Nová éra online života: GDPR přináší revoluci v ochraně osobních údajů

GDPR se s největší pravděpodobností týká i vás. Netušíte, o čem mluvíte? Raději čtěte.

Legislativa o ochraně osobních údajů není bohužel v České republice velmi dodržována, a i proto bude přicházející GDPR – obecné nařízení o ochraně osobních údajů z dílny Evropské unie – znamenat revoluci. A i když zůstává do začátku platnosti něco více než rok, většina firem připravena není. A často ani neví, že se jich změny týkají.

To si myslí Eva Škorničková, zakladatelka GDPR.cz a konzultantka právní ochrany osobních údajů. „Řada společností žije v naivitě, že i když mají pár zaměstnanců, tak se jich to netýká, což není pravda. GDPR se skutečně týká všech společností, které mají nějaké zaměstnance, anebo pokud OSVČ pracuje pro řadu jiných firem, které jí posílají a sdílí údaje svých klientů. Z mého pohledu se GDPR týká každého, jen v jiném rozsahu,“ říká v rozhovoru pro Tyinternety.

Mezi osobní údaje se počítá všechno, co vás může identifikovat – jméno, adresa, e-mail, telefon (řada z těchto informací je ale veřejných, protože se tak uživatelé často rozhodnou). Dále však jde třeba o podrobnosti z bankovních účtů a karet, zdravotnické dokumentace a v online světě třeba o IP adresy.

„Neexistuje kritérium jako počet zaměstnanců nebo velikost firmy. Kritériem jsou osobní údaje,“ vysvětluje Škorničková. A alespoň nějaké osobní údaje má snad každá firma nebo podnikatel. Co všechno se s novou legislativou dále změní, jaké to bude mít dopady, koho se týká, nebo jak bude fungovat v praxi? Tyinternety se ptaly za vás.

Pokuty z jednotek milionů na stovky

Představte čtenářům, co to GDPR vlastně je.

GDPR, neboli obecné nařízení o ochraně osobních údajů, je novým právním předpisem Evropské unie, který bude dost zásadním způsobem měnit celou problematiku ochrany osobních údajů. Je to nařízení, což znamená, že bude automaticky platné ve všech zemích EU a není zapotřebí žádná transpozice do lokálního právního řádu, jak je tomu v případě současné směrnice z roku 1995.

O jak velké změny jde?

V oblasti ochrany dat pro některé země může být revolucí, pro některé země evolucí.

Do které kategorie spadá Česká republika?

Bohužel bude spíše revolucí. Z jediného důvodu, současná legislativa není stoprocentně dodržována tak, jak by měla být, byť je současně platný zákon 101/2000 velice dobrým zákonem. Bohužel řada společností ho nedodržuje, hlavním důvodem je nízká úroveň pokut pro firmy, které ho nedodržují.

Jaké jsou v současnosti maximální pokuty?

Deset milionů korun. V loňském roce byla nejvyšší pokuta udělena společnosti T-Mobile ve výši 3,6 milionu korun za masivní únik dat klientů. Podle vyjádření úřadu, kdyby tento incident nastal už v režimu GDPR, by firmě mohla hrozit pokuta až deset milionů eur (zhruba 270 milionů korun).

Nově se tedy má úroveň pokut zvýšit až do výše dvaceti milionů eur (přibližně 540 milionů korun), správně?

Ano, anebo do čtyř procent z obratu společnosti, což se může v řadě velkých korporací dostat i na úroveň stovek milionů eur. T-Mobile měl to štěstí, že k tomu došlo ještě za platnosti současného zákona.

Eva Škorničková

Eva Škorničková

Kdy přesně začne GDPR platit?

Nařízení již bylo schváleno a je platné od dubna loňského roku. Účinné, tedy vymahatelné, bude od 25. května 2018. Evropské instituce tím dávají společnostem zhruba dva roky na to, aby přizpůsobily své fungování. Rok už máme za sebou, bohužel v loňském roce se podle mé zkušenosti moc neodehrálo, povědomí o GDPR začíná narůstat až v posledních týdnech nebo měsících. Společnosti tak mají de facto jeden rok na to, aby se přizpůsobily.

Většina tedy ještě připravena není.

Určitě na to připravené nejsou. GDPR, tak, jak se někdo mylně domnívá, není IT projektem, a není ani právním projektem. Přináší velké změny do firemní kultury v oblasti ochrany dat a zároveň dopadá na všechny sféry nebo procesy napříč organizací, horizontální i vertikální, takže svým způsobem bude byznysově-manažerským projektem.

Kde ty údaje vlastně máte?

Kterých firem se nařízení týká?

Všech, které pracují s osobními údaji, ať svých zaměstnanců nebo klientů, zákazníků. Výraznou novinkou je i jeho extrateritoriální účinek a dopad, nevztahuje se jen na společnosti se sídlem na území unie, ale i na všechny společnosti mimo EU, které se svou nabídkou služeb nebo zboží cílí na evropského rezidenta.

S jakými nejčastějšími problémy se společnosti při zavádění GDPR potýkají?

Vůbec největším problémem je v případě mnoha společností najít, kde všude osobní údaje mají. Některé z nich se musí seznámit s tím, co všechno osobní údaje jsou, a zároveň musí samy projít všemi informačními systémy, procesními nástroji, úložišti, řada osobních údajů se vyskytuje v papírové podobě a nejsou digitalizované.

Co v tomhle případě doporučujete?

Každé oddělení si musí udělat vlastní datovou inventuru a zjistit, kde tyto údaje mají a proč je mají, tedy jaký mají právní titul k tomu, aby je mohli sbírat a zpracovávat. To si vyžaduje součinnost řady oddělení v rámci společnosti. Často se setkávám s případy, že nemají přehled o tom, kde všude se může osobní údaj jednotlivého zaměstnance vyskytovat.

Jako například?

Třeba přijde do společnosti e-mail a v příloze je CV osoby, která se uchází o práci. Tohle CV nemusí přijít jen na personální oddělení, ale například i na oddělení nákupu, protože tam míří dotaz žadatele o práci, jestli tam nemají volnou pozici. V momentě, kdy vám přijde takový e-mail, máte osobní údaje dané osoby. E-maily vůbec jsou obrovským úložištěm osobních údajů, a to nestrukturalizovaných. Jsou v nich smlouvy se zákazníky, s klienty, personální dokumenty, to je nestrukturalizovaná část osobních údajů, které byste měli mít pod kontrolou.

Jedním z cílů GDPR je vyčistit firmy od naprosto zbytečných dat, které leží na různých uložištích, o kterých často samy neví, někdy i desítky let. Jsou nevyužité, ale mohou v sobě nést citlivé informace, které mohou být zneužity.

Přechod z opt-out na opt-in

Změní se povinnost firem oznamovat úniky informací?

Pro správce je stanovena povinnost, že pokud dojde k úniku dat s vysokým ohrožením pro daný subjekt, mají 72 hodin na to, aby tento incident nahlásili dozorovému orgánu. Nemusí hlásit každou prkotinu. Když by pracovník personálního oddělení připravoval smlouvy pro nově nastupujícího zaměstnance a zapomněl je v kopírce, která je veřejně přístupná, došlo k úniku dat, ale není to velký únik, takže pravděpodobně se incident nebude hlásit úřadům. Třeba zmiňovaný incident u T-Mobile by se měl nahlásit, a tady firma selhala, protože úřad se o tom dozvěděl z tisku, nikoliv od samotné společnosti, což znamená minusové body při rozhodování o výši pokuty.

Co se změní například ze strany uživatelů internetových služeb?

Nově budou muset být souhlasy naprosto jednoznačné a konkrétní, na rozdíl od současné praxe, kdy jsou zapadlé v několikastránkových dokumentech a napsány třímilimetrovým písmem. To už nebude uznáno jako relevantní souhlas, jako právní titul k zpracování osobních údajů. Budete muset vědět, k jakému účelu zpracování svoje údaje poskytujete, třeba i Facebook vám bude muset říct, k čemu plánuje vaše osobní údaje využívat.

Další novinkou ve službách je možnost opt-in. To znamená, že předtím, než je vůbec služba zprovozněna, musíte mít právo rozhodnout se, jestli souhlasíte nebo nesouhlasíte se zpracováním osobních údajů. Teď je to postavené na tom, že se to automaticky spustí a když se vám to nelíbí, můžete to vypnout, tedy je to opt-out.

Očekáváte, že se díky tomu zvýší povědomí o osobních údajích ze stran uživatelů nebo spotřebitelů?

Určitě, přinejmenším se jim vrátí právo rozhodovat o tom. Když třeba na Facebooku sdílíte osobní údaje, například fotografie z dovolené, tak dáváte veřejnosti jasnou informaci o tom, že nejste doma. Pokud se to spojí s dalšími osobními informacemi, vaší adresou, tak si umíte představit, co může nastat. Lehkomyslné chování uživatelů existuje a lidé by si to měli uvědomit.

Jaký dopad to může mít na chování firem?

Zároveň začne konkurenční boj a společnosti se budou navzájem kontrolovat, zdali investovaly do přizpůsobení se tomu nařízení, protože musí investovat nemalé částky do technických a bezpečnostních opatření, například šifrování dat.

GDPR má i pozitivní reputační vliv. Firmy, které pracují s citlivými údaji, jako nemocnice nebo headhunteři top manažerů, si nebudou chtít dovolit riziko úniku dat. Už teď na trhu vidím pozitivní odezvu v tom, že společnosti chtějí GDPR implementovat.

Protože jde o evropskou legislativu, budou jednotlivé země navzájem spolupracovat?

Ano, dozorové orgány budou v rámci stížností rozhodovat společně, rozhodování českého úřadu se bude týkat také rozhodování v Německu. Když například dojde k porušení ochrany dat českého občana na Facebooku, on podá stížnost u českého úřadu. Nicméně český úřad se musí automaticky spojit s úřadem v zemi, kde má Facebook sídlo – v Evropě je to Irsko –, a stížnost budou řešit společně, vydají společné rozhodnutí.

Pokud se to jedné straně nebude líbit, má právo dotázat se takzvanému sboru složeného ze zástupců úřadů jednotlivých evropských zemí. Takže si už nemůžeme uklidit, nebo se jednoduše případu zbavit. Subjekty, které poruší ochranu dat, se budou řešit na globální úrovni, což prospěje k transparentnosti.

Diskuze k článku