Po dvou letech je tu GDPR, jsou na to firmy připraveny?

Od 25. května platí nový zákon Evropské unie na ochranu osobních údajů. Obávané GDPR je tu, ale jsou na něj firmy připraveny?

Po dvou letech je tu GDPR, jsou na to firmy připraveny?


Facebook Evropskému parlamentu řekl, že ano. Pokud však skutečně bude splňovat tvrdé podmínky GDPR, půjde o jednu z mála firem. Podle studie Ponemonova institutu z dubna letošního roku polovina společností sama sdělila, že do 25. května nebudou mít vše připraveno pro dodržování pravidel GDPR. Co se týče technologického průmyslu, 60 % korporací není připraveno. I přes to už je Facebook podáno několik stížností.

Jak vyplývá z našich vlastních dat, v České republice není situace o nic růžovější.

Ačkoliv firmy mají s GDPR problém z mnoha důvodu – často například proto, že detaily o tom, co s daty dělají, se jim zákazníkům sdělovat nechce, jde i o značné dodatečné náklady. Firmy například mají právo požádat o osobní informace, které o nich firmy sbírají, a požádat o jejich smazání, úpravu nebo jejich získání v přenosné formě.

Jenže tyto informace mohou být na pěti různých serverech v bůh ví jakých formátech – pokud vůbec firma sama ví, kde ty data jsou a zda vlastně existují. Implementace GDPR tak logicky vyžaduje i úpravu interní infrastruktury, což je velice náročné.

Problém je také určitá nespecifičnost GDPR a možná až příliš široké definice toho, co jsou osobní informace. Obzvláště firmy, které pracují pod principem „posbírejme co nejvíce dat a pak se zabývejme tím, co s nimi vlastně dělat“ mají o zábavu postaráno.

Před rokem 61 % společností ještě ani nezačala s implementací GDPR a část ani netušila, co to vlastně je. Není tak divu, že spousta firem nebude vůbec připravena. Čtvrtina podniků v Londýně to podle jiné studie nevěděla ještě v lednu.

Pokuty za porušení pravidel GDPR mohou být až likvidační. Pokuta až 4 % celosvětového obratu (maximální trest) by kupříkladu u Amazonu činila 7 miliard dolarů; to jsou zisky za dva roky podnikání amerického giganta.

Firmy mají na poskytnutí osobních údajů a další práci s nimi 30 dní. Pokud neodpoví, „datový subjekt“ (kdokoliv, kdo data vyžaduje dle GDPR) může podat stížnost lokálnímu regulátorovi (obvykle státní subjekty.) GDPR po lokálních regulátorech akci vyžaduje. Nepůjde nutně o 4% pokuty, ale nějaká reakce přijít musí v každém případě.

GDPR platí pouze pro Evropskou unii a obyvatele státu EU. Jenže mnoho amerických organizací v Evropě podniká nebo pracují s údaji evropských zákazníků, takže splnit zásady GDPR jim činí značné potíže. Je možné, že některé menší korporace, kterým by se zkrátka nevyplatilo vložit náklady do GDPR přestanou v Evropě podnikat.

Je však pravděpodobné, že GDPR ovlivní i americké zákony na ochranu osobních údajů; obzvláště s tím, jak si jich uživatele začínají stále více a více všímat.

Úvodní foto: Fotolia - pe3check










Komentáře