Tak hlavní nápor bychom měli za sebou a můžeme rekapitulovat, co tak firmy nejvíce tlačí. A je to (nepřekvapivě) nedostatek relevantních informací. Ze všech stran se hrnou různé názory a upozornění, ale dost z nich je buď nepřesných, nebo dokonce nesmyslných. Setkal jsem se s názorem v jednom sdružení vlastníků bytových jednotek, že musí v souvislosti s GDPR odstranit jména ze zvonků. Opravdu si někdo myslí, že toto byl záměr zákonodárců, když tu normu tvořili? Pokud chcete mít jistotu, že získáte správnou informaci, určitě začněte hledat nejprve na webu Úřadu pro ochranu osobních údajů.

V minulém týdnu jsem se setkal se zajímavým přístupem. Jeden člověk mi řekl, že u nich nezpracovávají osobní údaje, protože jakmile je použijí, hned je smažou. Zajímavá myšlenka. Bohužel, nesprávná. I mazání je zpracování. Nehledě na to, že než mohu nějaká data smazat, musel jsem je asi někam uložit. Takže – tudy ne, přátelé. I v tomto popsaném případě je dobré se ochranou v souladu s GDPR zabývat.

Minulý týden mi má vlastní žena řekla: „Nikdo nemá rád GDPR a ty se tím chceš živit.“ Zarazilo mě na tom, jak vlastně pokřiveně vnímáme pravidla, která stanovuje Evropská unie. A priori odsoudíme vše s pocitem, že si na nás zase v Bruselu něco vymysleli a nám to komplikuje život. Přitom právě GDPR je nařízení, které by mělo chránit nás všechny. Onehdy jsem četl článek o tom, jak masivně rostou incidenty související s průnikem k osobním údajům nebo jejich krádeží. S našimi personáliemi se na internetu vesele obchoduje a mnohé firmy si vůbec nedělají hlavu s tím, že by data svých zákazníků měly nějak zabezpečit. A to se nám vůbec nelíbí. Ale když přijde nařízení, které by to mělo změnit k lepšímu, bereme je jako zlo. Skotský filosof Thomas Carlyle řekl: „Staňte se čestným člověkem a můžete si být jisti, že na světě je o jednoho darebáka méně.“ V duchu tohoto citátu bychom se tedy měli těšit z toho, že máme pravidla, která platí všude stejně, a udělat vše pro to, abychom byli ti první, kteří zabezpečí osobní údaje svých klientů dobře.

Článek 15 Obecného nařízení definuje nové právo subjektu údajů na přístup ke svým údajům u správce. Toto právo ale nekončí jen u prostého výčtu dat, ale subjekt může požadovat i doložení, za jakým účelem jsou jeho data zpracována, jací jsou další příjemci dat nebo např. jaká je předpokládaná doba zpracovávání. Co to bude pro správce znamenat? Musí mít zmapované všechny agendy, ve kterých osobní údaje zpracovává. Musí mít popsány účely zpracování, data zařazena do kategorií, popsáno místo uložení dat, specifikováno, kdo má k datům přístup atd. A musí mít připraveny metodiky, které popíší proces pro vyhovění požadavkům subjektů údajů. A co jsem tím chtěl vlastně sdělit? Že žádost o přístup k údajům nejlépe prověří správce na jeho připravenost splnit požadavky GDPR. Jen se všichni modleme, aby toto právo bylo co nejméně zneužíváno na konkurenční boj nebo jako způsob, jakým bude správcům chtít uškodit např. zhrzený bývalý zaměstnanec či neuspokojený zákazník.

Povinnost správců a zpracovatelů osobních údajů jmenovat Pověřence pro ochranu osobních údajů (DPO) může být pro mnohé velmi těžká úloha. Zatímco dosud se tyto organizace potýkaly většinou s problémy, kterým rozuměly, najednou před nimi stojí úkol vybrat osobu, u níž ani neví, co by měla správně dělat. A navíc se tato osoba má věnovat problematice, ve které se nikdo moc neorientuje. V poslední době rostou společnosti, které nabízejí poradenství v oblasti GDPR, jako houby po dešti. To značně situaci komplikuje a člověk neví, zda nabídka, kterou dostal do mailové schránky, je ta pravá.

Přece jen je však k dispozici alespoň malé odlehčení. Byla založena Komora pověřenců pro ochranu osobních údajů, která své členy sama kontroluje, aby splňovali etické i znalostní podmínky pro vykonávání funkce DPO. Pro zjednodušení výběru správného poskytovatele služby pověřence navíc komora připravuje registr pověřenců, kteří jsou pro výkon DPO nejen kompetentní, ale jsou i pojištěni proti případným škodám, jež by mohly v souvislosti se zpracováním osobních údajů vzniknout správci nebo zpracovateli.

Budiž Vám při těžké volbě existence komory pomocníkem. Více informací najdete přímo na stránkách komory.

Obecné nařízení zavádí pro státní organizace a subjekty, které zpracovávají rozsáhlé soubory osobních údajů, povinnost zřídit funkci Pověřence pro ochranu osobních údajů (v angličtině Data Protection Officer, neboli zkráceně DPO). Jde o člověka, který by měl být poradcem v oblasti práce s daty a jejich zabezpečení v souladu s GDPR a další legislativou, ale také jakýmsi stálým auditorem, který hlídá, aby daná organizace činila vše pro uchování osobních dat v bezpečí. Obecné nařízení definuje, že takový člověk nesmí být v konfliktu zájmů (tedy nesmí kontrolovat sám sebe), a tedy jej prakticky vylučuje z činností, které daný subjekt standardně vykonává (např. ve škole nemůže tuto činnost vykonávat logicky žádný z vyučujících, ale ani třeba školník, který zadává data do přístupového systému – a tedy zpracovává osobní údaje). Lze ale tuto funkci nakupovat externě formou outsourcingu.

Jistě se shodneme na tom, že problematika ochrany osobních údajů je složitá. Avšak mnohým může připadat funkce DPO nepřináší organizaci žádný profit. Co naplat, Obecné nařízení tuto funkci požaduje. Můžeme o tom vést spory, můžeme s tím i nesouhlasit, ale to je tak vše, co proti tomu můžeme dělat. Lze k této problematice samozřejmě přistoupit formálně a jmenovat za pár korun osobu, která bude navenek vystupovat jako DPO, ale nebude vykonávat žádnou činnost (to je na zvážení vedení, co za rizika je ochotno podstoupit). U společností, které mají co do činění s opravdu reálným zpracováváním osobních údajů bych takové řešení rozhodně nedoporučoval. Pokud nechce mít společnost svého DPO v zaměstnaneckém stavu, lze činnost nakupovat a případně se i spojit s jiným subjektem a osobu pověřence sdílet.

GDPR (z anglického General Data Protection Regulation = Obecné nařízení EU na ochranu osobních údajů ) je termín, který je v poslední době vedle sousloví Smart City nejčastěji diskutován v kuloárech vlády i v anarchistických kruzích. Zatímco ale Smart City můžeme klidně ignorovat, s přípravou na účinnost Obecného nařízení by nikdo neměl příliš otálet. Co ale dělat? Emailové schránky se nám plní různými nabídkami tu na školení, tu na srovnávací analýzy, jindy na dodávku neprůstřelného software, který jediný dokáže připravit vaši společnost na ten prokletý výmysl unie.

Moje rada je jednoduchá. Jako ve všem, i zde funguje zdravý selský rozum. Jestliže moje společnost zpracovávala již nyní osobní údaje (a prakticky každá to dělala – přinejmenším ve věci dat svých zaměstnanců) a snažila se být v souladu se stávajícím zákonem o ochraně osobních údajů, pak ji nové nařízení nezaskočí. Taková společnost je zvyklá stanovovat a dodržovat pravidla a pravděpodobně bude mít i historicky svůj systém v pořádku. Nevyhne se jakési „inventuře“ procesů a dokumentace (ať již ji budeme nazývat vstupní či srovnávací analýza). S velkou pravděpodobností ale nebude nutné vynakládat neúměrné prostředky na nové technologie. Pokud jsem však až dosud zpracovával osobní údaje a nic jsem neřešil, nejspíše bude problém větší. To ale opět nezjistím, pokud neprovedu revizi svých činností. Bez úvodní analýzy to prostě nepůjde.

Tedy doporučuji – udržte si chladnou hlavu a pokud nevíte, jak se do analýzy pustit, otevřete maily, o kterých jsem psal na začátku, a začněte vybírat, kdo vám pomůže. Vybírejte ale dobře.