Obrovský tlak, kterému jsou české firmy a podnikatelé vystaveni s nástupem nového nařízení o ochraně osobních údajů (GDPR), vyvolal ve velké části z nich dojem, že jde o jednorázovou záležitost, kterou je nutné zvládnout do 25. května, od kdy novinka platí. Opak je ale pravdou. S nástupem GDPR jim začínají povinnosti, které je budou provázet v dalších měsících a letech.
GDPR totiž zavádí pravidla, která se musí ve firmách neustále kontrolovat a aktualizovat tak, aby se firmy vyhnuly astronomickým sankcím, které za jejich porušení hrozí. „Příprava společnosti na GDPR není o nějaké chytré krabičce, který vše vyřeší za vás. Jedná se o soubor úprav a změn procesů, smluvní dokumentace, vztahů se zaměstnanci, dodavateli a odběrateli, jimž jsou údaje poskytovány,” říká Jiří Vančura, ředitel Xerox v České republice.
Povinnosti začínají
Z mylného dojmu, že stačí do května splnit potřebné povinnosti, a pak bude již vše zařízeno, vyvádějí firmy i další odborníci. „Zavedením GDPR samozřejmě pro podnikatele povinnosti nekončí, ale naopak začínají. Bude do značné míry záležet, jaký nástroj podnikatelé k zavedení GDPR ve své organizaci zvolili a jak tento nástroj následnou správu řeší,“ říká expert na kybernetickou bezpečnost Dalibor Lukaštík ze společnosti 4Stars.
Spíše než o provedení jednorázového opatření je GDPR o nastavení dlouhodobých pravidel. „Je jasné, že ochrana osobních údajů je živý proces, souhlas se zpracováním osobních údajů bude muset poskytnout každý nový zaměstnanec, zákazník. Ten naopak může dle nových pravidel kdykoli svůj souhlas odvolat, což musí podnikatel neprodleně učinit,“ zdůrazňuje Dalibor Lukaštík.
Právě tyto procesy dosud většina firem nemá nastavené. V posledních dnech před ostrým startem GDPR odborníci odhadovali, že se s novým nařízením nevypořádala většina firem. Podle statistik společnosti Bureau Veritas jde o 85 procent subjektů, kterých se norma týká. „Očekávám, že v dalších měsících, a snad i s prvními udělenými pokutami za nedodržování pravidel, ještě dojde k masivnímu hledání skutečně efektivních řešení,“ míní Dalibor Lukaštík.
Co má mít organizace k 25. 5. 2018 splněno? „Ve zkratce: Má vést záznamy činností o zpracování. Zajistit organizační a technická opatření, to znamená zabezpečit elektronické a listinné dokumenty s osobními údaji, zajistit dodržování pravidel ochrany osobních údajů v organizaci například vydáním směrnice a kontrolou zajistit dodržování pravidel. Dále je třeba vystavit zásady zpracování osobních údajů na firemní web,“ podotýká Dalibor Lukaštík.
Kromě toho upozorňuje, že je také třeba informovat fyzické osoby při každém získávání osobních údajů, jako jsou objednávky, smlouvy, formuláře a podobně, o jejich zpracování, jeho účelu a právním titulu včetně základních informací o jeho právech. „Doporučujeme také vést kontrolní záznamy o činnostech zpracování osobních údajů pro případnou kontrolu. V neposlední řadě je pro firmy výhodné zavázat si smluvně své zpracovatele,“ zmiňuje Dalibor Lukaštík. Pro malé podnikatele a živnostníky, kteří si nezvládnou zaplatit poradenskou firmu nebo právní kancelář, proto vyvinul aplikaci xGDPR Express, která vedení formálních povinností zajistí.
Klíčové je nastavit správně procesy
Zavedení nařízení GDPR je přitom poměrně složitý proces. Nově zavádí princip odpovědnosti, tedy povinnost správců a zpracovatelů údajů bez ohledu na velikost a počet zaměstnanců zavést technická, organizační a procesní opatření, která budou v souladu s principy GDPR. Firmy tak musí nejen implementovat ochranu dat do firemních procesů. Musí i nastavit procesy, které budou správně fungovat po jejich samotném zavedení. Důležité jsou průběžné monitoringy a reporty fungování práce s daty, které vám pomohou odkrýt případné nedostatky, které by mohly být v budoucnu sankcionovány.
Pro správný chod je důležité si vyjasnit, kdo má ve firmě jaké funkce a povinnosti. Zaměstnanci, kterých se práce s daty týká, by si tedy měli být vědomi, kdo za co zodpovídá. A samozřejmě kam se mohou obrátit v případě nějakého problému, komu hlásit změny v datech. Důležitý je proces mapování jejich práce, zabezpečení dat a možná prevence případných problémů.
GDPR se týká velké škály údajů od personálních přes seznamy dodavatelů a odběratelů. Do osobních dat spadají i takzvané organizační údaje, tedy e-mailové adresy, telefonní čísla či další identifikační údaje vydané státem. Ale i data, která se nacházejí mimo IT systémy, například údaje v kartotékách, v souborech na plochách počítačů a podobně.
Z pohledu větších firem je proto vhodné zvážit využití externího dodavatele, který zmapuje současné nakládání s daty a pomůže nastavit procesy tak, aby byly takzvaně „GDPR compliant“. „Často se u zákazníků objevuje nedostatečné zabezpečení v celé škále řešení. Jedná se jak o nevědomost, jak je nakládáno s firemními dokumenty citlivými na data, tak i zabezpečení vnitřního a vnějšího perimetru, mobilních zařízení, notebooků anebo řešení fyzického přístupu zaměstnanců do systémů,” přiblížil nedostatky v zabezpečení dat Jiří Vančura.
Týká se všech zaměstnanců
GDPR se přitom netýká pouze Pověřence pro ochranu osobních údajů (DPO), ale v podstatě všech zaměstnanců, kteří s daty pracují. Lidský faktor bývá obecně považován za nejslabší místo systému. Proškolení zaměstnanců je proto velmi důležité. Každá firma by si měla připravit sadu jednoduchých doporučení, jak mají pracovat, aby nedošlo k problémům. „Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” potvrdila Alice Kubíčková, ředitelka Komory právní odpovědnosti.
V rámci procesů je taky důležité si uvědomit, jak musí podniky postupovat v případě problémů. Podnikatelé by si měli provést vyhodnocení možných rizik a připravit si krizový plán. Zpracovatelé záznamů musí vést záznamy o činnostech zpracování, za které zodpovídají. Budou muset spolupracovat s dozorovým úřadem, a musí si být jisti, že vybraný pověřenec pro ochranu osobních údajů je opravdu odborník a ví, co má dělat.
Podniky si musí zjistit, co všechno je nutné nahlásit na Úřad pro ochranu osobních údajů a co ještě není považováno za porušení zabezpečení dat. „Obecně se oznamují jen rizikové incidenty, kde je velké riziko zásahu pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování,” přiblížila Alice Kubíčková.
Podle ní by například v nemocnici mohla nedostupnost kritických dat o pacientech, i jen dočasná, představovat riziko pro práva a svobody jednotlivce, kdy může být například zrušena operace. Naopak, budou-li po několik hodin nedostupné systémy v mediální firmě, je nepravděpodobné, že by to představovalo nějaké riziko pro práva a svobody jednotlivce.
Lidé mohou žádat o opravu
Po firmě může navíc nově každý chtít získat informaci o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby, například nepřesnosti v údajích, může se domáhat provedení opravy. „Občan se může obrátit na Úřad pro ochranu osobních údajů případně také na soud a žádat provedení opravy či výmazu. Pokud správce nakládá s osobními údaji protiprávně, může na straně občana vzniknout škoda nebo nemajetková újma zásahem do jeho soukromí. Občan by se pak mohl domáhat náhrady škody, nebo odčinění nemajetkové újmy omluvou nebo odškodnění finanční náhradou,” upřesnila Alice Kubíčková.
Firmám ztěžuje situaci například to, že kvůli dalším zákonům a předpisům musí některá osobní data uchovávat velmi dlouho. „Doba uchování osobních údajů je často stanovena v jiných předpisech než v nařízení GDRP. Například některé osobní údaje zaměstnanců, které mají vztah k jejich nároku na starobní důchod, je třeba uchovávat 50 let. Doba uchování osobních údajů podle nařízení GDPR má však být vždy omezena na dobu nezbytnou k naplnění účelu činnosti, případně na dobu přímo uvedenou v souhlasu,” upřesnila Alice Kubíčková.
Vzhledem k rozdílným cílům uchovávání dat není možné dát jednoznačné doporučení, jak s uchováním dat pracovat. „Každá společnost by si měla dopředu určit, zda při nakládání s osobními údaji naplňuje některý ze zákonných důvodů pro nakládání s osobními údaji. Následně si musí určit, co je přiměřená doba pro naplnění účelu a podle toho nastavit systém kontroly,” dodala ředitelka Komory právní odpovědnosti.
Legislativa se bude ještě vyvíjet
Firmy budou muset také sledovat všechny změny a úpravy, kterými GDPR projde. Ty české to mají o to složitější, že v době startu účinnosti nařízení není v Česku ještě schválený potřebný adaptační zákon. I proto není nastavení GDPR v tuzemsku zcela jasné a bude se postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí.
Situace je o to složitější, že nařízení GDPR často nastaví cílový stav, ke kterému musí firmy dojít, ale cest, jak ho dosáhnout, může být i více. “Nařízení GDPR také obsahuje legislativně ne zcela konkrétní pojmy, takzvané neurčité právní pojmy, které zřejmě vyloží až sama praxe. Například pověřence pro ochranu osobních údajů musí jmenovat osoba, která v rámci své hlavní činnosti zpracovává osobní údaje, a toto zpracování vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů (osob). V rámci výkladu je tak potřeba přesněji vyložit pojem ‚hlavní činnost‘ a definovat, co se rozumí pojmy rozsáhlost, pravidelnost a tak dále,” přibližuje David Vavřínka, advokát LP Legal.
I když je GDPR všeobecně vnímáno spíše negativně, a jako další administrativní zátěž pro podnikatele, podle některých odborníků může firmám i prospět. „Osobně GDPR vnímám jako velkou příležitost sjednotit určité typy procesů a také urychlit zavedení některých nástrojů, které řeší GDPR komplexně, například kancelářské aplikace od společnosti Microsoft a podobně. Ve firmách se už dvacet let mluví o tom, jak je papírování nesmírně zatěžuje a že je dobré s tím něco dělat. A vím například o velké společnosti z oblasti automotive, která v souvislosti s přípravami na příchod GDPR zkrátila svůj přechod administrativy na digitální procesy o více než půl roku,“ říká Filip Dřímalka, zakladatel a šéf společnosti Digiskills.cz.
Stopka pro množství aplikací
Také on však vidí u GDPR některá úskalí. „Jako nevýhodu GDPR vnímám nemožnost využití mnoha aplikací třetích stran, mimo jiné nástroje na tvorbu formulářů, nástroje na komunikaci s uchazeči, onboardingové aplikace a podobně, u kterých není jasné, jakým způsobem s daty pracují nebo zkrátka nejsou s GDPR kompatibilní,“ říká Filip Dřímalka. Současně však dodává, že existuje celá řada nástrojů od zavedených firem jako Microsoft, Google nebo Autocont, které firmám přechod na GDPR usnadní.
Najít vhodnou aplikaci přitom není to jediné, co firmy musí řešit. Mnohé čekají rozsáhlé a hlavně nákladné investice do techniky. Mnohé z nich v tom zaspaly. „Kvůli chybějícím financím odkládají zejména technická opatření a investice do hardwaru – nákup nových serverů, multifunkčních přístrojů umožňujících zabezpečený tisk a podobně. Rovněž nestíhají změnit svou marketingovou strategii a v případě přímého marketingu zajistit souhlasy se zasíláním obchodních nabídek a newsletterů,“ poznamenává Jakub Kejval z Bureau Veritas.
Dalibor Dostál