GDPR v praxi - druhá část
GDPR nejde vyřešit „krabičkou“
Tato problematika se výrazně liší od předchozích nařízení a zákonů. Na rozdíl od zavádění EET šlo u GDPR o daleko rozsáhlejší problém. Nedal se totiž vyřešit pouhým zakoupením „krabičky“, jak jsme my Češi zvyklí, ale museli jsme se zamyslet nad svými pracovními postupy, a proto se nedalo vše jen tak odbýt. Jen se sami podívejte, co vše musela podniknout například pražská Nemocnice Na Homolce: „Nemocnice prošla vstupní analýzou, byl popsán aktuální stav zpracovávaných osobních údajů a probíhalo prověřování souladu operací s požadavky obecného nařízení a definicí nápravných organizačně technických opatření. Výsledkem byla definice více jak 120 dílčích konkrétních opatření, které organizace musela zajistit, aby došlo k naplnění potřeb nařízení a k jejich souladu. Došlo k novelizacím řady vnitropodnikových směrnic a nastavení nových postupů, především stran komunikace mezi zdravotnickými organizacemi, lékaři a pacienty. Zároveň proběhlo základní školení uživatelů, aby se zaměstnanci seznámili s potřebami, požadavky a nařízeními GDPR.“
Mezi bezpočet organizací, které spravují naše osobní údaje, spadají mimo jiné i dopravní podniky. Ani tento typ podniku však nebyl požadavků na bezpečnost vlastněných osobních údajů zproštěn. Například Dopravní podnik města Brna, který se celou záležitostí intenzivně zabýval už od loňského podzimu, si s problematikou GDPR poradil takto: „Byla oslovena všechna oddělení podniku, aby se zjistilo, jaké kategorie osobních údajů a v jakém rozsahu zpracovávají. Kromě toho jsme si jasně definovali účel zpracování ze zákonných důvodů nebo zajištění souhlasu. Zabezpečení osobních údajů - bezpečnostní, technické a organizační směrnice S15 a její revize, aby měli zaměstnanci jako zpracovatelé povědomí o Obecném nařízením GDPR. Vedení společnosti DPMB muselo také jmenovat pověřence pro ochranu osobních údajů. Naši zákazníci byli informováni prostřednictvím webových stránek v sekci O nás - ochrana osobních údajů.“
Jak již bylo výše zmíněno, na implementaci GDPR neexistuje žádný jednoduchý pracovní postup. Vše se vždy odvíjí od počáteční analýzy, podle které pak musejí konkrétní subjekty vyřešit dané slabiny. Podobně postupovalo i statutární město Ostrava: „Na začátku jsme museli zhodnotit aktuální stav a jeho soulad s obecným nařízením na ochranu osobních údajů. Museli jsme zmapovat veškeré agendy zpracovávání osobních údajů, posoudit možná rizika, proškolit zaměstnance, upravit stávající smlouvy se zpracovateli osobních údajů, zpracovat nově souhlasy se zpracováním osobních údajů dle obecného nařízení, vytvořit vnitřní metodiky aj.“
Velmi diskutovaná je ochrana osobních údajů v nemocnicích a u obvodních lékařů. Všeobecná fakultní nemocnice v Praze se však nijak výrazně nelišila od ostatních zmiňovaných organizací: „Problematice GDPR jsme se začali věnovat v dostatečném předstihu. Díky tomu jsme zvládli pro tak velkou organizaci sami a efektivně uřídit celou mapovací část. Pracoval na tom více jak rok GDPR tým, složený z projektových manažerů, IT specialistů, právníků. Dohromady pět lidí (na částečné úvazky). Byla také samozřejmě nutná součinnost všech pracovišť, kterých se GDPR týká. Obecně, přesně kvantifikovat lidské nebo finanční zdroje je složité.“
Důležité je také uvědomit si, že shoda s nařízením GDPR není pouze jednorázovým úkonem, kdy si stačí stanovit určitá pravidla, podle nichž se budete neustále řídit. Navíc vydáním interní firemní vyhlášky se nic nezmění. Zaměstnanci si budou stejně pracovat po svém. Pokud chcete ve své firmě dosáhnout jakékoliv změny, musíte sáhnout k nejslabším článkům celého řetězu zpracovávání osobních údajů, tedy k lidem. Softwarové nástroje totiž vždy udělají jen to, co po nich chceme. Když budeme postupovat podle vnitřních předpisů, budou data ve větším bezpečí. Informace, jak správně nakládat s daty, se však musí dostat ke každému a ideálně díky školení. To pochopila například Vysoká škola báňská – Technická univerzita v Ostravě: „Pro jednotlivé součásti VŠB-TUO jsme stanovili garanty pro oblast ochrany osobních údajů, kterým jsme poskytli školení. Školení k této problematice jsme poskytli přibližně 200 zaměstnancům. V současnosti pracujeme na tom, abychom dostáli povinnosti informovat subjekty údajů o tom, jaké osobní údaje budeme zpracovávat a k jakým účelům.“
Proč GDPR? Naše zákony nestačí?
Na českém trhu panuje také velmi vášnivá diskuze o tom, zda bylo GDPR vůbec zapotřebí. Naše stávající legislativa na ochranu osobních údajů, tedy Zákon o kybernetické bezpečnosti, na řadu prvků obsažených v GDPR pamatuje. Bohužel však penalizační možnosti tohoto zákona nepředstavovaly dostatečně velký pomyslný motivační bič, který by přiměl především velké organizace k činu. Jednoduše pro ně bylo výhodnější, aby zaplatily případnou pokutu v řádu desítek tisíc korun, než aby investovaly miliony do implementace nejrůznějších bezpečnostních opatření. GDPR však hrozí pokutami ve výši 100 000 eur, případně až 4 % celkového ročního obratu společnosti. Taková výše pokut může být pro řadu firem likvidační, což je také jeden z důvodů, proč začalo být GDPR tak „populární“. Veřejné organizace, jako jsou například vysoké školy, si však v dodržování litery zákona nemohou vybírat, který zákon dodrží a který ne. Přesně tak na tom je i Vysoké učení technické v Brně: „Jako veřejná vysoká škola samozřejmě zpracováváme významné množství osobních údajů o našich studentech, absolventech či zaměstnancích univerzity, nicméně z velké části jde o údaje, které musíme povinně evidovat ze zákona. I před GDPR však VUT aplikovalo pravidla ochrany osobních údajů. Bohužel obzvláště je v České republice výklad nařízení poměrně ‚absolutizován‘ a již několik měsíců před začátkem platnosti probíhala dramatická prezentace možných dopadů případného nedodržení pravidel. Nepochybně se jedná o další byrokratické zatížení již tak administrativně velmi exponovaného systému. Na druhé straně ochranu osobních údajů chápeme jako nedílnou součást povinností každého vedoucího pracovníka, podobně jako je tomu např. v oblasti bezpečnosti práce či ochrany zdraví při práci.“
Někteří byli připraveni
U některých subjektů však účinnost GDPR neměla až tak razantní dopad, protože vždy záleží na účelu, za jakým jsou data uchovávána a zpracovávána. Jedna z největších zdravotních pojišťoven u nás, Všeobecná zdravotní pojišťovna, tak nemusela mnohé procesy měnit: „Je potřeba si uvědomit, že VZP zpracovává osobní údaje většinou v rámci své úřední agendy. Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů, se tak u nás projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona. Ten, kdo dodržuje platný zákon o ochraně osobních údajů, nebude muset s výjimkou podrobnější evidence, případného ohlašování bezpečnostních incidentů a jmenování pověřence pro ochranu osobních údajů, dělat mnoho navíc.“
Mnohé se nezměnilo ani u jedné z největších firem na světě – Googlu, který se již dlouhodobě kybernetickou bezpečností a ochranou osobních údajů zabývá: „V loňském roce jsme se zavázali řídit se novým evropským Obecným nařízením o ochraně osobních údajů (GDPR), a to u všech služeb, které v Evropské unii poskytujeme. Více než osmnáct měsíců jsme se věnovali konkrétním opatřením, jak tento předpis naplnit. Všechna popsaná opatření však navazují na to, na čem už několik let pracujeme s národními úřady na ochranu osobních dat, a snažíme se, aby tato opatření odpovídala jejich požadavkům. A to je zvýšit transparentnost, možnost volby a dát uživateli větší kontrolu. Spustili jsme Hlavní panel Google v roce 2009, Stáhněte si svá data v roce 2011, Můj účet v roce 2015, Moje aktivita v roce 2016, Kontrola zabezpečení v roce 2017. To jsou všechno kontrolní nástroje pro jednotlivé naše služby, kde si může uživatel nastavit úroveň soukromí, jakou požaduje.“
Pomůže GDPR něčemu?
Nařízení GDPR podle mnohých balancuje na hraně mezi tím, zda je užitečné, či představuje příliš velkou byrokratickou a technologickou zátěž pro bezpočet společností. Všechny organizace, které jsme ve svém malém průzkumu napříč českým trhem oslovili, berou GDPR jako nástroj pro ochranu dat svých občanů, zaměstnanců, zákazníků, studentů či pacientů. Ani jeden z těchto subjektů nepochyboval o funkčnosti tohoto nařízení a o jeho primárním účelu, což můžeme brát jako dostatečný signál k tomu, abychom řekli, že by mělo GDPR znamenat určitý pokrok směrem k dokonale zabezpečeným a nezneužívaným osobním údajům. Bohužel však tento zákon dává lidem do rukou také zbraň, která může být velmi nebezpečná. A nejen Fakultní nemocnice Královské Vinohrady se obává jejího zneužití: „V oblasti zdravotnictví je dle našeho názoru ochrana osobních údajů dlouhodobě na vysoké úrovni. Jednoznačným přínosem je zvyšování právního povědomí pracovníků FNKV o činnostech, které běžně vykonávají při své pracovní náplni. Dalším přínosem bylo odstranění duplicitních a pomocných evidencí, které přetrvávaly „ze zvyku”. Přítěží je naopak zvýšení administrativní zátěže a obava ze šikanózního jednání ze strany stěžovatelů, kteří nyní mají k dispozici velmi silný právní titul.“
Ztrátu jistých výhod přináší GDPR pro e-shopy. Ty mohou kvůli ztrátě řady kontaktů ze svých databází přijít o miliony korun v tržbách. I když řada z těchto e-shopů postupovala vždy dle platných zákonů, nyní se obává, že by GDPR mohlo mít negativní dopad nejen na ně, ale i na jejich zákazníky. Své pochyby vyjádřil i jeden z největších e-shopů na českém trhu Alza.cz: „Domníváme se, že se nakupování v e-shopech a e-mailingový marketing změnily bohužel v neprospěch zákazníka. Bez aktuálně téměř každodenního odklikávání souhlasů se zpracováním osobních dat hrozí, že nebude moci využít funkcionality e-shopů v celé šíři, na jaké byl dříve zvyklý – konkrétně jde např. o nabídky slev či personalizaci webu dle zákazníkových nákupních zvyklostí.“
Příležitost vs. přítěž
Na hodnocení GDPR jako takového je příliš brzy. To je bez pochyb. K podobnému závěru došla také drtivá většina našich respondentů. Zároveň se však velmi často shodli i na závěru, že bude GDPR přínosem. Za všechny mluví vyjádření tiskového mluvčího Všeobecné fakultní nemocnice v Praze Filipa Brože: „GDPR jsme uchopili nejen jako povinnost, ale také jako příležitost – snažili jsme se jednotlivé fáze projektu dělat tak, aby z nich pak profitovaly další oblasti jako např. efektivnější fungovaní nemocnice, kvalitnější poskytovaní léčebné péče a lepší plnění práv subjektů osobních údajů. Významné také je, že jsme zmapovali administrativní i klinickou část natolik detailně, že výstup bude možné v budoucnosti využít jako vstup pro implementaci Zákona o kybernetické bezpečnosti.“ Zdalipak bude mít nakonec nařízení GDPR pozitivní dopad na bezpečnost osobních údajů, uvažovat nemusíme. Tento závěr je jasný. Ano. Jak si s ním však poradí české organizace a zda pro ně bude mít pozitivní efekt, to nám ukáže až čas.