Ministerstvo vnitra má předložit do konce srpna novelu, která by do českého právního řádu převedla nařízení EU o ochraně osobních údajů (GDPR). Zatím zpracovává vyžádané podněty od všech ostatních ministerstev i jiných ústředních úřadů státní správy. Na dotaz ČTK to uvedl mluvčí ministerstva Ondřej Krátoška.
„Všechna ministerstva i ostatní úřady zpracovávají osobní údaje, většinou v rámci své úřední agendy, ale vždy alespoň osobní údaje o svých zaměstnancích. Je nutno vycházet z toho, že se na ně pravidla o ochraně těchto údajů vztahují a vztahovat budou,“ sdělil mluvčí.
Nařízení má začít platit až od května příštího roku, podle expertů se ale na něj úřady i firmy již nyní musejí začít připravovat. Mezi hlavní novinky, které GDPR přináší, patří rozšíření práva „být zapomenut“, tedy práva na vymazání údajů, které člověk o sobě poskytne a které již instituce nepotřebují k účelu, pro který byly poskytnuty.
Nařízení rovněž umožní lidem naopak požádat o převedení poskytnutých údajů, například při přechodu mezi telefonními operátory. Úřady i firmy dostanou povinnost hlásit Úřadu pro ochranu osobních údajů (ÚOOÚ) hackerské útoky nebo případy úniku dat. V některých případech budou muset podniky a úřady jmenovat pověřence pro ochranu osobních údajů, který bude garantem správného nakládání s privátními daty a také prostředníkem mezi institucí, ÚOOÚ a veřejností.
„Na podniky budou tyto a další povinnosti dopadat v různé míře, v závislosti na tom, jak riziková zpracování osobních údajů provádějí,“ uvedl Krátoška. Z těchto důvodů je podle něj velmi nesnadné vyčíslit náklady, které GDPR přinese. Podle expertů budou záviset na tom, jaká opatření firmy a úřady dosud v oblasti ochrany soukromí podnikly.
U firmy do 1000 zaměstnanců by se mohly odhadem pohybovat v jednotkách milionů korun; pokud by ale taková firma už přijala opatření podle zásad kybernetické bezpečnosti, byly by masivně nižší, uvedl již dříve ředitel Českého institutu manažerů informační bezpečnosti Aleš Špidla. V případě finančních institucí by náklady s ohledem na povinnost zajistit přenositelnost dat mohly být naopak vyšší.