Od května začnou platit nová pravidla pro nakládání s osobními údaji, jež mají zamezit nedbalému přístupu k ochraně citlivých informací. „Ve firmách leží hromady dokumentů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To se bude muset změnit,“ říká odborník na danou problematiku Radek Kubíček.
Firmy, živnostníci, ale třeba i školy nebo nemocnice se připravují na nová pravidla, jež přináší Obecné nařízení o ochraně osobních údajů (GDPR). Nařízení, které schválila Evropská unie a u nás začne platit 25. května, se bude týkat všech podniků a organizací, které zpracovávají osobní údaje. Správci a zřizovatelé budou muset dokládat, jak svěřená data chrání.
Proč je podle vás potřeba chránit osobní data?
Každý z nás poskytuje osobní údaje při různých registracích, on-line nákupech nebo při využívání dalších služeb, včetně služeb veřejné správy. GDPR přináší kontrolu nad tím, jakým způsobem jsou naše data chráněna, a stanovuje pravidla pro ochranu našich práv.
Uvedu jeden příklad, kdy ke zneužití dat došlo: Jeden ze zaměstnanců IT oddělení společnosti T-Mobile odcizil klientskou databázi firmy, a kvůli tomu došlo k masivnímu úniku dat více než milionu zákazníků. Unikly údaje o tarifech, jména i data narození, průměrné útraty i čísla účtů. Společnost dostala pokutu ve výši 3,6 milionu korun. Kdyby k úniku dat takového rozsahu došlo až v okamžiku, kdy GDPR vstoupí v platnost, mohla by pokuta být vyčíslena na částku až 270 milionů korun.
Takže nařízení přenese odpovědnost za pochybení na zaměstnance? Definuje také případné sankce, které by je měly odradit?
Primární odpovědnost je vždy na straně správce osobních údajů – nejčastěji statutárních zástupců, v jejichž kompetenci je nastavit taková bezpečnostní opatření, aby k únikům docházelo v minimální míře. Určitá míra odpovědnosti však přechází také na zaměstnance, kteří jsou v roli zpracovatelů osobních údajů. Míra této odpovědnosti bude stanovena na základě zpracování analýzy rizik ve vztahu k agendám, ke kterým má zaměstnanec přístup. Na základě toho pak zaměstnavatel může požadovat náhradu škody, pokud se prokáže, že vinu za únik osobních údajů nese prokazatelně zaměstnanec.
Je možné odpovědnost přenést také na externí firmy, které pro organizaci osobní údaje zpracovávají?
Povinnost ochrany dat se bude vztahovat samozřejmě i na externí zpracovatele osobních údajů. Kromě mzdových účetních se to týká také například dodavatelů účetních programů, evidenčního softwaru a podobně. Zde je nutné smluvně stanovit nejen míru odpovědnosti za případný únik dat, ale také je důležité, aby si vedení společnosti ověřilo, jakým způsobem zajistil soulad s nařízením jeho dodavatel.
Co je všechno považováno za osobní citlivá data?
Patří sem údaje o rasovém a etnickém původu, sexuální orientaci, náboženském vyznání, informace o zdravotním stavu, trestních deliktech, genetické a biometrické údaje. Proto zde platí přísnější pravidla pro jejich zpracování. Řada subjektů brala osobní údaje na lehkou váhu. Přišli jsme třeba na to, že ve firmách leží hromada papírů volně na stole, kartotéky s osobními údaji se nezamykají, počítače s citlivými daty jsou volně přístupné. To bude potřeba, aby se změnilo.
Jeden účetní mi říkal, že bude muset dávat šanony do trezoru. Je to pravda?
Nařízení se samozřejmě dotýká i fyzické bezpečnosti, takže určitě budou muset mít uzamykatelné kartotéky. Pokud zálohují určitá citlivá data na serverech, tak by měla být zpřístupněna jenom určitým osobám. Bude potřeba dodržovat zásady kyberbezpečnosti.
Z čeho máte největší obavu vy sám?
V tuto chvíli mě nejvíce udivuje, kolik správců osobních údajů bere problematiku GDPR stále na lehkou váhu a vyčkává, jestli si to někdo nerozmyslí a nařízení nezruší. Jedná se nejen o komerční sféru, ale také o zástupce veřejné správy. Tito lidé si neuvědomují nebo podceňují rizika –například trestněprávní odpovědnost –, která mohou nastat. Pro obce a města i další žadatele to v případě prokázání trestného činu může znamenat i pozastavení dotací z Evropské unie.
Do budoucna se pak začínám obávat dvou věcí. Na straně jedné může docházet k zamlčování bezpečnostních incidentů, protože lidem bude připadat obtížné do 72 hodin definovat rozsah ztráty dat, připravit protokol a nahlásit vše na úřadu. Na druhé straně může dojít k tomu, že se roztrhne pytel se žalobami, které mohou v některých případech směřovat až k Evropskému soudnímu dvoru.
Je také velmi důležité jmenovat kvalitního pověřence pro ochranu osobních údajů. Jeho funkci řada lidí i subjektů neustále podceňuje a myslí si, že to bude jen funkce „na papíře“. Dokud nepadnou pokuty, které se budou medializovat, a nezačnou se představovat příklady špatné praxe, tak se řada organizací bude snažit nacházet kličky, jak nařízení obejít.
Na co všechno bude potřeba souhlas?
Souhlas bude nutný k využívání sociálních sítí, pro odběry newsletteru, k zasílání obchodních sdělení a podobně. Více však bude potřeba zaměřit se na to, jak musí takový souhlas vypadat – protože ty dnešní obecné souhlasy budou nedostatečné.
Změny se budou týkat i škol. Jsou již na zavedení nařízení připraveny?
Bohužel ne. Řada škol a školských zařízení vyčkává, jak se situace vyvine. Naše praxe ukazuje, že ředitelé nevědí, jak celou problematiku GDPR uchopit. Snažíme se díky spolupráci se Spolkem na ochranu osobních údajů nebo Asociací bezpečná škola připomínkovat metodiky ministerstva školství, ale také připravujeme případové konference pro ředitele škol. Prostřednictvím našich členů se snažíme být tou pomyslnou pomocnou rukou, proto se na nás školy mohou s důvěrou obracet s dotazy nebo požadavky na zajištění veškerých služeb, včetně funkce pověřence.
Co bude tedy pro školy GDPR v praxi znamenat?
Prvním krokem je v každém případě vstupní audit, který zhodnotí stávající stav a rozsah zpracování osobních údajů. Poté bude následovat přijetí určitých organizačních a technických opatření, která by však neměla nijak zásadně narušit chod školy. Dalším krokem bude zpracování analýzy rizik a stanovení míry odpovědnosti za zpracování údajů u jednotlivých pracovníků školy. Od května pak bude pro školy platit povinnost jmenovat pověřence pro ochranu osobních údajů.
Jaká bude role takového pověřence?
Funkce pověřence budí asi největší rozpory. Hlavním úkolem bude vykonávat poradenskou činnost a kontrolovat, jestli nařízení dodržují. Dále bude realizovat školení pro zaměstnance, analyzovat a ohlašovat případy narušení bezpečnosti a tak dál. Těch činností je mnohem víc. Ve školách bude často nutné zajistit tyto služby externě, a to kvůli možnému střetu zájmů stávajících pracovníků. Toho už využívají některé komerční subjekty, které sice lákají na nízkou cenu, ale služby pověřence nabízí jen přes telefon nebo e-mail, což podle mě nelze.
Spíše doporučujeme zajistit si prověřené společnosti na zpracování vstupního auditu a analýzy rizik a následně si zvolit schopného a kompetentního pověřence se zkušenostmi v oblasti informační, fyzické i kybernetické bezpečnosti a v oblasti práva a auditní činnosti. Na první pohled dražší paušální služby mohou škole ušetřit nemalé peníze v případě kontroly dozorových orgánů nebo žalob ze strany subjektů údajů. Také jim doporučuji, aby se nebáli smluvně vyžadovat pojištění odpovědnosti poskytovatele služeb, sankce a náhradu škody, ale také například dopravní dostupnost pověřence nebo jeho osobní účast v případě kontroly dozorových orgánů.
Když jdu dnes točit reportáž do školy, musím si opatřit písemný souhlas tamních žáků. Bude to nadále stačit, nebo bude systém ještě přísnější?
Pro tento účel určitě souhlas stačit bude. Pravděpodobně však bude nutné jeho znění upravit tak, aby splnil požadavky GDPR. Podle něj totiž souhlas musí obsahovat jednoznačně definovaný účel a dobu zpracování, musí být informovaný, doložitelný a ničím nepodmíněný.
GDPR se samozřejmě netýká jen škol, ale také třeba podnikatelů a živnostníků. Co budou oni muset dělat jinak?
Záleží na tom, jak dodržovali stávající zákon o ochraně osobních údajů. Pokud měli nastavené funkční procesy ochrany osobních údajů, určitě pro ně GDPR není strašákem a bude jim stačit aktualizovat stávající systém. V případě, že legislativu nedodržovali, čeká je spousta práce a GDPR pro ně může být hrozbou, protože teď během pár měsíců musí stihnout to, co řadu let zanedbávali.
Vezměme to teď z druhé stránky. Změní se třeba něco pro mě jako pro uživatele e-shopu?
Co se týče nákupu zboží nebo služeb, tak ne, protože tento proces od výběru zboží až po doručení k zákazníkovi se řídí platnými zákony. Pokud by však obchodník chtěl využít váš e-mail nejen k zaslání potvrzení objednávky, ale také například k rozesílání obchodních sdělení, nesmí být políčko s udělením takového souhlasu předvyplněno, ale musíte to být vy, kdo ho aktivně odklikne v případě, že zájem o takové e-maily máte. Kromě toho všichni obchodníci mají povinnost na svých stránkách zveřejnit zásady ochrany osobních údajů.
Z toho, co slýchám od učitelů nebo živnostníků, mi vyplývá, že si každý podmínky nařízení vykládá trochu jinak. Čím by se tedy měli řídit?
Zdravým selským rozumem, protože je potřeba najít optimální cestu k zavedení GDPR tak, aby správce údajů mohl s klidným svědomím prokázat, že udělal maximum pro to, aby zpracovávané osobní údaje chránil. Především je pak nutné, aby se organizace, které se do této problematiky snaží vnést světlo, sešly u kulatého stolu na ministerstvu vnitra a spolu s odpovědnými orgány se dohodly, jak nastavit jednotná pravidla do doby, než bude schválen adaptační zákon, tedy návrh zákona o zpracování osobních údajů.
Jaké podle vás nařízení přinese výhody?
Mezi výhody určitě patří nastavení jednotných pravidel a šance, že nebude docházet k prodejům klientských databází mezi firmami. Za důležité také považuji to, že bude jasně definovaná míra právní odpovědnosti jednotlivých zaměstnanců a všechno nepůjde na vrub organizace.
A naopak?
Největší nevýhodou z pohledu správců dat jsou finanční náklady. Implementace GDPR a dodržování pravidel ochrany osobních údajů pravděpodobně bude vyžadovat své stálé místo v rozpočtech organizací, protože problematiku ochrany osobních údajů nebude možné vyřešit jednorázovou investicí. Kvůli nedostatku kvalifikovaných auditorů a pověřenců se mohou nabídky na tyto služby vyšplhat k astronomickým částkám.
Je podle vás toto nařízení potřeba?
Já se domnívám, že ano. Řada subjektů bere ochranu osobních údajů na lehkou váhu a považuje osobní údaje za další komoditu ve firemním portfoliu. Kontrola v této oblasti je nezbytností, protože dnes je běžnou praxí, že se přístup k citlivým osobním údajům nekontroluje, spisy se povalují volně na stolech v otevřených kancelářích a klientské databáze se vesele rozprodávají na trhu.