Téměř polovina firem stále nezačala s přípravou na nové nařízení o ochraně osobních údajů (GDPR). Další velká část podnikatelů pak s přechodem na nový systém otálí a nabírá zpoždění. Vyplývá to z výsledků průzkumu poradenské společnosti BDO. Nová pravidla přitom začnou platit už v květnu příštího roku a jejich případné porušení sebou přinese astronomické pokuty.
Důvodem nepřipravenosti firem je hlavně složitost a obsáhlost nových pravidel. Podnikatelé často vůbec nevědí, čím začít a na co se zaměřit. Jedinou možností pak často zůstává obrátit se na specializovanou poradenskou společnost. Přístupy jednotlivých odborníků se liší, přesto je zde několik základních kroků, které by měl v rámci přípravy na GDPR učinit každý, kterého se nařízení týká. A ani zdaleka nejde jen o soukromé firmy.
Koho se nařízení týká?
„GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají osobní údaje fyzických osob. Dotkne se tedy nejen velkých mezinárodních firem, ale také drobných živnostníků, různých zájmových, sportovních a kulturních spolků, charitativních organizací, hotelů, bytových družstev a samozřejmě školských a zdravotnických organizací, které mají třeba jen jednoho zaměstnance nebo zpracovávají údaje svých klientů,“ připomíná právní konzultantka pro ochranu dat a GDPR Eva Škorničková a dodává, že tento výčet není ani zdaleka úplný.
Základním kritériem tedy není počet zaměstnanců, ale osobní údaje, které daný subjekt zpracovává. Nařízení tak paradoxně mnohem více dopadne na ordinaci soukromého lékaře či malou personální agenturu, než na velký závod, který se zaměřuje především na výrobu.
„Nejmasivnější dopad bude mít nařízení na banky, pojišťovny a veškeré zdravotnické organizace. Nemalou měrou pak zasáhne i online digitální svět a provozovatele aplikací,“ soudí Škorničková.
Škorničková: GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají osobní údaje fyzických osob.
Zvlášť pozorné by podle ní měly být firmy sbírající citlivé údaje, například o zdravotním stavu zákazníka.
„Takoví výrobci chytrých hodinek či jiných zařízení například ve fitness prostředí, které nám měří tlak, tep a řadu jiných údajů, které následně vyhodnocují, budou muset dodržovat mnohem přísnější pravidla,“ dodává.
Stanislav Klika ze společnosti BDO pak kromě rozsáhlosti nařízení upozorňuje na délku přípravy, která se podle něj může pohybovat i v řádu let. Nařízení však nabude účinnosti už 25. května 2018.
„Příprava na GDPR trvá v rozmezí od několika měsíců až po několik let v závislosti na objemu osobních údajů, složitosti procesů a IT prostředí dané firmy či organizace,“ uvádí.
Jaké jsou tedy základní kroky, na které by se měli podnikatelé a instituce během svých příprav zaměřit?
Proveďte přehled zpracovávaných údajů
„Ze začátku určitě doporučujeme, aby si firmy udělaly přehled v osobních údajích, které zpracovávají a kde mají tyto údaje uložené,“ zdůrazňuje Klika.
Bez toho totiž firmy nebudou moci osobní data na požádání zákazníků či klientů poskytnout. Už to by bylo porušením nařízení. Pokud si firma ověří, že osobní informace je schopná na vyžádání poskytnout a navíc se ujistí, že jsou dobře zabezpečené, může přistoupit k implementaci konkrétních ustanovení GDPR.
Velmi ulehčený přechod tak budou mít hlavně ty subjekty, které v minulosti neignorovaly v současnosti platnou českou legislativu v této oblasti. Podle odborníků je totiž hned zezačátku dobré zmapovat současný systém sběru dat a zpracování osobních údajů.
„Naše společnost vznikala v době, kdy sice ještě neexistovalo GDPR, ale i tak již byla v českém právním řádu stanovena vysoká ochrana osobních údajů a nakládání s nimi. Ale i v naší společnosti samozřejmě probíhá mapování způsobů zpracování osobních údajů a navazující postupná implementace zjištěných odchylek od nového evropského nařízení,“ popsala svou zkušenost Martina Höferová, ředitelka pro oblast produktů První klubové pojišťovny.
Klika: Příprava na GDPR trvá v rozmezí od několika měsíců až po několik let.
Celkově je ale v první řadě třeba získat dostatek informací o tom, jak přesně se nařízení firmy dotkne a co všechno bude třeba v rámci přechodu na nová pravidla změnit. Už v tomto ohledu je však často pomoc právníků nezbytná.
Vytvořte funkci pověřence pro ochranu údajů
Dalším krokem by mělo být zřízení samostatného orgánu, který se bude správou firemních dat zabývat. Podle nařízení bude mít povinnost zřídit funkci „pověřence pro ochranu osobních údajů“ každá firma či jiná instituce, která čítá více než 250 zaměstnanců. Odborníci ale radí, aby takovou funkci na pracovišti zřídil každý, kterého se nová pravidla týkají.
„Pověřenec pro ochranu osobních údajů je osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů,” přiblížil činnost pověřence David Vavřínka, advokát z kanceláře LP Legal.
Proškolte své zaměstnance
Firmy a instituce by ale neměly zapomínat na celkovou vnitřní reformu toho, jak data uchovávají a zpracovávají. GDPR se totiž netýká jen dat, která se nacházejí přímo v IT systémech, ale například i excelových souborů v jednotlivých počítačích. Proto nebude stačit jen změna počítačového systému jako celku, ale důraz se musí klást i na chování jednotlivých zaměstnanců. Z toho důvodu je nezbytně nutné interní školení.
„Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” zdůrazňuje ředitelka Komory právní odpovědnosti Alice Kubíčková.
Pozor na oznamovací povinnost
Součástí nových pravidel je i tzv. oznamovací povinnost v případě porušení zabezpečení, což je jeden z největších „strašáků“.
Kubíčková: Každý má právo získat informace o tom, jak se s jeho údaji nakládá
„Nově bude muset správce ohlásit porušení ochrany osobních údajů Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset informovat i osoby, kterých se únik týkal,“ připomíná Škorničková.
Právo na informace a právo být zapomenut
Stejně tak se v nařízení objevuje i zcela nová zásada – tzv. právo být zapomenut. I to je novinka, o které firmy často slyší poprvé.
„Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. Pokud uzná za vhodné, může žádat u správce, aby došlo k vymazání veškerých jeho osobních údajů, a bude tedy tzv. „zapomenut“,” upřesnila Kubíčková.
Škorničková: Správce bude muset ohlásit porušení ochrany osobních údajů Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl
Pravidla se budou časem vyvíjet
Vavřínka však zároveň dodává, že kvalitní přípravou na nová pravidla to nekončí, a to z důvodu, že u mnoha ustanovení nařízení stále není jasné, jak budou v praxi aplikována. Stejně tak existuje v rámci GDPR asi 50 ustanovení, které jsou obecnější povahy a vyžadují přijetí nové zákonné úpravy na národní úrovni. To však zatím česká vláda neudělala.
„Nařízení GDPR zcela jednoznačné není. Jeho výklad se bude postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více,“ uzavírá.
Autor: Lukáš Hendrych