9 minute read
GDPR v praxi
Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Redakce Reseller Magazinu se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace.
Pokud nakládáte s osobními údaji, musely přípravy na GDPR zasáhnout i vás. Pak musíte uznat, že implementace nejrůznějších opatření ani zdaleka nepřipomínala procházku růžovou zahradou. Jestli tomu tak bylo i u organizací, které disponují snad největším počtem soukromých údajů, které jsme kdy komu svěřili, jsme se rozhodli ověřit prostřednictvím několika krátkých otázek, jež jsme kladli firmám ze sektorů bankovnictví, e-shopů, zdravotnictví, ale i subjektům veřejné správy.
Nikdo nevěděl, jak na to Implementace GDPR dala velkému množství firem zabrat. I přes náročnost a komplikace spojené se zaváděním těchto opatření ani jeden z námi oslovených subjektů nijak zvlášť nehanil GDPR jako takové. Maximálně si stěžovali na nedostatečnou připravenost příslušných orgánů při výkladu českého překladu nařízení. Dalším bodem, na nějž si některé organizace stěžovaly, pak byla absence podpory státních orgánů. Moravskoslezský kraj například v tomto ohledu otevřeně vyjádřil svou nespokojenost: „Po určitou dobu (cca do poloviny loňského roku) jsme věřili, že budou na úrovni státu učiněny nezbytné kroky pro jednotnou implementaci GDPR ve veřejné sféře. Pak jsme však usoudili, že se musíme spolehnout sami na sebe a, jak se ukázalo, bylo to správné rozhodnutí – aktivizace ústředních orgánů proběhla mnohem později než za 5 minut 12. Koneckonců stále nebyl schválen nový zákon o ochraně osobních údajů, který by např. pro veřejnou správu mohl modifikovat některé povinnosti či výši případných sankcí.“
Nedostatečná opora místních orgánů značně zkomplikovala život nejedné organizaci. GDPR, které se v posledních měsících řeší doslova na poslední chvíli, přitom bylo ve své finální podobě známo už od 24. května 2016, kdy po schválení Evropským parlamentem vstoupilo v platnost. I tak trvalo české legislativě přinejmenším rok a půl, než
vydala metodiku posouzení vlivu zpracování dle čl. 35 nařízení. Ta podle informací od České průmyslové zdravotní pojišťovny vyšla až v únoru letošního roku, a to pouze jako návrh. Následovalo vydání její značné modifikace, které však vyšlo 1. června 2018, tedy až týden po datu účinnosti GDPR, kdy už měly být všechny organizace připraveny. Nedostatečná podpora ze strany státní správy naznačila přinejmenším dvě věci. Zaprvé v otázce GDPR neměl ještě donedávna zcela jasno ani příslušný kontrolní orgán, tedy ÚOOÚ, a zadruhé se můžeme podle dostupných informací domnívat, že to nebude (alespoň ze začátku) s kontrolováním až tak horké. Nedostatek pomoci od nadřízených orgánů územní samosprávy pocítili například na Plzeňsku. Naštěstí si však tamní krajský úřad dokázal poradit: „V počátcích příprav jsme pociťovali nedostatek metodické podpory a věci nepřispělo ani zdržení v procesu schvalování národní legislativy. Navíc od nás požadovaly pomoc nejenom naše příspěvkové organizace, ale i obce, zejména ty malé. Metodika pro veřejnou správu pak byla s předstihem před
účinností Obecného nařízení zveřejněna a i díky vzájemné spolupráci s ostatními krajskými úřady jsme přípravu zvládli.“ Jasně se k nedostatku informací vyjádřila také tisková mluvčí České průmyslové zdravotní pojišťovny Elenka Mazurová: „Nebylo včas k dispozici dostatek fundovaných zdrojů, metodik a jednoznačných postupů, kterých by se všechny organizace mohly držet a které by jednoduchou formou pomohly GDPR implementovat stejným způsobem ve všech organizacích v České republice. Existovalo velké množství nabídek poradenských společností a ne všechny se nám jevily jako cenově adekvátní a dostatečně fundované.“
GDPR? Za kolik? Rozdílnost jednotlivých nabídek poradenských společností jsme mohli vidět i v rozdílu přibližných vyčíslených nákladů organizací, které jsme oslovili. Nejlépe najdeme případné rozdíly na organizacích podobného typu a velikosti. Ke znázornění nám poslouží kraje. Z celkem čtrnácti krajů jsme v šesti případech dostali
přibližné vyčíslení nákladů na implementaci GDPR. Přičemž rozdíly mezi jednotlivými náklady byly diametrálně odlišné. Tyto stěží zanedbatelné odchylky si však lze relativně jednoduše vysvětlit. Každý úřad své náklady totiž vyčísloval trochu odlišně. Například Zlínský kraj se téměř vyšplhal na částku dvou milionů korun za celkovou implementaci pravidel pro GDPR, nicméně pro porovnání může posloužit například Plzeňský kraj, který sice analýzu vykonanou externí firmou vyčíslil na pouhých 165 000 korun, ale vůbec nezapočítal čas a od toho odvíjející se finance na mzdy zaměstnanců kraje: „Přípravy si samozřejmě vyžádaly čas našich zaměstnanců, ale nepřistoupili jsme k navyšování pracovních míst. Finanční prostředky jsme vynaložili na specializované vzdělávání zaměstnanců přímo zapojených do dané problematiky a na pořízení rozdílové analýzy.“
K poněkud odlišným částkám se dostali zástupci hlavního města, čemuž se ale opět nemůžeme divit, protože spravovali hned několik městských částí: „Vysoutěžili jsme společnost, která vytvořila nejen analýzu, ale pomohla nám identifikovat i veškeré procesy, kdy úřad pracuje s osobními údaji. Tuto společnost se nám podařilo vysoutěžit za 4,5 milionu korun. Další veřejné zakázky byly pro pomoc městským částem a dalším městským organizacím. Celkem jsme za pomoc s GDPR zaplatili kolem osmi milionů korun.“ Vyčíslení celkových nákladů veřejných útvarů je sice působivé, ale ani zdaleka nedosahuje výše, které musely zaplatit organizace velikosti Googlu nebo Facebooku. Pro představu jedna z největších českých bank, která se však svou velikostí ani zdaleka neblíží Googlu, ve spojitosti s GDPR utratila nemalou částku: „Samotná implementace podobných regulačních směrnic je pro nás z procesního hlediska standardem, jakkoli náklady spojené s regulací GDPR, které se v případě České spořitelny pohybují v řádech desítek miliónů korun, pro nás pochopitelně nebyly úplně zanedbatelné.“ O poznání lépe na tom pak byli profesně mladší konkurenti České spořitelny jako například Airbank: „Protože na trhu fungujeme teprve něco přes šest let, máme výhodu, že pracujeme s moderními technologiemi, díky kterým
jsme mohli změny implementovat snadněji. Navíc klienty v našich systémech nevedeme pod rodnými čísly, jak to bývá někdy zvykem, ale při příchodu klienta do banky přidělujeme vlastní jedinečná klientská čísla, což nám také velmi ulehčilo práci.“
GDPR nejde vyřešit „krabičkou“ Tato problematika se výrazně liší od předchozích nařízení a zákonů. Na rozdíl od zavádění EET šlo u GDPR o daleko rozsáhlejší problém. Nedal se totiž vyřešit pouhým zakoupením „krabičky“, jak jsme my Češi zvyklí, ale museli jsme se zamyslet nad svými pracovními postupy, a proto se nedalo vše jen tak odbýt. Jen se sami podívejte, co vše musela podniknout například pražská Nemocnice Na Homolce: „Nemocnice prošla vstupní analýzou, byl popsán aktuální stav zpracovávaných osobních údajů a probíhalo prověřování souladu operací s požadavky obecného nařízení a definicí nápravných organizačně technických opatření. Výsledkem byla definice více jak 120 dílčích konkrétních opatření, které organizace musela zajistit, aby došlo k naplnění potřeb nařízení a k jejich souladu. Došlo k novelizacím řady vnitropodnikových směrnic a nastavení nových postupů, především stran komunikace mezi zdravotnickými organizacemi, lékaři a pacienty. Zároveň proběhlo základní školení uživatelů, aby se zaměstnanci seznámili s potřebami, požadavky a nařízeními GDPR.“
Mezi bezpočet organizací, které spravují naše osobní údaje, spadají mimo jiné i dopravní podniky. Ani tento typ podniku však nebyl požadavků na bezpečnost vlastněných osobních údajů zproštěn. Například Dopravní podnik města Brna, který se celou záležitostí intenzivně zabýval už od loňského podzimu, si s problematikou GDPR poradil takto: „Byla oslovena všechna oddělení podniku, aby se zjistilo, jaké kategorie osobních údajů a v jakém rozsahu zpracovávají. Kromě toho jsme si jasně definovali účel zpracování ze zákonných důvodů nebo zajištění souhlasu. Zabezpečení osobních údajů – bezpečnostní, technické a organizační směrnice S15 a její revize, aby měli zaměstnanci jako zpracovatelé povědomí o Obecném nařízením GDPR. Vedení společnosti DPMB muselo také jmenovat pověřence pro ochranu osobních údajů. Naši zákazníci byli informováni prostřednictvím webových stránek v sekci O nás – ochrana osobních údajů.“
Jak již bylo výše zmíněno, na implementaci GDPR neexistuje žádný jednoduchý pracovní postup. Vše se vždy odvíjí od počáteční analýzy, podle které pak musejí konkrétní subjekty vyřešit dané slabiny. Podobně postupovalo i statutární město Ostrava: „Na začátku jsme museli zhodnotit aktuální stav a jeho soulad s obecným nařízením na ochranu osobních údajů. Museli jsme zmapovat veškeré agendy zpracovávání osobních údajů, posoudit možná rizika, proškolit zaměstnance, upravit stávající
smlouvy se zpracovateli osobních údajů, zpracovat nově souhlasy se zpracováním osobních údajů dle obecného nařízení, vytvořit vnitřní metodiky aj.“
Velmi diskutovaná je ochrana osobních údajů v nemocnicích a u obvodních lékařů. Všeobecná fakultní nemocnice v Praze se však nijak výrazně nelišila od ostatních zmiňovaných organizací: „Problematice GDPR jsme se začali věnovat v dostatečném předstihu. Díky tomu jsme zvládli pro tak velkou organizaci sami a efektivně uřídit celou mapovací část. Pracoval na tom více jak rok GDPR tým, složený z projektových manažerů, IT specialistů, právníků. Dohromady pět lidí (na částečné úvazky). Byla také samozřejmě nutná součinnost všech pracovišť, kterých se GDPR týká. Obecně, přesně kvantifikovat lidské nebo finanční zdroje je složité.“
Důležité je také uvědomit si, že shoda s nařízením GDPR není pouze jednorázovým úkonem, kdy si stačí stanovit určitá pravidla, podle nichž se budete neustále řídit. Navíc vydáním interní firemní vyhlášky se nic nezmění. Zaměstnanci si budou stejně pracovat po svém. Pokud chcete ve své firmě dosáhnout jakékoliv změny, musíte sáhnout k nejslabším článkům celého řetězu zpracovávání osobních údajů, tedy k lidem. Softwarové nástroje totiž vždy udělají jen to, co po nich chceme. Když budeme postupovat podle vnitřních předpisů, budou data ve větším bezpečí. Informace, jak správně nakládat s daty, se však musí dostat ke každému a ideálně díky školení. To pochopila například Vysoká škola báňská – Technická univerzita v Ostravě: „Pro jednotlivé součásti VŠB-TUO jsme stanovili garanty pro oblast ochrany osobních údajů, kterým jsme poskytli školení. Školení k této problematice jsme poskytli přibližně 200 zaměstnancům. V současnosti pracujeme na tom, abychom dostáli povinnosti informovat subjekty údajů o tom, jaké osobní údaje budeme zpracovávat a k jakým účelům.“
Proč GDPR? Naše zákony nestačí? Na českém trhu panuje také velmi vášnivá diskuze o tom, zda bylo GDPR vůbec zapotřebí. Naše stávající legislativa na ochranu osobních údajů, tedy Zákon o kybernetické bezpečnosti, na řadu prvků obsažených v GDPR pamatuje. Bohužel však penalizační možnosti tohoto zákona nepředstavovaly dostatečně velký pomyslný motivační bič, který by přiměl především velké organizace k činu. Jednoduše pro ně bylo výhodnější, aby zaplatily případnou pokutu v řádu desítek tisíc korun, než aby investovaly miliony do implementace nejrůznějších bezpečnostních opatření. GDPR však hrozí pokutami ve výši 100 000 eur, případně až 4 % celkového ročního obratu společnosti. Taková výše pokut může být pro řadu firem likvidační, což je také jeden z důvodů, proč začalo být GDPR tak „populární“. Veřejné organizace, jako jsou
například vysoké školy, si však v dodržování litery zákona nemohou vybírat, který zákon dodrží a který ne. Přesně tak na tom je i Vysoké učení technické v Brně: „Jako veřejná vysoká škola samozřejmě zpracováváme významné množství osobních údajů o našich studentech, absolventech či zaměstnancích univerzity, nicméně z velké části jde o údaje, které musíme povinně evidovat ze zákona. I před GDPR však VUT aplikovalo pravidla ochrany osobních údajů. Bohužel obzvláště je v České republice výklad nařízení poměrně ‚absolutizován‘ a již několik měsíců před začátkem platnosti probíhala dramatická prezentace možných dopadů případného nedodržení pravidel. Nepochybně se jedná o další byrokratické zatížení již tak administrativně velmi exponovaného systému. Na druhé straně ochranu osobních údajů chápeme jako nedílnou součást povinností každého vedoucího pracovníka, podobně jako je tomu např. v oblasti bezpečnosti práce či ochrany zdraví při práci.“
Někteří byli připraveni U některých subjektů však účinnost GDPR neměla až tak razantní dopad, protože vždy záleží na účelu, za jakým jsou data uchovávána a zpracovávána. Jedna z největších zdravotních pojišťoven u nás, Všeobecná zdravotní pojišťovna, tak nemusela mnohé procesy měnit: „Je potřeba si uvědomit, že VZP zpracovává osobní údaje většinou v rámci své úřední agendy. Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů, se tak u nás projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona. Ten, kdo dodržuje platný zákon o ochraně osobních údajů, nebude muset s výjimkou podrobnější evidence, případného ohlašování
bezpečnostních incidentů a jmenování pověřence pro ochranu osobních údajů, dělat mnoho navíc.“
Mnohé se nezměnilo ani u jedné z největších firem na světě – Googlu, který se již dlouhodobě kybernetickou bezpečností a ochranou osobních údajů zabývá: „V loňském roce jsme se zavázali řídit se novým evropským Obecným nařízením o ochraně osobních údajů (GDPR), a to u všech služeb, které v Evropské unii poskytujeme. Více než osmnáct měsíců jsme se věnovali konkrétním opatřením, jak tento předpis naplnit. Všechna popsaná opatření však navazují na to, na čem už několik let pracujeme s národními úřady na ochranu osobních dat, a snažíme se, aby tato opatření odpovídala jejich požadavkům. A to je zvýšit transparentnost, možnost volby a dát uživateli větší kontrolu. Spustili jsme Hlavní panel Google v roce 2009, Stáhněte si svá data v roce 2011, Můj účet v roce 2015, Moje aktivita v roce 2016, Kontrola zabezpečení v roce 2017. To jsou všechno kontrolní nástroje pro jednotlivé naše služby, kde si může uživatel nastavit úroveň soukromí, jakou požaduje.“
Pomůže GDPR něčemu? Nařízení GDPR podle mnohých balancuje na hraně mezi tím, zda je užitečné, či představuje příliš velkou byrokratickou a technologickou zátěž pro bezpočet společností. Všechny organizace, které jsme ve svém malém průzkumu napříč českým trhem oslovili, berou GDPR jako nástroj pro ochranu dat svých občanů, zaměstnanců, zákazníků, studentů či pacientů. Ani jeden z těchto subjektů nepochyboval o funkčnosti tohoto nařízení a o jeho primárním účelu, což můžeme brát jako dostatečný signál k tomu,
abychom řekli, že by mělo GDPR znamenat určitý pokrok směrem k dokonale zabezpečeným a nezneužívaným osobním údajům. Bohužel však tento zákon dává lidem do rukou také zbraň, která může být velmi nebezpečná. A nejen Fakultní nemocnice Královské Vinohrady se obává jejího zneužití: „V oblasti zdravotnictví je dle našeho názoru ochrana osobních údajů dlouhodobě na vysoké úrovni. Jednoznačným přínosem je zvyšování právního povědomí pracovníků FNKV o činnostech, které běžně vykonávají při své pracovní náplni. Dalším přínosem bylo odstranění duplicitních a pomocných evidencí, které přetrvávaly ,ze zvyku‘. Přítěží je naopak zvýšení administrativní zátěže a obava ze šikanózního jednání ze strany stěžovatelů, kteří nyní mají k dispozici velmi silný právní titul.“
Ztrátu jistých výhod přináší GDPR pro e-shopy. Ty mohou kvůli ztrátě řady kontaktů ze svých databází přijít o miliony korun v tržbách. I když řada z těchto e-shopů postupovala vždy dle platných zákonů, nyní se obává, že by GDPR mohlo mít negativní dopad nejen na ně, ale i na jejich zákazníky. Své pochyby vyjádřil i jeden z největších e-shopů na českém trhu Alza.cz: „Domníváme se, že se nakupování v e-shopech a e-mailingový marketing změnily bohužel v neprospěch zákazníka. Bez aktuálně téměř každodenního odklikávání souhlasů se zpracováním osobních dat hrozí, že nebude moci využít funkcionality e-shopů v celé šíři, na jaké byl dříve zvyklý – konkrétně jde např. o nabídky slev či personalizaci webu dle zákazníkových nákupních zvyklostí.“
Příležitost vs. přítěž Na hodnocení GDPR jako takového je příliš brzy. To je bez pochyb. K podobnému závěru došla také drtivá většina našich respondentů. Zároveň se však velmi často shodli i na závěru, že bude GDPR přínosem. Za všechny mluví vyjádření tiskového mluvčího Všeobecné fakultní nemocnice v Praze Filipa Brože: „GDPR jsme uchopili nejen jako povinnost, ale také jako příležitost – snažili jsme se jednotlivé fáze projektu dělat tak, aby z nich pak profitovaly další oblasti jako např. efektivnější fungovaní nemocnice, kvalitnější poskytovaní léčebné péče a lepší plnění práv subjektů osobních údajů. Významné také je, že jsme zmapovali administrativní i klinickou část natolik detailně, že výstup bude možné v budoucnosti využít jako vstup pro implementaci Zákona o kybernetické bezpečnosti.“ Zdalipak bude mít nakonec nařízení GDPR pozitivní dopad na bezpečnost osobních údajů, uvažovat nemusíme. Tento závěr je jasný. Ano. Jak si s ním však poradí české organizace a zda pro ně bude mít pozitivní efekt, to nám ukáže až čas.
