GDPR inovační příležitost, nebo strašák?
V polovině května roku 2018 vstoupí v platnost dlouho očekávané obecné nařízení na ochranu osobních údajů, neboli GDPR (General Data Protection Regulation). Zavedení tohoto nařízení je reakcí Evropské unie na současný nepoměr mezi možnostmi stávajících technologií zpracování dat a legislativou, která reguluje práci s osobními údaji.
Zjednodušeně řečeno, Evropské unie se tímto nařízením snaží o jednotné nastavení práv a povinností týkající se uchovávání a zpracování osobních dat občanů, ale i firem působících v rámci Evropské Unie. Organizacím, které spravují nebo zpracovávají osobní údaje tedy stanovuje jasná pravidla, jak s těmito daty nakládat a vyměřuje vysoké sankce za jejich nedodržení. Co představuje GDPR v praxi?
Úvodní slova mohou znít hrozivě a firmám, které s osobními údaji pracují, jistě vyvstane mnoho nepříjemných otázek. Ve skutečnosti lze vnímat toto nařízení jako inovaci, nikoliv jako omezování a nadbytečnou byrokracii. Citlivá osobní data soukromých i právnických osob by měla být vždy chráněna, neboť jejich zneužití může mít katastrofální následky. GDPR bychom tedy měli vnímat jako inovativní nástroj, který se snaží zneužití dat předejít. Umožní osobám Evropské unie (tzv. subjektům údajů) lépe kontrolovat, co se děje s jejich osobními údaji, upravuje vztahy mezi občanem a správcem údajů, ale také přiznává subjektům práva přístupu, opravy, výmazu, zapomenutí, omezení zpracování a přenositelnosti.
Správci a zpracovatelé osobních údajů mají povinnost respektovat tato práva a musí zavést takový systém v rámci společnosti, jenž bude v souladu s GDPR. Firmy, které jakýmkoliv způsobem zpracovávají osobní údaje, bez ohledu na svou velikost (ať už měřenou počtem zaměstnanců, obratem nebo jiným způsobem), mají povinnost zavést procesní, organizační a technická opatření za účelem prokázání shody s GDPR (tzv. princip zodpovědnosti).
GDPR zavádí mechanismus posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA). Toto posouzení musí vypracovat každý správce a zpracovatel, který provádí rozsáhlé automatizované zpracování osobních údajů.
V současnosti se na tuto problematiku zaměřují poradenské společnosti, většinou jsou to právnické kanceláře, nebo IT studia. Jejich zájmem je nabídnout služby těm firmám a osobám, které pracují například s osobními údaji zákazníků. Není od věci upozornit na skutečnost, že každá z výše uvedených skupin se snaží prodat své služby a to často na základě nepříliš věrohodných informací, které se spíše snaží GPDR představit v tom horším světle. Poukazují především na vysoké pokuty a obratem nabízejí služby na míru.
Někteří IT specialisté odvážně tvrdí, že GDPR je pouze o tom koupit si jejich „cloudové služby“ nebo „zabezpečovací software“, ve kterém už je vše obsaženo, vyřešeno a budoucího provozovatele služby už žádné další povinnosti nečekají. Právní poradci kontrují, že GDPR o IT službách vlastně vůbec není, a že je potřeba najmout „profesionální“ poradce, kteří se v mlze kolem GDPR vyznají a budou za tučné paušály nastavovat firemní procesy, kompetentní osoby a zajišťovat soulad s GDPR.
Je dobré zamyslet se, zda někteří takoví odborníci záměrně nevytvářejí nejasnosti a překrucují informace. Mohou se spoléhat na to, že se ztratí ve firemní byrokracii a zajistí si pro sebe na pár let pěkné živobytí. Je to více než pravděpodobné, zvláště, když se podíváme na jejich marketingovou strategii. Velká spousta poradců s předstihem investovala do propagace prostřednictvím konferencí a článků ve velkých médiích. Ty jsou založené především na strachu z vysokých pokut.
Na co by se měl zaměřit každý, pro koho bude v budoucnu GDPR velkou výzvou? V první řadě se nebát, a spíše než byrokracii vidět v této nové směrnici potenciál, jak s citlivými osobními údaji nakládat, jak na základě vysokého zabezpečení dat zvýšit obchodní možnosti své firmy. Je dobré vyvarovat se pochybným poradcům, včetně jejich „produktových balíčků“ a vybírat mezi velkými firmami, které v předchozích letech nevařily informační mlhu kolem GDPR, ale reálně tuto otázku řešily. Tou nejlepší referencí kvalitních poradenských firem jsou právě jejich zákazníci. Ve velké většině jsou jimi bankovní ústavy, které patří mezi ty podnikatelské subjekty, které musí mít zabezpečení dat v naprostém pořádku a na vysoké úrovni.
Tyto profesionální firmy těží především z dlouholetých zkušeností a zaměstnávají nejen dobré právníky, ale i IT experty, kteří se dokáží na celou problematiku podívat komplexně. V neposlední řadě je jejich jméno po desetiletí zárukou dobře odvedené práce a to v celosvětovém měřítku.
Společnost Deloitte připravila pro zájemce o tématiku GDPR informativní mikrostránku direktiva GDPR, která osvětluje základní principy GDPR a objasňuje, koho se GDPR týká. Dále upozorňuje na možná úskalí i na data, která je třeba pečlivě sledovat. Jednou z hlavních priorit je také objasnění práv i povinností provozovatelů těchto služeb.
Autor: Jitka Závodná