„Ať může GDPR působit jakkoli rozpačitě, jeho příchod ukončil pomyslný „divoký západ“ v oblasti ne/moderní ochrany osobních údajů.“, říká Petr John, GDPR specialista.
GDPR byl obrovský strašák pro naprostou většinu firem. Jaký vidíš progres s odstupem času? Myslíš, že už se společnosti vzpamatovali a naučili se s GDPR pracovat?
GDPR přicházelo trochu nešťastně, informace se objevovaly postupně. Převážně tedy ty negativní, které nejvíce vzbuzovaly emoce jako obrovské pokuty, zákazy, vysoké finanční náklady apod. Chyběla metodika, podle které by se dalo řídit, čekalo se na adaptační zákon (který vešel v platnost bezmála rok po platnosti GDPR) a v neposlední řadě výklad Nařízení je trochu volný a to vše dopomohlo rozšíření spousty mýtů a polopravd, které způsobily u firem paniku. Na začátku se mylně zdálo, že bez řádného písemného souhlasu nepůjde s osobními údaji vůbec nakládat. Tvořily se krkolomné souhlasy a představa jejich plošného podepisování způsobila hodně vrásek. Dnes už víme, že na drtivou většinu zpracování existuje jiný právní titul a souhlas je až to poslední řešení. Jako příklad mohu uvést výrok jednoho mého klienta, který se domníval, že kvůli GDPR nebude možné používat vizitky, protože k nim není písemný souhlas což je takhle zpětně celkem úsměvné. Já vždy v legraci a nadsázce připodobňuji GDPR k bibli, kterou si lidé po přečtení vyloží každý dle svého. V současné chvíli si myslím, že už většina firem GDPR přijala a dokáže se shodnout na základních principech. Přesto zůstávají oblasti, které si každý vykládá po svém a věří, že jeho pohled je ten správný, nebo alespoň dostatečný
Jak podle tebe obecně naše společnost vnímá GDPR?
GDPR je všeobecně vnímáno spíše negativně. Nejprve byla mediální smršť, panika a následně to vypadalo, jako že se nic neděje. Společnosti, které vyčkávaly najednou neměly moc důvodů GDPR připravovat a ti co se rozhodli do něho investovat, si to začali vyčítat. Pravdou je, že Úřad pro ochranu osobních údajů kvůli absenci adaptačního zákona přistupoval k povinnostem ochrany osobních údajů vstřícně a pokuty, které za první rok GDPR udělil, byly spíše symbolické. Dle obecného názoru většina firem považuje GDPR za nutné zlo a vidí v něm pouze navýšení práce a nákladů bez přidané hodnoty. Z mého pohledu GDPR přineslo i spousty dobrého. Z pohledu klienta mě těší, že firmy mé osobní údaje zpracovávají dle předepsaných pravidel a pouze ve stanoveném rozsahu. Firmám to dopomohlo k vytvoření či úpravě bezpečnostních pravidel a ke změně koncepce procesů (takové změny spousta firem odkládá do nekonečna), které mohu být často i efektivním přínosem.
Na co by si měly dávat společnosti největší pozor?
Mé doporučení je mít GDPR zpracované rozhodně celé. Ale jako první radu bych viděl plnění informační povinnosti. Je to taková vizitka společnosti a při prohlédnutí webové stránky resp. její části týkající se ochrany osobních údajů, dokážu celkem slušně odhadnout jak vážně to v dané firmě s GDPR myslí. Absence informační povinnosti je přímo červený maják symbolizující tady je něco špatně.
Uvedu příklad: Pokud má firma webové stránky, je nejsnazší cestou vytvořit podstránku, na které bude umístěné tzv. informační memorandum. To by mělo obsahovat rozsah osobních údajů, které se zpracovávají, za jakými účely, na základě jakých právních titulů, jestli data poskytujete někomu ze třetích stran, jak dlouho budete data uchovávat, jak jsou zabezpečena a samozřejmě vyplývající práva a povinnosti. Neměl by chybět kontakt nejen na pověřenou osobu ve firmě, ale i na Úřad pro ochranu osobních údajů.
Velmi důležité je zajistit řádné smlouvy se zaměstnanci, ale i všemi zpracovateli osobních údajů. Mít ošetřené mlčenlivosti a povinnosti týkající se pravidel ochrany osobních údajů např. formou směrnic.
Neméně důležitá jsou technická a organizační opatření např. fyzická bezpečnost (uzamčené vstupy, kanceláře, skřínky) přes řízení práv v informačních systémech, aby měli k osobním údajům přístup pouze pověřené osoby.
Jaké jsou první kroky kontroly GDPR a jak dále postupují?
Na začátek bych chtěl říct, že kontroly mohou být ze dvou důvodů. Dle stanoveného plánu, který je veřejný na stránkách ÚOOÚ a nebo na udání, na základě podnětu. V případě, že se nejedná o opravdu velké zásadní podezření, musí být podobných podnětů posbíraných několik. Předchází se tak možnému zneužití např. v konkurenčním boji, kdy by jedno anonymní udání způsobilo ihned auditní kontrolu.
V první fázi úřad provádí tzv. předběžné šetření, které provádí, aniž by danou společnost předem informoval. Čerpá z veřejných zdrojů např. webové stránky a plnění informační povinnosti, o které jsem se zmiňoval.
V druhé fázi dochází k výzvě dle § 54 odst. 1 písm. b) zákona č. 110/2019 Sb. a oznámení, kdy si úřad od společnosti vyžádá vyjasnění či neprodlenou nápravu protiprávního stavu. Právě v této části doporučuji maximální spolupráci s úřadem. Od přístupu se následně odvíjí, zda dojde k fyzické kontrole či úřad případ odloží.
V třetí fázi dochází ke kontrolnímu šetření, čemuž předchází oznámení (zpravidla datovou schránkou) s informacemi kdy a co bude konkrétně kontrolováno fyzickou kontrolou.
Následuje protokol o kontrole a 14 denní prostor pro námitky. Případ se ukončuje případnou sankcí (může i nemusí být) a nápravnými opatřeními.
Kde vidíš budoucnost GDPR?
Dle mého tady s námi bude GDPR už napořád. Jako Evropské nařízení platí plošně pro všechny členské státy EU a koneckonců je to asi dobře. Původní český zákon o ochraně osobních údajů byl účinný od roku 2000, kdy se internet v podobě jaké ho známe dnes teprve rozjížděl, a pravidla byla zcela nedostatečná. Případné sankce byly natolik nízké, že pro velké společnosti nepředstavovaly žádné riziko. Ať může GDPR působit jakkoli rozpačitě, jeho příchod ukončil pomyslný „divoký západ“ v oblasti ne/moderní ochrany osobních údajů. Další rozvoj moderních informačních technologií a chytrých zařízení je jen dalším důvodem proč má GDPR smysl a při troše štěstí se jednoho dne naše soukromé osobní údaje nestanou zcela veřejnou informací. Tedy alespoň do doby než to my sami budeme žádat
Petrovi bychom rádi poděkovali za velmi milý rozhovor a objasnění stále vyskakujících otázek kolem GDPR. Rádi bychom dodali, že komplexnost GDPR je samozřejmě složitější a vychází z něho mnohem více povinností, které se do samotného rozhovoru „nevešly“. Je velmi důležité se s tím zabývat do většího detailu a hlavně individuálně dle zaměření a činnosti jednotlivých společností.
Jsme v tom společně.