Sociální síť Facebook se od dubna ptá svých uživatelů, jestli může v jejich fotografiích a videích používat technologii pro rozpoznávání obličeje, jestli chtějí i nadále sdílet informace ze svých profilů anebo zda si přejí zobrazovat reklamy cílené na své zájmy. Na svém blogu sociální síť informovala o tom, jak pracuje s osobními údaji dětí a že až do doby, než budou plnoletí, nebudou moci mladí lidé využívat některé funkce sítě, například rozpoznávání obličejů. Při přihlášení dostávají uživatelé také informaci o tom, jaké údaje o nich Facebook sdílí se svými obchodními partnery.

Největší sociální síť na světě tak zareagovala na nové evropské nařízení o ochraně osobních údajů, známé též pod zkratkou GDPR. To začne platit 25. května. Řídit se jím od té chvíle budou muset nejen firmy z Evropské unie, ale i ty ze zámoří, pokud pracují s osobními daty Evropanů.

Nová pravidla znamenají revoluci v ochraně soukromí. Lidem garantují například právo žádat výmaz svých údajů z marketingových databází. A nejen odtud je budou muset firmy a instituce smazat také v případě, že už pominul účel, pro nějž informace o klientech sbíraly. To je v Česku velkou novinkou. Jak ukázal průzkum společnosti O2, 86 procent českých firem doposud neprovádělo pravidelný výmaz ani aktualizaci osobních údajů ve svých databázích.

Lepší ochranu nové evropské nařízení slibuje občanům také v případě, že dojde k úniku nebo krádeži dat. Ty totiž budou muset firmy, ale i státní instituce hlásit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy je odhalily. Pokud by hrozilo, že kvůli úniku dojde třeba ke zneužití bankovních účtů klientů, budou muset informovat o ztrátě údajů i nebezpečí jejich zneužití všechny klienty, o jejichž data přišly.

GDPR v číslech

10 miliard korun

zaplatí v úhrnu české podniky a instituce za přípravy na GDPR.

50 tisíc korun

nepřesáhnou výdaje u většiny jednotlivých firem. Víc zaplatí zhruba jen šest procent podniků.

350 milionů korun

stojí v průměru přípravy na GDPR firmy ze žebříčku pěti set největších amerických společností, které působí v Evropě nebo zpracovávají data o Evropanech.

110 tisíc korun

zaplatí za přípravy české město s 20 tisíci obyvateli. U menších obcí by náklady neměly přesáhnout 50 tisíc korun.

75 procent

českých firem a institucí nesplní podle odhadů do 25. května všechny požadavky nového nařízení.

500 milionů korun nebo 4 procenta

z celosvětového obratu je maximální pokuta, která hrozí firmám za porušení nového nařízení.

35 procent

nadnárodních společností se obává, že pokuta za porušení nových pravidel může jejich společnost přivést ke krachu.

Zdroj: Deloitte, Bureau Veritas, SmartEmailing, NetApp, Svaz měst a obcí

Doposud přitom firmy úniky dat obvykle tajily. Například společnost Yahoo přiznala až po třech letech, že jí hackeři ukradli data tří miliard uživatelů. Byly mezi nimi e-maily, telefonní čísla, data narození i takzvané hashe, tedy kontrolní součty hesel, z nichž by mohli útočníci hesla odhalit. Skutečný rozsah úniku vyšel najevo až na podzim loňského roku, kdy Yahoo převzala společnost Verizon.

Jednou z hlavních novinek, které evropské nařízení zavádí, je také právo na přenos údajů od jednoho poskytovatele služeb k druhému. To má podle představ Evropské komise lidem usnadnit třeba změnu e-mailové schránky nebo služeb, jako je on-line kalendář. Doposud uživatele od změny poskytovatele takových služeb odrazoval čas, který by museli strávit přepisováním svých údajů z jedné aplikace do druhé.

Další šanony

Pro firmy a instituce, které pracují s osobními údaji klien­tů, zaměstnanců nebo obchodních partnerů, znamená přechod na nová pravidla náročné přípravy. Musí zmapovat cestu osobních údajů jejich organizací od prvotního sběru až po výmaz těch nepotřebných a zastaralých. Výstupy tohoto zkoumání, stejně jako nové vnitřní směrnice shrnující interní pravidla práce s osobními daty musí pečlivě založit do šanonů, aby byly po ruce v případě, že na ně přijde úřední kontrola.

"Prvotní správné nastavení záznamů o zpracování osobních údajů je časově nejnáročnější. Pro společnosti, které nemají přehled o toku svých dokumentů, může jít o práci na několik týdnů až měsíců," varuje zakladatelka advokátní kanceláře Sedlakova Legal Jana Sedláková.

Přitom jde jen o úvodní mapování situace. Podle rizik a slabých míst v ochraně, která vstupní analýzy odhalí, musí poté správci dat udělat kroky, které zajistí soulad s novými pravidly. V některých případech firmy musely v reakci na GDPR od základů přestavět celé své informační systémy. Státním úřadům, nemocnicím nebo také třeba mobilním operátorům a internetovým vyhledávačům navíc nařízení ukládá povinnost jmenovat pověřence pro ochranu osobních údajů, tedy jakéhosi styčného důstojníka pro ochranu soukromí. Celkové náklady, které si příprava na novinky vyžádá u firem a institucí z Česka, odhadla poradenská společnost Deloitte na deset miliard korun.

Osm z deseti českých firem dosud neprovádělo výmaz ani aktualizaci osobních údajů ve svých databázích. GDPR to má změnit.

Největší české podniky, jako je například Seznam.cz, se začaly připravovat už před dvěma lety, kdy evropští zákonodárci nařízení schválili. Postupně se přidávaly další společnosti − mobilní operátoři, banky. Teď už GDPR řeší i drobní živnostníci, neziskové organizace nebo bytová družstva. Kdo nechal přípravy na poslední chvíli, většinou nestíhá. "I přes zvýšený zájem firem o tuto problematiku během posledního měsíce odhaduji, že k meznímu termínu bude v souladu s GDPR méně než čtvrtina povinných subjektů," obává se ředitel inspekční a certifikační společnosti Bureau Veritas Jakub Kejval.

Zkušenosti konzultantů ukazují, že podniky obvykle odkládají technická opatření a investice do hardwaru. Jsou totiž drahé a komplikované. "Nejnáročnější jsou jednoznačně změny zasahující do IT infrastruktury například v návaznosti na povinnost vymazat osobní údaje," upozorňuje advokát KPMG Legal Filip Horák.