Na Česko se valí obří byrokratická zátěž. Má zkratku GDPR. Domácí subjekty na ni nejsou připravené, stát se tváří jakoby nic. "Evropská komise - až na Věru Jourovou - si nad tím umyla ruce," říká Milena Jabůrková, členka představenstva Svazu průmyslu a dopravy ČR.
Na koho nařízení o ochraně osobních údajů, známé jako GDPR, reálně dopadne?
Úplně na všechny. Samozřejmě nejvíce asi na soukromý sektor, podniky a podnikatele, pracující s osobními údaji. Stranou ale nezůstane ani zdravotnictví, školství, výzkum či neziskové organizace, samosprávy, dokonce ani stát.
Co bude nová norma skutečně znamenat?
Asi nejvíce problematickým dopadem je povinnost zpracovatele osobních údajů zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení. Přeloženo do češtiny: ten, komu poskytnete svůj osobní údaj, bude muset prokázat, že udělal vše, aby váš údaj ochránil. Tato povinnost se bude vztahovat na většinu obchodních a jiných vztahů mezi dodavateli a odběrateli, ale také na situace, kdy nakupujete zboží nebo službu, při níž poskytujete nějaký osobní údaj. Stejně tak když vstoupíte v jednání s nějakým státním nebo samosprávním úřadem, když budete třeba v nemocnici a tak dále.
Připadá mi, že není v silách obyčejného smrtelníka všem těmto povinnostem dostát. Jak to budou firmy a jiné organizace v praxi řešit?
Půjde o dlouhodobý proces mapování, jaké údaje sbírám, kde je mám uloženy, jak je mám zabezpečeny, zda moje infrastruktura umožňuje přenos údajů či jejich výmaz. V některých případech si podniky budou muset zajistit služby takzvaného pověřence pro ochranu osobních údajů. Jeho hlavním úkolem se stane monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy ochrany osobních údajů uvnitř podniku i při poskytování služeb či zboží. Pověřenec může být jak v zaměstnaneckém poměru v dané organizaci, tak najímán externě.
Přirovnala bych to celé k systému, jaký podnik musí zavést kvůli bezpečnosti a ochraně zdraví při práci. V něm musíte mít potřebné vybavení splňující bezpečnostní normy, mít k dispozici prostředky ochrany, každý zaměstnanec musí být proškolen někým, kdo příslušná pravidla zvládá, a podobně.
Takže vznikne armáda poradců s kulatými razítky?
V současné době je pověřenců velký nedostatek. Této příležitosti využijí i advokátní, poradenské společnosti. Ne každá firma si dovolí takového pověřence zaměstnávat na plný úvazek. Pro mnoho podnikatelů bude lepší tuto službu koupit externě.
Ještě ke kulatým razítkům - v ČR se neplánuje žádný systém státní certifikace pověřenců - takže kulatá razítka nebudou.
Co bude považováno za osobní údaj?
Veškeré informace, které mohou vést k přímé nebo nepřímé identifikaci konkrétní žijící osoby. Tedy cokoli, co vám pomůže ji ztotožnit. Může jít o IP adresy, cookies a tak dále.
Budu jako občan novým nařízením skutečně více chráněn?
Ano. Kvůli přísným pokutám získá ten, komu svůj osobní údaj poskytnete, daleko větší motivaci uchovávat údaje jen pro účel, pro nějž jste mu ho poskytl. Jakmile tento účel pomine, je v jeho zájmu údaj vymazat. Zpracovávat údaje bude možné také na základě zákona.
Jak poznám, že se s mými údaji zachází skutečně jen způsobem, k jakému jsem svolil?
Můžete požádat o informaci, jakýsi výpis, zda jsou vaše údaje ještě uchovávány nebo co se s nimi dělo. Vzhledem k zmíněným vysokým sankcím panuje přesvědčení, že bude velmi riskantní tyto povinnosti porušovat.
A co údaje, které už jsem někomu v minulosti poskytl? Budou muset správci revidovat, zda je ještě uchovávají oprávněně?
Ano, tomu se nevyhnou. Jakmile nařízení začne platit, zacházení s již nabytými osobními údaji se s ním bude muset uvést do souladu. Jinak opět hrozí sankce.
Nezkomplikuje to kontakt občanů s úřady? Už dnes se často stává, že různým úřadům musíme věci sdělovat vícekrát. Lidé si stěžují, že registry nejsou mezi sebou dostatečně propojeny.
To si nemyslím, protože nějaká vize e-Governmentu je trochu něco jiného. Stát samozřejmě může propojovat registry, v nichž jsou osobní údaje shromážděny, a současně nařízení GDPR vyhovět. Čili pak už záleží na konkrétním státu, jak moc je ochoten a schopen v elektronizaci státní správy pokročit. Samozřejmě lze předpokládat, že budeme ze všech stran zaplaveni žádostmi o souhlasy.
Pojďme k začátku samému: proč bylo nutné nařízení GDPR přijímat?
Předně chci zdůraznit, že jde skutečně o nařízení, nikoli směrnici, jak je občas mylně uváděno. Nařízení Evropského parlamentu a Rady je daleko silnější norma než směrnice. Není nutno ho transponovat prostřednictvím zákona, zkrátka platí přímo a všechny subjekty se jím musí řídit.
Nová právní norma se přijmout musela. Dosud totiž platí pouze zastaralá směrnice z roku 1995. Technologie se za více než dvacet let výrazně posunuly a s nimi i způsoby, jak se s osobními údaji nakládá.
Je to důsledek budování jednotného digitálního trhu Evropské unie?
To bych neřekla. Jednotný digitální trh je relativně nová věc spojená prakticky až s Evropskou komisí Jeana-Clauda Junckera, kdežto GDPR se začalo připravovat už někdy před pěti lety.
Proti nařízení se zvedá masivní odpor podniků a podnikatelů. Proč? Sama jste uvedla, že normu bylo třeba aktualizovat.
Ano, ale to se nevylučuje. Že je nutné mít nová pravidla, ještě neznamená, že ta výsledná úprava je skvělá. Právě naopak. Pro podnikatelský sektor, ale nejen pro něj, to znamená nevídaný nárůst administrativy, požadavky na technologické vybavení a samozřejmě i s tím spojené náklady. Nám se navíc nelíbí, že příprava nařízení byla zpolitizována Snowdenovou aférou. Evropští politici najednou cítili obrovskou potřebu citlivé údaje chránit před sledováním ze strany USA. Stalo se z toho politikum a zdravý rozum se vytratil.
Jak velké budou náklady? Jsou už nějaké odhady?
Právě že nejsou. Zatím u nás nikdo neprovedl jediný, byť velmi hrubý odhad. Ale když postupně vychází najevo, jaké povinnosti bude nutné plnit, jde nám z toho hlava kolem. Bohužel stát zatím nemá žádnou strategii, jak podnikům, a nejen jim, s přípravou na nařízení pomoci. GDPR přitom začne platit od 25. května 2018. Je tedy nejvyšší čas se začít připravovat. Jeden rok pravděpodobně nebude stačit na to, aby podniky vše jakžtakž zvládly.
Je to jen otázka nákladů? Hovořila jste o drakonických sankcích za nedodržení pravidel.
A to je další věc. Pokuty jsou skutečně astronomické. Jejich maximální výše může dosáhnout až čtyř procent z celosvětového obratu společnosti nebo dvacet milionů eur, přičemž přednost dostane vyšší číslo. Bude ale záležet na řadě faktorů, jako je například povaha, závažnost a délka porušování, počet poškozených občanů a míra škody a zejména jaké kroky správce či zpracovatel učinil, aby škodám předešel. Dvacetimilionovou sankci ale může klidně dostat globální nadnárodní společnost stejně jako malý podnik s několika zaměstnanci.
O nařízení se sice hovoří, ale podle mého zatím nepříliš hlasitě. Přitom z toho, co říkáte, to vypadá na velký průšvih. Existuje nějaká platforma, která by podnikatele o tom, co se na ně řítí, informovala?
Zatím nic takového neexistuje. My jako svaz průmyslu a dopravy tlačíme na stát, aby zpracoval nějaký plán toho, jak se bude GDPR zavádět. Ministerstvo vnitra sice připravuje novelu zákon o ochraně osobních údajů, obáváme se však, že se kvůli volbám přijme na poslední chvíli.
Takže stát vám nijak nepomáhá?
Férově musím říci, že zcela napospas nás nenechává. Na Úřadu vlády funguje pod digitálním koordinátorem pracovní skupina, kde Svaz, další asociace, firmy či zástupci veřejné správy diskutují s Úřadem pro ochranu osobních údajů a ministerstvem vnitra jednotlivá ustanovení a jejich možná implementační úskalí. To je velmi užitečné, ale konkrétní plán podpory přípravy na nařízení ze strany státu chybí.
Možná paradoxně se nám nejvíce snaží pomoci eurokomisařka Věra Jourová. Komise si totiž po schválení nařízení "umyla ruce". Norma byla schválena, důsledky jsou vaše věc. Starejte se sami. Komisařka Jourová tuto hru svých úředníků nepřipustila. Je to asi tím, že sama dříve podnikala, takže má představu, co to pro nás bude znamenat. My spolupracujeme s českým ministerstvem průmyslu a obchodu, podpořilo nás při pořádání série školení, kterým říkáme "GDPR akademie". Pořádáme je ve spolupráci s Úřadem pro ochranu osobních údajů, začínáme 16. června. Tam se pokusíme podnikatelům vysvětlit vše kolem tohoto nového nařízení.
|
Milena Jabůrková Co je GDPR? |
