou děje na základě smluvního vztahu nebo při plnění zákonných povinností a souhlas není potřeba. Podnikatelům doporučujeme, aby zvážili, jestli vůbec o souhlas žádat a jestli data raději neošetřit smluvně, protože souhlas je odvolatelný, což by jim poté mohlo způsobit potíže.

Jabůrková: Ano, podniky mají celou řadu dalších možností, jak zpracovávat osobní údaje. Myslím si, že v důsledku budeme potřebovat méně souhlasů, než se nyní zdá.