Opatření o ochraně osobních údajů známé pod anglickou zkratkou GDPR je na jednu stranu logický krok, který reaguje na masivní nástup digitalizace.
Opatření o ochraně osobních údajů známé pod anglickou zkratkou GDPR je na jednu stranu logický krok, který reaguje na masivní nástup digitalizace.
autor: Shutterstock

S nástupem internetu a inteligentních softwarových nástrojů, které zvládají i analýzu obřích nestrukturovaných dat, vzrůstá obava ze zneužití osobních informací. Proto Evropská unie přistoupila k opatření, které ochranu dat přitvrdí.

Ochrana osobních údajů byla zakotvena už v předchozí, dnes platné legislativě a příslušné instituce se jí věnují mnoho let. 25. května 2018 ale vejde v platnost nové nařízení o ochraně osobních údajů, tzv. General Data Protection Regulation (GDPR). Schválené vrcholnými orgány EU v dubnu 2016, představuje revoluční legislativu, která výrazně ovlivní chod všech firem i státních či neziskových organizací, jež evidují své zaměstnance, členy, zákazníky nebo příznivce. Hlavním cílem je postupně zavádět a zdokonalovat pravidla tak, aby zacházení s osobními daty nebylo bráno na lehkou váhu.

"GDPR je dnes již nutným krokem vpřed. Současný zákon o ochraně osobních údajů není dostatečně nastaven na prudký rozvoj informačních a digitálních technologií z posledních let," vysvětluje Vojtěch Marcín, zástupce tiskového mluvčího Úřadu pro ochranu osobních údajů (ÚOOÚ). A pokračuje: "Nařízení přináší rozšířená práva subjektů údajů, tedy všech těch, jejichž osobní údaje jsou zpracovávány, a naopak zpřísňuje povinnosti správců a zpracovatelů, kteří s těmito údaji pracují. Vše je sjednoceno pod jednotnými pravidly platnými pro celou EU."

Úkolem ÚOOÚ je výlučně dozor. Své aktivity bude koordinovat s Evropským sborem pro ochranu osobních údajů. Role obou subjektů jsou koncipovány jako komplementární s velmi těsnou spoluprací. Občanovi nařízení GDPR poskytne větší přehlednost a více práv v ochraně jeho osobních údajů. Na druhou stranu, systémová změna v EU přinese také určitá negativa, především pro firmy. Základní problém je v tom, že stále nejsou jasná všechna pravidla a jejich detailní výklady.

Na datech je závislá i přepravní a logistická společnost UPS, která nabízí služby v 56 evropských zemích a teritoriích pomocí více než 440 logistických center. "Potřebujeme řídit naše globální sítě a nabízet našim zákazníkům logistická řešení, která uspokojí jejich potřeby. Stále však existují určité nejasnosti ohledně některých požadavků GDPR, zejména v oblasti přepravy. Sem patří i sanace škod a sankce, opakované užívání údajů, oznámení o doručení adresované příjemci zásilky a části tohoto oznámení," uvádí Shirin Huber, která má v globální firmě na starosti právní ochranu osobních údajů

Snížení konkurenceschopnosti

Dalším problémem jsou náklady na nastavení pravidel nového nařízení v praxi. "Implementace GDPR s sebou ponese své náklady a ne o všech článcích nařízení jsme přesvědčeni, že přinášejí subjektům, jejichž údaje jsou zpracovávány, nebo správcům a zpracovatelům prospěch či přidanou hodnotu," konstatuje výkonný ředitel DPD CZ Ondřej Vaňha.

"Jako naši výhodu vnímáme fakt, že v ČR již delší dobu platí srozumitelný a dobře napsaný zákon o ochraně osobních údajů, který jsme dosud naplňovali, a proto nestavíme na zelené louce," komentuje Vaňha velké změny v nakládání s osobními údaji.

Podle analytiků poradenské společnosti BDO může malá firma v Česku zaplatit za nutná opatření až statisíce korun, pokud zanedbá přípravu. Hodně záleží na tom, do jaké míry jsou kvalitní její dosavadní procesní a softwarová opatření.

"I když je úmysl evropských orgánů dobrý, evropským firmám vzniknou nové náklady, které rozhodně nejsou zanedbatelné a ve výsledku mohou dlouhodobě navyšovat ceny výrobků a služeb. Dá se předpokládat, že nařízení z hlediska světového obchodu ztíží postavení evropských firem, zejména vůči již dnes velmi levné produkci z Asie, které je velmi těžké konkurovat," varuje Stanislav Klika z auditorské a poradenské společnosti BDO.

Lukáš Erben ze společnosti Gartner předpokládá, že hlavně některé menší subjekty buď zcela ukončí svou činnost, změní obchodní model a/nebo ztratí značnou část své konkurenceschopnosti ve srovnání s velkými organizacemi.

"Tyto obavy se objevují a dávají smysl. Zpravidla vycházejí z předpokladu dalších vícenákladů vzniklých evropským firmám v souvislosti s GDPR, které mohou na mimoevropských trzích zapříčinit další znevýhodnění oproti levným konkurentům - hlavně z Číny a Asie obecně," varuje Ondřej Vaňha.

Vysoké postihy

Se zásadními změnami přístupu k datům, včetně podstatného nárůstu odpovědnosti za jejich spravování, úzce souvisí rizika velmi vysokých postihů. Jde o případy, kdy litera nařízení nebude dostatečně naplněna a údaje nebudou dostatečně ochráněny podle požadavků těch, jejichž data firma či organizace spravuje. Proto je třeba brát GDPR vážně, nepodceňovat přípravné práce a nevystavovat se zbytečným rizikům.

"Nové nařízení zvedá laťku pokut na 20 milionů eur nebo čtyři procenta celosvětového obratu odpovědné organizace, což se může pořádně prodražit zejména globálním korporacím. Ale pokuty by neměly být hlavním motivem brát GDPR vážně. Ztráta osobních údajů zaměstnanců či klientů může totálně zničit dobrou pověst firmy budovanou roky či desítky let," upozorňuje Jakub Kejval, generální ředitel Bureau Veritas.

Maximální výše sankcí je opravdu vysoká a na první pohled skutečně působí až likvidačně. Článek 83 nařízení stanoví, že pokuty mají být ukládány tak, aby byly odrazující, ale přiměřené a ukládané dle okolností. "Věříme, že firmám, které k ochraně osobních údajů v podmínkách GDPR přistoupí odpovědně, by za dílčí pochybení či neúmyslnou nedůslednost neměly být ukládány pokuty v likvidační výši. Vše samozřejmě bude záležet na přístupu dozorového úřadu," říká Ondřej Vaňha.

"Pokuty by se měly chápat a používat jako varovný signál - a šance, jak zachránit důvěru zákazníků a zaměstnanců," nabádá Bart Willemsen, analytik společnosti Gartner.

Do data účinnosti GDPR zbývá necelý rok a většina českých společností ještě tento problém vůbec nezačala řešit. "Firmy by se na nové nařízení měly připravovat již nyní. Zavedení systémových změn, zejména v oblasti IT, si může v případě velkých společností vyžádat i rok příprav. Jejich odložení na později se nemusí vyplatit. Každá větší firma by si měla určit jednoho pracovníka, který bude na ochranu osobních dat dohlížet," radí Stanislav Klika.

Pověřenec - klíčová funkce pro nové nařízení

Do vícenákladů pro účinné prosazení nových pravidel je nutné zařadit i zřízení nové nezávislé kontrolní funkce pověřence pro ochranu osobních údajů (Data Protection Office, DPO). Jejich úkolem bude dohlížet na řádné zacházení s osobními daty a hlášení možných úniků dat a porušení zákona. "Vystupovat budou i jako prostředníci mezi zainteresovanými stranami - tedy dozorovými úřady, subjekty údajů a vnitřními útvary správce," upřesňuje Marcín. A dodává: "Pověřencem může být kdokoliv, koho jím jmenuje správce. Na tomto místě neexistuje ani žádný požadavek na ověření nebo prokázání profesních kvalit DPO či nějakého externě získaného osvědčení."

Výběr vhodného pracovníka není radno podceňovat už z toho důvodu, že za jeho pochybení odpovídá společnost jako celek. Vznikají tak kurzy, které poskytují vzdělání potřebné pro výkon funkce pověřence. Od letošního roku je nabízí například počítačová škola Gopas.

Zatímco dřívější kurz počítačové bezpečnosti se od počátku potýkal s nepříliš vysokým zájmem, téma "ochrana dat a soukromí pro běžné uživatele" se těšilo mnohem větší oblibě. "Z hlediska IT s ochranou osobních údajů úzce souvisí i zákon o kybernetické bezpečnosti, proto jsme vytvořili kurz 'Zákon o kybernetické bezpečnosti a GDPR - technické a procesní požadavky'," líčí Dagmar Mikulová, finanční ředitelka firmy.

Základní pilíře

GDPR se netýká jen IT, ale i dalších procesů kolem ochrany osobních údajů a řízení firmy obecně. Jedním z aspektů nového nařízení, které se bude týkat většiny firem bez ohledu na obor podnikání, je souhlas se zpracováním osobních údajů a s tím související souhlas se zasíláním obchodních sdělení, tedy reklamních e-mailů a elektronických newsletterů. "Veškerá data sesbíraná jinak než aktivním souhlasem uživatele, včetně pasivního souhlasu či nákupu databáze kontaktů, se nebudou smět dále používat. On-line marketing tak s příchodem GDPR čeká řada velkých změn," sděluje Filip Mejzlík, řídící rozvoj obchodních příležitostí ve VIVmail.cz.

20 mil.

Nové nařízení zvedá laťku pokut na 20 milionů eur nebo čtyři procenta celosvětového obratu odpovědné organizace, což se může pořádně prodražit zejména globálním korporacím, upozorňuje Kejval.

25. 5.

2018 vejde v platnost nové nařízení o ochraně osobních údajů GDPR.

72 hod.

je lhůta, do kdy mají organizace hlásit incidenty týkající se narušení ochrany dat, která představují riziko pro občany, tedy která mohou narušit jejich soukromí.

Třeba u vyjadřování souhlasu se zpracováním osobních údajů ze strany fyzických osob se nově odmítá zaběhnutý způsob zaškrtávátka "souhlasím se zpracováním údajů" a požaduje se konkrétnější souhlas, jenž také musí být vyjádřen jednotlivě ke každému zpracování, které se předpokládá. "Navíc se musí přesněji určit, na jakou dobu se souhlas vydává, nikoliv jako dosud běžné 'na dobu neurčitou až do odvolání'," informuje Ondřej Ševeček, odborník na IT bezpečnost z Gopasu. Podobně se nově zavádí povinnost proaktivně osobní údaje chránit a dokumentovat bezpečnostní opatření k tomu použitá.

Zavedení GDPR vyžaduje velké investice do analýzy stávajícího stavu a nákladné hledání co nejschůdnějších cest s právními poradci. Nařízení je hodně obsáhlé, pro firmy není snadné se v nových standardech rychle zorientovat. Na které základní myšlenky se mají organizace zaměřit, aby problematiku zvládly do požadovaného termínu?

Jak už bylo řečeno, správci osobních údajů musí zajistit od jejich držitelů souhlas ke zpracování dat v rozsahu, který odpovídá nové regulaci. Důležité je také převzetí plné kontroly a dohledu nad aktivitami v oblasti zpracování dat. "Zahrnuje především znalost nákladů i ceny za skladování dat, včetně rizika atd. Klíčovou roli pak hrají komunikace a odpovědnost. Jasné sdělení datovým subjektům, co je shromažďováno a k jakému účelu, jak dlouho to bude uchováno," shrnuje Bart Willemsen.

Přípravy firem na bezpečnostní transformaci

Posledním krokem bude samotný provoz, během něhož je třeba sledovat plnění zavedených opatření, a to zejména za účelem včasného odhalení narušení bezpečnosti. Pro firmu DPD CZ tak nové nařízení znamená celkově si zrevidovat dosavadní praxi správy a zpracování osobních údajů, detailněji ji zmapovat a definovat rizika, která s uvedenými činnostmi mohou souviset. A na ně zaměřit opatření k jejich snižování. "Musíme také přezkoumat všechny právně relevantní dokumenty, které se zpracování osobních údajů nějak dotýkají, přezkoumat dosavadní smlouvy se zpracovateli, změnit dosavadní interní předpisy o zpracování osobních údajů, upravit pravomoci a odpovědnosti některých pracovníků, revidovat způsoby získávání souhlasů se zpracováním, například telefonické, atd.," rozebírá Vaňha.

Firma samozřejmě také musí zajistit, že její praktické nakládání s osobními údaji bude dostatečně zabezpečené, ať už jde o elektronické zpracování, nebo zachycení údajů na fyzických nosičích, nastiňuje dále výkonný ředitel českého DPD: "V právních souvislostech to tedy není tak jednoduché, jak by se mohlo na první pohled zdát."

Splnit požadavky GDPR se v rámci všech svých obchodních jednotek snaží i UPS. Patří sem také zvyšování povědomí firemních zaměstnanců, kteří jsou v každodenním nepřetržitém kontaktu s osobními daty, a to nejen v práci, ale i v osobním životě. "Naši pracovníci absolvují školení tak, aby splňovali požadavky nových nařízení EU a i nadále chránili osobní údaje našich klientů, včetně svých vlastních," vysvětluje Shirin Huber.

Úniky dat nebo interních informací způsobují firmám nemalé škody, ať už finanční, nebo na dobré pověsti. Se zahájením platnosti GDPR ukládá organizacím povinnost všechny takové incidenty hlásit. Času na to ale mají málo, 72 hodin. "Organizace musí evidovat veškeré incidenty týkající se narušení ochrany dat, avšak hlásit jsou povinny pouze ty, které představují riziko pro občany, tedy které mohou narušit jejich soukromí," charakterizuje činnost Dagmar Mikulová. A doplňuje: "Lhůta 72 hodin není nepřekročitelná, ale její přesah musí být zdůvodněn. Je otázkou, co bude úřad považovat za opodstatněné překročení."

Specifika pro logistické firmy?

Současný zákon (č. 101/2000 Sb.) o ochraně osobních údajů je v praxi více než 17 let, takže jej české právní subjekty již mají "pod kůží". Nové nařízení vyžaduje především změnu v myšlení a chování lidí a to je něco, co se mění velmi pomalu. "R" v názvu GDPR napovídá, že jde o regulaci, čili dopadá na všechny organizace bez rozdílu. "Ty, které chtějí na evropském trhu působit, se budou muset podřídit," vyvozuje Bart Willemsen.

Nového legislativního nařízení se tak v podstatě dotkne jakákoliv organizace, logistické nevyjímaje. "Nevidím zde nějaká výrazná specifika pro logistické firmy, nabízí se však důkladně prověřit fungování toku dat a osobních údajů, pořizování, zpracování a archivaci, přes GPS systémy," soudí Jakub Kejval.

Náklady na opatření související s nařízením GDPR můžou přinést zvýšení konečných cen v řadě oborů. Bude hodně záležet na tom, nakolik dění firem spojené s dodržováním nového nařízení ovlivní náklady na softwarové řešení a lidskou práci. "To se jistě bude lišit podle oboru a náročnosti operací, nepochybně však existují firmy a obory, kde se vyšší náklady do konečných cen promítnou," myslí si Ondřej Vaňha.

Velké změny si do budoucna zcela jistě vyžádá i fenomén internetu věcí, tedy zavádění "chytrých" zařízení denní potřeby, která budou žít vlastním komunikačním životem, aby nám mohla lépe sloužit. Zároveň však budou poskytovat další a další informace, které budou vypovídat o nás a našich, často až nejintimnějších, zvyklostech. Pak bude muset ochrana osobních dat vstoupit do další, zcela nové fáze.

Autoři: Bohumír Kotora