Eva Škorničková: GDPR se není důvod obávat

Na trhu není žádný všespásný produkt, firmy musí začít důkladnou analýzou vlastního prostředí. Cílem finančních postihů není likvidovat malé firmy a nikdo nečeká, že bude každý 25. května 2018 na 100 % připravený. Přečtěte si tak trochu jiný rozhovor o GDPR a zjistíte, že panika opravdu není nutná.

Diskuze o GDPR začíná s blížícím se datem účinnosti nabírat na intenzitě. S čím české firmy nejvíce bojují v souvislosti s GDPR?

Je pravdou, že za poslední půlrok proběhla řada přednášek i seminářů a do povědomí se začalo GDPR skutečně dostávat. Česká veřejnost se probouzí a seznamuje s nařízením GDPR. Osvětová činnost, které se i já sama věnuji na svém webu www.gdpr.cz, je stále silnější. Pochopitelně stále koluje řada mýtů, které se týkají samotného obecného nařízení. Těmi se zabývám také, protože jsou to právě nedorozumění a omyly, kvůli kterým firmy s GDPR bojují. Ty nejrozšířenější se dají shrnout do několika bodů. V první řadě společnosti samy, byť se seznamují s pravidly a povinnostmi, které pro ně z GDPR vyplývají, mají zásadní problém s tím, jakým způsobem začít. Řada rádoby dodavatelů toho využívá a pokouší se společnostem nabízet, jak říkám, „krabici“. Tedy nějaký produkt, díky kterému bude společnost tzv. „GDPR compliant“. Je to bohužel aktuálně rozšířený trend, který razí IT firmy, jež si dobře uvědomují, že se jim s GDPR otevírají nové obchodní příležitosti.

Kde mají podle vás tedy společnosti začít?

Prvním krokem je určitě interní audit. Společnosti by měly zjistit, v jakém stavu je u nich ochrana osobních údajů, kde se tyto údaje nacházejí, kde je zpracovávají, s kým je sdílejí, kdo k nim má přístup. Na základě srovnání aktuálního stavu s tím, který by měl být podle GDPR, se mohou posunout dál. Do této analýzy by měli být zapojeni právníci, jelikož je důležité také přiřazovat k jednotlivým zpracováním osobních údajů adekvátní právní tituly, což zřejmě není žádná IT firma schopná dodat. Do analýzy se musí samozřejmě zapojit IT experti, kteří budou posuzovat úroveň zabezpečení osobních údajů. Pracujeme s informačními systémy – osobní údaje se dnes nacházejí primárně v elektronické podobě napříč různými systémy. S auditem a analýzou se samozřejmě společnosti nemusí potýkat samy, pomoci jim mohou experti. Zmapovat prostředí je nutné, protože je pravda, že řada společností zanedbávala ochranu osobních údajů. Současný zákon je sice dobrý, ale kvůli nízkým pokutám nebyl dostatečně dodržován. GDPR právě kvůli hrozícím pokutám působí jako tsunami a nutí společnosti reagovat. Nejde přitom pouze o oblast IT zabezpečení, ale řeč je o řadě procesů; jde o dlouhodobé záležitosti.

Zrovna pokuty jsou velkým strašákem, nemohou být pro některé menší subjekty likvidační?

To je právě jeden z dalších rozšířených mýtů. Pokuty nemohou být likvidační, už jen proto, že ctíme principy správního řízení. Je to velice rozšířený omyl, často se objevuje i v tisku. V současné době je nejvyšší pokuta 10 milionů korun, kterou může úřad udělit. Podle GDPR to může být až 20 milionů eur nebo i více, když jde o velkou nadnárodní korporaci. Je logické, že úřad nemůže udělit takovou pokutu malému e-shopu, respektive jakémukoliv subjektu, který nedosahuje vysokého obratu. GDPR je postaveno na principu rizika vzhledem k povaze osobních údajů, které jsou zpracovávány. Úřad nikdy neudělí tak vysokou pokutu, pokud půjde o malé subjekty. Na druhou stranu je pravda, že menší společnosti paradoxně mohou pracovat s mnohem větším objemem velmi citlivých osobních údajů než velká společnost. Například výrobní závod zpracovává akorát osobní údaje svých zaměstnanců, ale s údaji o svých klientech vůbec nepracuje nebo jen v omezené míře. Přísnější ochrana se podle GDPR vztahuje na citlivé osobní údaje. Může tedy dojít k tomu, že například menší personální agentura bude mít s GDPR více co do činění než velký výrobní závod s tisíci zaměstnanci. Platí, že se GDPR musí aplikovat u všech. Je důležité, aby i menší a střední společnosti zmapovaly své prostředí. Usnadní si tím další kroky, lépe jim půjde přenastavit některé procesy, vytvořit adekvátní dokumentaci, mít správně nastavené souhlasy od zákazníků – v případě e-shopů. Každá společnost je jiná, čekají ji jiné postupy a přizpůsobení se GDPR se odvíjí od charakteru osobních informací, které společnost zpracovává.

Podle analytiků koncem roku 2018 nebude více než polovina společností, jichž se GDPR týká, plnit veškeré na ně kladené požadavky. Je vůbec dost času na přípravy?

Kdyby se důsledně dodržovaly stávající zákony, jako je zákon o ochraně osobních údajů nebo kybernetický zákon, tak by společnosti neměly s GDPR zdaleka tolik práce, jako se to nyní jeví. GDPR bude mít dopad i na data governance, nejde zdaleka jen o oblast IT bezpečnosti. Souvisí to s celkovým přístupem ke zpracovávání osobních údajů. S GDPR dojde prakticky k přehodnocení celé firemní kultury. Je ale důležité používat zdravý rozum. Nařízení je v platnosti a společnosti zatím letos o moc dál nepokročily v přípravách. Do účinnosti GDPR zbývá necelý rok, jde o to začít činit kroky, aby se společnosti dostaly s GDPR alespoň částečně do souladu. Nedělám si iluze, že budou příští rok v květnu všichni dokonale připraveni. Všechno se bude utvářet za pochodu. Až se samotnou účinností, aplikací v praxi a rozhodováním dozorových orgánů bude vznikat nějaké prostředí, kde budou moci dozorové orgány určovat, jak jsou společnosti připraveny. Bude důležité sledovat rozhodování a konání úřadů i v jiných zemích, princip „one stop shop“, který s sebou GDPR nese, představí i jiný model fungování. Rozhodnutí v jiné evropské zemi by se pak mělo promítnout i v dalších. V každém případě je už opravdu nejvyšší čas začít, aby byly splněny alespoň základní nutné požadavky. Někomu se třeba nedostávají finance, ale čekat na rozpočet pro další rok není možné. Je zapotřebí provést už zmiňované analýzy, aby se společnosti seznámily se stavem svého prostředí a věděly alespoň, jaké další kroky budou muset učinit. Této nejistoty totiž využívá spousta dodavatelů, kteří na společnosti tlačí, aby vše vyřešily pomocí jediného certifikovaného produktu. Ale opravdu žádný „GDPR compliant“ produkt není, jde jen o marketingový tah. Úřad se také vyslovil jednoznačně – žádná certifikace v současné době neexistuje, uvažuje se o ní. Je možné, že budou certifikovány některé systémy a software, ale to je otázka budoucnosti.

V současné době je tedy těžké představit si, jak bude vypadat nějaká kontrola souladu s GDPR?

Přesně tak. Proto je také nyní kolem tolik hysterie, každý si představuje to nejhorší. Je důležité, aby společnosti vyvinuly alespoň nějakou aktivitu. Ta bude brána u dozorových orgánů jako polehčující okolnost, neboť se tím prokáže, že měly zájem a vzaly danou problematiku vážně. Nikdo ani neočekává, že budou mít všichni 100% splněno a budou hned připraveni. Jak říkám, až následným rozhodováním úřadů a směřováním v praxi se ukáže, zda jsou konkrétní opatření, která společnosti zavedly, dostačující či nikoliv. Bude to opravdu hodně individuální, záleží na tom, s jakými osobními údaji daná společnost pracuje a co zpracovává.

Čili GDPR je spíš takový živoucí organismus.

Rozhodně, GDPR není jednorázovou aktivitou. Půjde o dlouhodobé změny. Je tam zohledněn další technologický vývoj, pamatuje se na čím dál rozšířenější sdílení dat napříč různými aplikacemi a systémy, na sociální sítě, internet věcí… Je to úprava do budoucna, kvůli tomu také GDPR vzniklo, současná právní úprava je dnes už prostě nedostačující a neodpovídá technologickému vývoji.

Hodně společností si také neví rady s tzv. DPO, tedy pověřencem pro ochranu osobních údajů. Koho se týká povinnost mít DPO?

Povinnost mít pověřence mají orgány státní správy, týká se to i malých obcí. Pro státní správu je to obrovská výzva, jde o novou pozici, kterou budou muset státní orgány ve svých systémech vytvářet. Je ale možné, že bude fungovat jedna osoba – jeden pověřenec pro několik obcí, ministerstev, škol… Záleží samozřejmě na oboru, to je pochopitelně pro státní správu nelehký úkol. Co se týká soukromého podnikání, tak povinnost mít pověřence má každá společnost, která rozsáhlým způsobem systematicky zpracovává velké objemy citlivých dat. Jde především o společnosti typu bank, pojišťoven, veškerých zdravotnických organizací nebo personálních agentur, kde dochází ke zpracování mnoha citlivých údajů. Společnosti, které zpracovávají pracovněprávní osobní údaje, tedy údaje svých zaměstnanců, a obchodně jsou zaměřeny na jinou činnost, těch se povinnost mít DPO netýká. Na druhé straně se DPO dotkne také e-shopů, pokud provádí nějaké rozsáhlé profilování svých zákazníků. Pověřence může mít společnost i dobrovolně, pokud se pro to rozhodne.

Kdo bude pověřencem?

Funkce DPO může být vykonávána prostřednictvím interního člověka v kombinaci s externí službou. Nic si nenalhávejme, aktuálně není žádný GDPR expert, který jako DPO splňuje všechny certifikace a předpoklady. Obecné nařízení blíže nespecifikuje, kdo má DPO být, jde o nějaké obecné předpoklady, které má splňovat. DPO by měl znát problematiku ochrany osobních údajů, měl by mít zkušenosti s IT. Já klientům doporučuji, že DPO by měla být osoba, která dobře zná jejich firemní prostředí. Úplně něco jiného se očekává od DPO například v nemocnici či v bance. Proto je i nesmyslné DPO certifikovat, což se opět na trhu děje. Společnosti nabízejí dvoudenní kurzy, které z vás udělají DPO. Dle mého názoru je to nesmysl. Asi tak získáte nějaký vhled do GDPR, ale je mnohem důležitější, aby pověřenec pro ochranu osobních údajů znal prostředí, kde má působit. Těžko si dokážu představit, že půjde dělat DPO do nemocnice například člověk, který ještě včera působil ve finančním sektoru, a tudíž vůbec nezná prostředí, procesy a zákony týkající se zdravotnických zařízení. Tyto organizace by měly mít svého interního člověka a na další podporu, ať už právní, nebo IT, si mohou někoho najímat, pokud nemají vlastní zdroje. Výkon služby DPO bude v řadě organizací týmovou prací, nebude to mise jednoho člověka. Je na uvážení každé společnosti, jaký model zvolí a co jí bude vyhovovat. Jako DPO nemohou působit například ředitelé oddělení, která určují účel zpracování osobní údajů; to by bylo samozřejmě v přímém rozporu. Neboť DPO bude vlastně auditor, který bude kontrolovat, zda probíhá zpracování osobních údajů ve společnostech podle zákona. Proto nemůže být například ředitel IT oddělení současně DPO, jelikož by vlastně kontroloval sám sebe. Otevírá se tak prostor pro osoby, které dříve dělaly interní auditory, mohou to být také právníci.

Jak vás poslouchám, tak mám dojem, že ostatní GDPR moc démonizují.

Ano, mají na tom zásluhu právě společnosti, které tlačí ostatní do nesmyslných řešení, vytvářejí zbytečnou hysterii. Je to opravdu přehnané. Společnosti jsou pak pod velkým tlakem, denně jsou atakovány nabídkami různých IT firem, které slibují, že jim zakoupení jednoho produktu vyřeší GDPR, děsí je likvidačními pokutami a mnozí kvůli obavám a nevědomosti podlehnou. Jak jsem už zmiňovala. Ti, kteří budou postupovat systematicky, začnou důkladnou analýzou svého prostředí a následně můžou hledat ideální řešení, které pro ně bude výhodné finančně, ale i s ohledem na rizika, která pro ně z obecného nařízení mohou vyplývat. Není důvod se unáhlovat a hysterie opravdu není namístě.