Menu

GDPR cirkus přijíždí. Začínáme!

Myslíte, že ochrana osobních údajů nemůže být zábavná? Z omylu vás vyvede velkolepá show, která právě přijíždí do města. Nad vchodem se třepotá evropská vlajka s nápisem GDPR cirkus. Šapitó praská ve švech a pokud pracujete v kybernetické bezpečnosti, digitálním marketingu, ochraně osobních údajů či informací, zaručuji vám, že se budete bavit.

Všimli jste si, jak v poslední době spousta lidí jenom mluví o novém Nařízení pro ochranu osobních údajů neboli GDPR? Sociální sítě a média na nás chrlí články, pozvánky na různé přednášky, semináře či školení a internet je najednou plný instantních GDPR řešení. A kolik máme najednou expertů, kteří se vás snaží přesvědčit o své jedinečnosti a dokonalé znalosti GDPR. To téma je najednou všude, jako když přijede cirkus do města.

Tříkruhová manéž

Již není pochyb o tom, že GDPR je důležitým a přelomovým evropským předpisem, který dohání léta apatie v oblasti ochrany osobních údajů občanů. Pocity diváků i expertů jsou ale zatím smíšené, protože to, co pozorujeme, připomíná spíš cirkus.

Pokud jste někdy navštívili opravdový cirkus, mohli jste na vlastní oči vidět, že jsou v něm hned tři kruhové manéže, ve kterých probíhá současně několik představení. Jednotlivé, od sebe naprosto odlišné show mohou vyvolávat pocity zmatku a roztěkanosti. Kdo jsou hlavní účinkující GDPR cirkusu a jakou roli v něm hrajete právě vy?

Akrobaté

Tito vysoko létající umělci vyvolávají v publiku jen údivné vzdechy nad jejich ladnými přelety z jednoho místa na druhé. Nikde nevydrží dlouho, zato se urputně soustředí na jednu věc: přesvědčit vás, že toto je jediné řešení, které vás může zachránit! Počínaje dokonalým šifrovacím softwarem, různými bezpečnostními systémy na ochranu dat či dokonale bezpečným cloudem, a konče nabídkou služeb „certifikovaných DPO“, kteří za vás všechno vyřeší.

Klauni

Cirkus by samozřejmě nebyl kompletní bez klaunů. Co jsou zač? Mohu drze předpokládat, že roli klaunů hrají ti, kteří se snaží GDPR bagatelizovat či ignorovat? Nebo ti, kteří se vám snaží prodat zajíce v pytli? Klauni se vás ve skutečném cirkusu snaží rozesmát svou řečí těla, mimikou a grimasami. Úkolem klauna je vyvolat emoce v divákovi. Čím silnější, tím lepší. A nezáleží na tom, jestli je to pláč nebo bouřlivý smích. Naivní snílek, neohrabaný ve svém počínání, dokáže mistrně manipulovat s energií publika a vytvářet různé reakce. Každý je má rád, ale jen málokdo se o jejich roli uchází. Proč asi?

Krotitelé zvířat

Těmi jsou skuteční profesionálové, kteří vědí, jak správně uchopit celé nařízení. Jedná se o jedince, kterým nechybí trpělivost, zkušenosti a odhad pro to, aby předvídali a správně odhadli, jak se zvíře zachová. Znají dokonale prostředí, v němž se dlouhodobě pohybují, a GDPR je pro ně jen dalším kritériem pro správný úsudek. Pamatujte si, že neexistují experti na GDPR – pouze specialisté v oblasti ochrany dat, bezpečnosti informací, řízení rizik, práva či projektového managementu.

Tito krotitelé vynikají svou dovedností, vysokou kvalifikací, důvěryhodností a schopností odhadnout rizika svého počínání. Mají za sebou šrámy i porážky, ale velmi dobře vědí, že svou urputností a trpělivostí dosáhnou zkrocení zvířete, které nakonec pochopí, že je dobré svého krotitele plně následovat. Krotitelem se nikdo nestane přes noc nebo na základě placeného rychlokurzu ověnčeného krásně barevným certifikátem. Jejich schopnosti jsou výsledkem dlouhodobě nabytých zkušeností.

Ředitel cirkusu

Tím je nepochybně Úřad pro ochranu osobních údajů (ÚOOÚ). Avšak pozor, nejen on, ale i další evropské dozorové orgány budou zajišťovat, aby představení běželo stůj co stůj podle programu. Premiéra cirkusového GDPR představení začíná přesně 25. 5. 2018, ani o den dřív nebo později, a předpokládá se, že bude kompletně vyprodáno.

Že vás ten cirkus nezajímá?

Máte pocit, že nic z toho, co zde bylo s nadsázkou řečeno, se vás netýká? Bohužel vás zklamu. Korporátní slon i malá opička hrají v celém cirkusu svou velkou roli.

GDPR je na cestě a jakmile dorazí, tak to budou právě klauni, kteří s grimasou na tváři opustí manéž jako první. Premiéra se kvapem blíží a je načase, abyste se seznámili s rolí.

Seznámení s rolí

A teď trochu vážněji. V poslední době se čím dále více potýkám s dotazy, jak vlastně GDPR správně uchopit a kde začít? Neustálé omílání stejných pouček nikomu nepomůže se zorientovat v dost nepřehledné a v řadě případů spletité situaci, kdy ani sami zpracovatelé osobních údajů nevědí, kde je mají uloženy, proč je vlastně mají a k čemu je potřebují.

Změny vyplývající z této evropské normy dopadnou na celý systém řízení vaší organizace a na všechny její úrovně. Dotkne se samotné podnikatelské činnosti společností, a to v podobě úprav nebo změn obchodních procesů, funkcionalit v aplikačních rozhraních nebo v úpravě smluvní dokumentace. Bude mít za následek změny v procesech řízení rizik, lidských zdrojů, projeví se v úpravě pracovněprávních a dodavatelských smluv, v aktualizaci interních směrnic a veškeré dokumentace navázané na zpracování osobních údajů. Zásadním způsobem se dotkne i informačních technologií, u kterých budou společnosti a státní instituce povinny projít revizí datové architektury, aktualizací a případným upgradem systémů a bezpečnostních opatření ve všech vrstvách ICT infrastruktury.

Nařízení se týká každého subjektu, který zpracovává osobní údaje, ať už svých zaměstnanců, klientů, nebo obchodních partnerů. Dotkne se tedy mj. i marketérů a datových analytiků. GDPR představuje výrazné změny ve firemní kultuře a je svým rozsahem a dopadem strategickým manažerským projektem, nikoliv pouze technologickým či právním projektem, jak se i řada vedoucích pracovníků dotčených organizací mylně domnívá.

Implementace GDPR pravidel má své fáze, které nelze přeskočit, ani jinak obejít. Každá z nich má svůj smysl a jasně definovaný cíl, který usnadní provedení na ni navazujícího kroku. Představení „akrobatů“ je poutavé, ale z pohledu GDPR velmi krátkozraké. Je lepší zaměřit svou pozornost na „krotitele zvířat“, jejichž vystoupení ve vás určitě zanechá dlouhodobější zážitek.

1. Zmapování stávajícího stavu

Ať jste státní instituce, soukromá společnost, nebo v některých případech i živnostník, prvním krokem příprav by mělo být zmapování toho, jaké osobní údaje zpracováváte, kudy k vám přicházejí a jestli se po zpracování, když už nejsou potřeba, také smažou.

Nejde přitom jen o údaje zákazníků, ale i osobní data zaměstnanců, odběratelů a dodavatelů nebo třeba uživatelů webových stránek. Definice osobních údajů se přitom podle GDPR mění – v internetovém světě bude osobním údajem třeba také IP adresa, a za určitých podmínek jím mohou být i cookie soubory, které webové stránky používají k rozlišování uživatelů.

Nicméně různé osobní údaje budou vyžadovat rozdílnou úroveň ochrany. Je důležité upřednostnit řešení a ochranu hlavně citlivých osobních údajů, kterými jsou například údaje o finanční situaci, o zdravotním stavu, nebo údaje zaměstnanců, studentů, pacientů či klientů, pokud používáte profilování – tj. sledujete je, monitorujete, nebo o nich necháváte rozhodovat vaše počítače a automatizované systémy.

Součástí této fáze zmapování vlastního datového prostředí musí být i to, že se změnami a dopadem GDPR se seznámí, například formou firemního školení, zejména vedení vaší instituce či firmy. Budou to právě jeho členové, kteří budou rozhodovat o rozsahu jednotlivých projektů směřujících ke stavu uvedení společnosti do souladu s principy GDPR, o prioritních opatřeních a samozřejmě o nemalých finančních investicích. Příprava na GDPR představuje složitý proces, který se nedá řešit jedním projektem nebo dodávkou od jednoho dodavatele. Je to soubor drobných i větších změn v procesech, v IT systémech a právní dokumentaci, které navíc budou provádět různí dodavatelé.

2. Detailní analýza zpracování osobních údajů

Tato fáze si klade za cíl shromáždit veškeré důkazy k zákonnému zpracování osobních údajů a poté provést jejich podrobný rozbor. Ne vždy je potřeba žádat subjekt údajů, tedy například zákazníky, zaměstnance nebo obchodní partnery, aby poskytli výslovný souhlas se zpracováním svých osobních dat. Také ÚOOÚ tvrdí, že souhlas je v současné době nadužívaný, správcům by stačilo mít právní důvod nebo právní povinnost, ale přesto žádají ještě o souhlas.

GDPR je v této fázi příležitostí k revizi právních důvodů zpracování dat. Pokud analýzou dojdete k závěru, že pracovat s osobními údaji bez souhlasu nepůjde, budete muset posoudit, zda stávající žádosti o souhlas splňují všechny náležitosti podle nařízení. Zdali jsou srozumitelné a jednoznačné, protože GDPR již nebude tolerovat souhlasy „schované“ v hloubi všeobecných podmínek, jejichž podpisem předává osoba téměř neomezené právo s nakládáním jejích osobních údajů do rukou firem a státních institucí. A to nejenom pro účely, pro něž je poskytnout chtěla, například pro zpracování žádosti o půjčku nebo zaslání objednaného zboží, ale také pro potřeby marketingu. Nevyhovující souhlasy je proto nutné co nejdříve upravit a tím se vyhnout procesu jejich znovuzískání po květnu 2018.

Tato část analýzy je jakýmsi právním auditem, v jehož rámci provedete inventuru stávajících právních dokumentů, kterými jsou interní směrnice, smlouvy s dodavateli či zákazníky, v nichž se vyskytují osobní údaje.  

Jak už bylo několikrát řečeno, osobní údaje se mohou vyskytovat nejenom v dokumentech, a to jak v písemných, tak i v elektronické podobě, ale jsou součástí informačních systémů a různých procesních nástrojů. V rámci organizace může jít o data z externích zdrojů, která bývají často velmi opomíjena. Stačí si jen vzít příklad různých finančních či jiných poradců, kteří uzavírají pojistné nebo hypoteční smlouvy, jež pak následně doma „v krabici“ archivují. Z tohoto důvodu se řada organizací nevyhne tzv. datovému a bezpečnostnímu auditu, který by měl zmapovat výskyt osobních údajů napříč datovou infrastrukturou, různorodými úložišti a databázemi společnosti. Revize informačních technologií a úrovně jejich zabezpečení je naprostou samozřejmostí, na kterou nesmíte v této části analýzy zapomenout.

Výsledkem této fáze by mělo být shrnutí v podobě zprávy, která zhodnotí zjištěné výstupy a především vyhodnotí rizika spojená se zpracováním osobních údajů. Analýza rizik bude pro GDPR projekt klíčová, protože vám usnadní rozhodování o prioritách a napomůže zajistit maximální shodu v co nejkratším čase. Vysoce riziková zjištění budou vyžadovat okamžitou nápravu a měla by být dokončena ještě před samotnou účinností nařízení dne 25. 5. 2018. V praxi to může znamenat úpravu firemní dokumentace, vnitřních směrnic nebo smluv s dodavateli a mnohdy budou nutné i zdlouhavé úpravy IT systémů. V případě procesně řízených společností se nelze vyhnout procesním úpravám, nebo dokonce zásadním změnám, které nelze provést ze dne na den.

Dodržování stávající legislativy v oblasti ochrany dat, jakou je např. zákon č. 101/2000 Sb. na ochranu osobních údajů, je u drtivé většiny organizací bohužel podprůměrné až nulové, tudíž bych se příliš nezabývala konzultanty velmi marketingově podporovanou rozdílovou analýzou, do které budete zbytečně investovat jak čas, tak i finanční prostředky a jejímž jediným výsledkem bude zjištění, že ten rozdíl, mezi tím co je a co by mělo s ohledem na GDPR být, je hluboký jako naše slavná Macocha. Z mého pohledu bude rozumnější investovat veškerou energii a čas do výše zmíněné analýzy rizik.

3. Příprava projektových záměrů a jejich časového harmonogramu

Logickým vyústěním předchozí analytické fáze je důkladná příprava všech projektových záměrů včetně jasně definovaného časového harmonogramu, podle kterého byste měli jet, abyste stihli uvést svou organizaci do harmonického souladu s pravidly GDPR včas.

Zajištění tohoto souladu je dlouhodobým procesem a prioritizace projektů z pohledu vyhodnocených rizik vám pomůže nastartovat tento proces co nejdříve tak, abyste jej byli schopni dokončit před účinností nařízení. Z definice této fáze je naprosto zřejmé, že se jedná o týmovou práci klíčových odborníků – krotitelů, kteří mají svou nezastupitelnou roli, a jejich vzájemná součinnost bude nezbytná k úspěšnému dokončení každého dílčího projektu.

Celý tým by měl být veden zkušeným projektovým a procesním manažerem a troufám si říct, že jich bude na trhu velký nedostatek, stejně tak jako zkušených krotitelů zvířat. Už teď se setkávám s řadou koncepčních chyb, které organizace dělají, když přenechají řízení těchto projektů právníkům nebo IT specialistům. GDPR není právní ani IT projekt a někteří zástupci těchto profesí se s touto realitou jen velmi těžce smiřují. Jsou jen součástí většího týmu, který musí být řízen zkušeným projekťákem.

V rámci této přípravné fáze byste si rovněž měli vybrat svého pověřence na ochranu osobních údajů neboli DPO, pokud vám GDPR tuto povinnost ukládá. Bude to právě on či ona, kdo pak bude ve vaší společnosti nezávislým garantem správného nakládání s osobními údaji a také prostředníkem mezi vámi, dozorovým orgánem a veřejností.

Na téma správného výběru kandidáta na funkci DPO již toho bylo napsáno hodně, ale jedna informace je z mého pohledu podstatná. Měl by důkladně znát interní prostředí vaší společnosti a mít pozitivní vztah k práci, která s tím bude spojená. Konzultantů s „akrobatickými“ výkony se za poslední dobu na trhu vyrojilo jako hub po dešti, ještě včera nabízeli pojistky a teď se vám snaží dokonalým „klaunovským“ číslem prodat svou DPO službu. Buďte ve výběru svého DPO opatrní, protože bude hrát klíčovou roli a měl by to být právě on, kdo by vás měl ochránit před přísným „ředitelem cirkusu“.

Vámi vybraný pověřenec, ať už externí, nebo interní, nemusí mít vysokoškolské vzdělání ani žádný certifikát, který by ho okamžitě katapultoval do výšin vaší organizační struktury, zkrátka zkuste zapátrat ve svém okolí a věřím, že lidi schopné a ochotné vykonávat tuto práci najdete.

4. Spuštění jednotlivých projektových záměrů

Pokud se do této fáze dostanete ještě v letošním roce, tak máte skoro vyhráno. Prošli jste si náročnou, ale velmi důležitou fází analýzy, která vás jednoznačně navedla k tomu, co musíte změnit nebo nově zavést. Bude toho s ohledem na GDPR hodně, ale jsem přesvědčená o tom, že z dosaženého výsledku budete profitovat. Nejenže mnohem lépe zabezpečíte data všech osob, ale zároveň tím implicitně lépe ochráníte také svou organizaci před vnitřními i vnějšími útoky. Smyslem této fáze není zničit nebo nahradit vše, do čeho jste léta investovali a co jste složitě zaváděli, ale projdete si vnitřní inventurou, která jen odhalí, zdali je to z pohledu GDPR dostatečné. Zkrátka uděláte si větší generální úklid ve vaší společnosti a sami budete překvapeni, kolik zbytečných a po dlouhé roky nevyužitých dat a informačních systémů stále máte k dispozici.

S prováděním jednotlivých projektových záměrů by vám měl ideálně pomoct tým odborníků, který si s vámi prošel analytickou fází. Bude velmi dobře znát nedostatky a rizika, jež budete muset průběžně minimalizovat. Co se týká složení samotného týmu, může být kombinací vašich interních odborníků, jejichž role je nezastupitelná s ohledem na hlubokou znalost vnitřního prostředí. Na druhou stranu nemusíte disponovat zástupci všech nezbytných oborů, kteří tvoří projektový tým. Zde si pak můžete pomoct externí podporou, nejlépe z „krotitelské manéže“.

Ptáte se proč?

Určitě si kladete otázku, proč to musíte dělat, když už nás nechráněná a volně přístupná osobní data neustále obklopují. Doba se rychlým technologickým vývojem změnila, ale legislativa je stále stejná. Ta na ochranu osobních údajů je zde od roku 1995, kdy fenomény typu Facebook, Twitter, internet věcí a řada jiných zdrojů obrovského množství osobních dat vůbec neexistovala. GDPR jednoznačně posiluje právo nás, občanů, na kontrolu našich osobních údajů, které nás popisují a identifikují. Vrací zpět do našich rukou možnost rozhodování, jaké údaje a s kým budou sdíleny a jakkoliv obchodně či jinak využívány. Díky obrovskému a rychlému nárůstu objemu dat sdílených v digitálním světě vstupujeme do nové éry internetu. Hlavním posláním GDPR je nalézt rovnováhu mezi právem jedince na soukromí a právem všech na svobodný přístup k informacím. Kontrola nad osobními údaji by měla být vyvážená na obě strany, jinak nebude spravedlivá. A o to se právě GDPR snaží.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v platnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018