Za rok začne být účinná evropská směrnice GDPR

4. října 2017 9:48

GDPR (General Data Protection Regulation) je zkratka, kterou jste možná již někde přečetli nebo o ní slyšeli. Pod tímto označením se skrývá obecné nařízení na ochranu osobních údajů a je současným nejvíce uceleným souborem pravidel na ochranu dat na světě. Co přinese GDPR podnikatelům a samosprávám?

O tom co přinese GDPR podnikatelům a samosprávám mluvil časopis Komora s konzultantkou na ochranu dat Mgr. Evou Škorničkovou, která je externí specialistkou na tuto problematiku v AK Pečený, Fučík, Langer.

Co je to GDPR a proč se zavádí?

Toto nařízení o ochraně osobních údajů je souborem pravidel, která se týkají ochrany osobních údajů v rámci celé EU. Přijato bylo loni v dubnu a účinné bude od 25. května 2018. Jelikož se jedná o nařízení, je automaticky platné pro všechny členské země EU a nemusí být transponováno do národní legislativy. Hlavním důvodem, proč nařízení vzniklo, je skutečnost, že stále více osobních údajů se přenáší na internet. Lidé si mnohdy ani neuvědomují, jakým rizikům se vystavují tím, že vloží citlivé informace do nějakého systému. GDPR vrací rozhodování o tom, do jaké míry mohou společnosti a instituce zacházet s osobními údaji, do rukou lidí. Každá fyzická osoba by si měla uvědomit svá práva a sama o nich rozhodovat, k čemu mohou být její data využívána. Rovněž firmy a instituce, které s těmito daty pracují, nevěnují dostatečnou pozornost jejich zabezpečení, často dochází k únikům osobních dat.

Jaké zásadní změny nás tedy čekají?

GDPR se netýká jenom práva ani jenom oblasti IT. Já říkám, že přináší kulturní změnu v zacházení s osobními údaji. Jde o to, aby společnosti a veřejná správa začaly přemýšlet, jakým způsobem s osobními údaji zacházejí a nakládají. Sice už máme platný zákon o ochraně osobních údajů, který je velmi dobrý, ale 95 procent společností ho nedodržuje. Kdyby všichni dodržovali současně platné zákony, budou mít nejméně polovinu práce s GDPR hotovou. To se ale bohužel neděje. Vzhledem k poměrně nízkým sankcím snad žádný subjekt dosud neimplementoval všechny principy tak, jak to zákon vyžaduje. S GDPR ovšem přichází zásadní změna. Soukromé i veřejné subjekty budou muset zavést řadu opatření, jinak jim hrozí velmi vysoké pokuty. A mnohá opatření jdou ještě nad rámec současného zákona o ochraně osobních údajů. Například povinnost jmenovat pověřence pro ochranu osobních údajů. Změní se také princip spolupráce dozorových orgánů. U nás je dozorovým orgánem Úřad na ochranu osobních údajů, a pokud český občan bude mít problém třeba s Facebookem, podá stížnost k tomuto úřadu. Facebook má ale centrálu v irském Dublinu. Český dozorový orgán se tedy bude muset spojit s dublinským a celou věc řešit ve spolupráci s ním. Výsledek pak stěžovateli sdělí opět jeho mateřský úřad.

Kdo bude moci dát podnět dozorovému orgánu k vykonání kontroly?

Dozorový orgán může konat samostatně, tedy vytipovat si subjekt a přijít k němu na kontrolu z vlastní vůle. Já si ale myslím, že hodně podnětů bude pocházet i od samotných občanů, fyzických osob. Až si uvědomí, jaká práva mají, začnou asi mnozí tlačit na společnosti a úřady, aby jim sdělily, jaká data o nich zpracovávají a k čemu je užívají. A pokud nebudou spokojeni, budou si stěžovat. Někdy to může vést až k šikanování firem a institucí od lidí, kteří budou neustále dokola vyžadovat informace o tom, jakým způsobem se pracuje s jejich osobními údaji. Velký tlak nastane podle mě i v rámci konkurenčního boje. Pokud nějaká společnost investuje do ochrany osobních údajů velké peníze, pravděpodobně se ohradí proti konkurentovi, který bezpečnostní opatření zanedbává a díky tomu nabízí levnější produkty či služby.

Na jaké subjekty se GDPR vztahuje?

V podstatě na každou společnost či instituci, která pracuje s osobními údaji. A je jedno, zda se jedná o údaje klientů, pacientů nebo třeba zaměstnanců. GDPR má navíc extrateritoriální působnost. To znamená, že se nevztahuje jen na společnosti, které mají sídlo na území EU, ale i na ty, které prodávají zboží či nabízejí služby evropským rezidentům nebo monitorují jejich data. Takže dosah GDPR je celosvětový.

Co musejí v souvislosti s GDPR udělat samosprávy?

Vzhledem k tomu, že GDPR se vztahuje i na orgány veřejné správy, měly by se obecní, městské a krajské úřady seznámit s tím, co je čeká. V prvé řadě bych proto doporučovala navštívit nějaké školení. Dalším krokem by měl být vnitřní audit. Jeho prostřednictvím úřady zjistí, jaké typy osobních údajů o fyzických osobách, tedy občanech i zaměstnancích, zpracovávají a jak s nimi nakládají. To je pak třeba porovnat se zásadami GDPR a přijmout opatření, která pomohou uvést praxi do souladu s tímto nařízením. U veřejné správy je řada úkolů a operací s osobními daty prováděna ze zákona, a není k tomu proto třeba žádat souhlas občanů se zpracováním. GDPR ale výrazným způsobem posiluje práva osob. Jedním z nich je právo přístupu. To znamená, že fyzická osoba by měla přesně vědět, jaký typ údajů se o ní vede, kde jsou zpracovávány, s kým jsou osobní údaje sdíleny. Každému právu odpovídá povinnost na druhé straně. Takže i veřejná správa musí být připravena na to, že někdo přijde a zeptá se, jaké údaje o ní úřad vede, za jakým účelem a co s nimi dělá a jak je chrání. Úřad musí být schopen na takový dotaz relevantně odpovědět.

Můžete uvést některá opatření, která bude nutné na úřadech provést?

Určitě bude třeba posílit zabezpečení citlivých dat. Někde třeba mají všichni zaměstnanci z IT oddělení možnost nahlížet do pracovních smluv zaměstnanců ostatních oddělení. To ale přece není nutné a určitě jde zajistit, aby oprávnění nahlížet do smluv měli jen lidé, kteří se zabývají personální agendou. Řešit bude nutné například i posílání citlivých dat mezi jednotlivými úředníky. Odesilatel i příjemce sice mohou být oprávněni taková data zpracovávat, ale když si je pošlou běžným, nezabezpečeným e-mailem, může snadno dojít k jejich odcizení a následnému zneužití nepovolanou osobou.

Budou samosprávy muset zřizovat pozici pověřence pro ochranu osobních údajů?

Pověřenec je povinný i pro veřejnou správu. V současné době připravuje Ministerstvo vnitra metodiku pro organizace veřejné správy, jakým způsobem by měly činnost pověřenců pokrýt. Určitě bude možné mít pověřence společného pro více úřadů, a zvláště menší obce určitě budou hledat cestu, jak náklady na tuto funkci sdílet.

Kde by měly obce takového pověřence hledat? Je na tuto funkci předepsaná nějaká kvalifikace nebo certifikát?

Pověřenec bude jakýmsi průvodcem a auditorem zároveň, který danou instituci provede ochranou dat. Bude sledovat, zda jsou postupy nastavené pro zpracování a ochranu dat správné, a doporučovat úpravy a opatření. Musí to být osoba, která rozumí oboru dané instituce či společnosti. To znamená, že nemůže existovat jednotná kvalifikace, která by osobu opravňovala k výkonu této funkce. Úplně jiné nároky budou na znalosti pověřence v nemocnici a jiné třeba v bance.

Jaké postavení bude mít pověřenec v rámci úřadu?

Pověřenec nesmí současně vykonávat funkci, která určuje účel zpracování dat. Aby nekontroloval sám sebe. Nemůže tedy být například vedoucím personálního oddělení, oddělení IT a podobně. Podřízen bude přímo vedoucímu dané společnosti nebo jednotky, tedy například řediteli nemocnice, tajemníkovi úřadu a podobně.

Bude nutné kvůli GDPR měnit stávající informační systémy, nebo dokonce nakupovat nové?

Důležité je navázat na to, co už firmy a úřady mají. Proto opakovaně zdůrazňuji význam auditu. Je třeba zmapovat nástroje, které používáme, a zda a jakým způsobem je možné je přizpůsobit, aby byly v souladu s GDPR. Určitě nebude třeba všechno staré zahodit a pořizovat něco jiného. Rozhodně nedoporučuji podlehnout firmám, které v GDPR vidí obrovskou příležitost a budou se snažit nabízet nejrůznější produkty. Například šifrovací software. Nejdřív je třeba provést analýzu a teprve na jejím základě se rozhodovat, co dál.

Kde vidíte největší problém při zavádění GDPR do praxe?

Pro veřejnou správu budou velkými problémy čas a finance. Nařízení bude účinné od května 2018, a i kdybychom dnes začali s audity a analýzami, za rok se nejspíš nestihnou realizovat všechna opatření, která z nich vyplynou. Vždyť na řadu věcí bude třeba vypsat výběrová řízení podle zákona o zadávání veřejných zakázek, a to nějakou dobu trvá. Opatření budou něco stát a v rozpočtech samospráv na to nejspíš nejsou vyčleněné peníze. Chybět patrně budou i kvalitní odborníci, kterých není nadbytek, a jak se blíží účinnost GDPR, poptávka po nich jistě silně poroste. Co určitě mohu doporučit, je zohledňovat požadavky GDPR už v současných výběrových řízeních a zakázkách. Aby úřady nemusely za rok měnit něco, co si sotva pořídily.

Zdroj: businessinfo.cz

Zpět na výpis aktualit