Nařízení GDPR vejde v účinnost 25. května 2018. Na první pohled se tak může zdát, že času na přípravu je dostatek. Opak je ale pravda. Nových pravidel, kterými se budou muset řídit jak soukromé společnosti, tak státní instituce, je tolik, že se doba potřebná na přípravu může snadno přehoupnout až za termín účinnosti. Jen datový audit, který má dát organizacím odpověď na to, co, kde, jak a proč s osobními údaji dělají, zabere podle odhadů technologické společnosti Avnet ve společnosti s tisícovkou zaměstnanců 6 až 12 měsíců. Další nejméně tři měsíce si vyžádá implementace nového softwaru a hardwaru spolu s úpravou interních směrnic, procesů a proškolení zaměstnanců v oblasti ochrany dat.
K tomu se přidávají další úkoly. Státní instituce, organizace, které pracují s citlivými daty, tedy například nemocnice, nebo ty, které zpracovávají velké množství dat - od pojišťoven a bank přes bezpečnostní agentury až po internetové vyhledávače -, budou muset jmenovat pověřence pro ochranu osobních údajů. Ten bude mimo jiné dohlížet na to, zda je práce s údaji v organizaci v souladu s nařízením, a komunikovat s Úřadem pro ochranu osobních údajů.
Jenže ani výběr takového člověka nebude snadný. Musí mu předcházet plánování a celá řada analýz. Předně budou muset správci údajů zhodnotit, zda skutečně zpracovávají data v takovém rozsahu, že musí pověřence jmenovat.
V případě, že se bez něj neobejdou, měla by následovat další analýza toho, které funkce a pozice v organizaci jsou s výkonem role pověřence neslučitelné, kde hrozí střet zájmů.
Pak teprve může management začít hledat vhodného kandidáta. A ani to zřejmě nebude jednoduché. Nařízení sice připouští, že je možné pověřence jmenovat i ze současných zaměstnanců nebo ho najmout externě, ale klade na kandidáty značné nároky. Musí se orientovat v právu, musí kombinovat hluboké znalosti o procesech v instituci se znalostmi v oblasti informačních technologií. Současně ale nesmí s daty pracovat. Podle Úřadu pro ochranu osobních údajů budou důležité i etické a morální vlastnosti kandidátů na pověřence.
Z průzkumu Svazu průmyslu a dopravy vyplynulo, že takového odborníka mezi svými lidmi v současné době nemají dvě třetiny společností. To vzbuzuje obavy, že konkurence při hledání vhodných kandidátů bude velká. "Podle statistiky mezinárodní organizace profesionálů v oblasti ochrany dat se bude muset v Evropě 30 tisíc lidí vzdělat, aby tu funkci mohli vykonávat," upozorňuje specialista na ochranu osobních údajů z advokátní kanceláře Rowan Legal Jan Tomíšek. Expertní odhady počtu chybějících profesionálů v Česku oscilují od několika stovek do několika tisíc potřebných odborníků.
Začít od nejnápadnějšího
Nachystat budou muset pod taktovkou nařízení správci dat i celé spektrum dalších novinek, které budou mnohem více viditelné i pro běžné občany poskytující svá data ke zpracování. Jednou z nich jsou bannery s politikou cookies, které se budou muset povinně zobrazovat i na českých webech. Panely vyjíždějící obvykle při dolním okraji prohlížených stránek a žádající stisknutí tlačítka "Rozumím" jsou už léta důvěrně známé ze zahraničních webů. Ačkoliv se v poslední době začínají pod vlivem příprav na GDPR místy objevovat už i na těch českých, ani tato základní povinnost není všude samozřejmostí. Neví o ní ještě 46 procent tuzemských podniků.
Nejen on-line byznysu se dotknou nové povinnosti týkající se získávání souhlasů se zpracováním osobních údajů. Žádosti o souhlas předkládané klientům například v bankách, pojišťovnách, ale také u lékaře musí být podle nařízení srozumitelné a jasné. Minulostí by se tak měly stát souhlasy "schované" v hloubi všeobecných podmínek, jejichž podpisem dává zákazník svá data všanc nejen pro účely, pro něž je poskytnout chtěl, tedy například pro zpracování žádosti o půjčku nebo zaslání objednaného zboží, ale běžně také pro potřeby marketingu.
Podle průzkumu Svazu průmyslu nyní nemají souhlasy se zpracováním dat oddělené od ostatních smluvních ujednání dvě pětiny podniků, a budou je tak muset od svých klientů získat znovu. "Nevyhovující souhlasy je dobré přesmlouvat co nejdříve, aby poskytovatelé služeb limitovali množství souhlasů, které budou muset znovu získávat v květnu 2018," doporučil zástupcům byznysu na odborné konferenci IT mezi paragrafy, pořádané společností Exponet, partner advokátní kanceláře Rowan Legal Michal Nulíček.
Nejen nevhodné umístění je přitom důvodem pro to, aby o svolení správci dat museli klienty žádat znovu. Nařízení totiž klade důraz i na informační povinnost. Pro právoplatné udělení souhlasu se zpracováním tak nebude stačit jen pouhé tlačítko "Souhlasím" umístěné na webových stránkách správce. "Musí být následováno informacemi o zpracování osobních údajů. Vše musí být taktéž podpořeno doplňujícími údaji, na jejichž základě se subjekt údajů rozhodne, zda bude, či nebude souhlasit se zpracováním svých osobních údajů," vysvětluje Tomáš Paták z Úřadu pro ochranu osobních údajů.
Správci dat tak budou muset svou žádost doplnit zejména informacemi o účelu zpracování dat a budou muset klientovi popsat právní základ, o nějž se opírá. Navíc bude muset žádost obsahovat kontaktní údaje správce a popsat i případné příjemce osobních údajů. Pokud plánuje správce údajů využít při práci s nimi profilování - což se týká zejména finančních institucí -, bude o tom muset klienty také informovat. Pokud zákazník nebude s tímto automatizovaným zpracováním souhlasit, musí společnost zajistit, že údaje zkontroluje člověk, nikoliv stroj.
Nařízení kromě toho ukládá, že osobní data mohou být shromažďována pouze po dobu trvání procesu, k němuž je klient poskytl. Jakmile tato činnost skončí, musí správce data vymazat. Nařízení také dává subjektům údajů právo svůj souhlas se zpracováním kdykoliv odvolat a požadovat výmaz svých údajů. V tomto případě má správce dat měsíc na to, aby příslušná osobní data vyhledal a ze všech svých databází vymazal. "Lhůtu lze sice prodloužit až o dva měsíce, ale už v tom prvním měsíci musí správce se subjektem údajů komunikovat - buď vyhovět, odůvodněně nevyhovět, nebo odůvodnit, proč potřebujete další dva měsíce," připomíná Nulíček.
Povědomí o novém právu klientů na výmaz je mezi podnikateli vyšší než u ostatních pravidel. Neví o něm jen čtvrtina českých společností. Avšak technicky na něj zatím není připravena bezmála polovina dotázaných.
Sektorový pohled
Výsledkem je, že i na odborných konferencích, jako byla například únorová IT mezi paragrafy, padají vedle praktických dotazů na způsob aplikace nových pravidel dotazy i na to nejzákladnější - kde vůbec hledat informace o nařízení a jeho text. Ty zaznívají zejména z úst zástupců výrobních podniků.
"U středních společností tradičně výrobních sledujeme naprostou nedotčenost nařízením. Data pro ně nejsou výrobní surovinou, a tak to pro ně není priorita. Obávám se, že tam bude přechod na nová pravidla velmi těžký," míní specialistka na digitální ekonomiku Svazu průmyslu a dopravy Tereza Šamanová. Avšak i tam, kde již dříve byla práce s osobními údaji klientů důležitá pro běh byznysu a na denním pořádku, jsou přípravy na novinky teprve na samém začátku. "Jsme nyní ve fázi mapování výchozího stavu a plánování potřebných změn," prozradila Jana Náchodská z Pojišťovny České spořitelny.
Naopak nejdál v přípravách pokročily technologické společnosti. Například internetová společnost Seznam.cz, která provozuje mimo jiné internetový vyhledávač, se na novinky připravuje už více než rok a zapojila se také do připomínkování návrhu na české i evropské úrovni. "Již v procesu příprav GDPR jsme v nařízení identifikovali témata, která budou mít zásadní dopad napříč celým naším 'výrobním řetězcem'. S vysokou mírou citlivosti pak implementaci sledujeme ve vztahu k našim reklamním systémům," řekl Právnímu rádci manažer pro kontakt se státní správou společnosti Seznam.cz Libor Manda.
I tak má ale z implementace nových pravidel obavy. Stále totiž podle něj v nařízení zbývá řada nejasných míst, která ji komplikují. Jedno takové "bolavé místo" představuje i sama definice osobních údajů, obzvláště v kombinaci se zněním recitálu 26, nejasnostmi kolem on-line identifikátorů či s udělováním souhlasu. "U identifikátorů cookies i dalších identifikátorů je vždy otázkou, kdy a za jakých podmínek jsou, či nejsou osobním údajem, protože se k jejich určení musí brát v úvahu další okolnosti a informace o konkrétním subjektu údajů, jako je například schopnost lokalizovat ho nebo znalost jeho e-mailové adresy," vysvětluje problém Manda. Recitál 26 pak stanoví, že by se při určování, zda je fyzická osoba identifikována, mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, a v úvahu by se měly brát všechny objektivní faktory, mezi než nařízení počítá zejména náklady a čas. Tak například při posuzování toho, zda identifikátor cookie je, nebo není osobní údaj, bude hrát roli mimo jiné to, jestli ho může správce dat snadno propojit s jinými údaji identifikujícími konkrétní osobu a pro jaký účel a po jakou dobu k tomuto zpracování dochází. "Realita tedy bude taková, že Seznam.cz a ostatní firmy budou v situaci permanentní obhajoby svého výkladu oproti výkladu dozorového orgánu," obává se Manda.
Čekání na zpřesnění
To ale není zdaleka jediná nejasnost spojená s nařízením. Pracovní skupina Evropské komise WP29 proto dostala za úkol poskytnout oficiální výklad povinností narýsovaných v textu GDPR. Pokyny už vydala ke třem klíčovým oblastem - pro vedoucí dozorového orgánu, k přenositelnosti dat a jmenování pověřence. Avšak ani tyto dokumenty zatím nejsou definitivní. Například k pokynům týkajícím se přenositelnosti se sešlo tolik připomínek, že se je pracovní skupina rozhodla přepracovat. Zveřejnění upravené verze se očekává v březnu tohoto roku. Potom se teprve budou vydávat další vodítka.
A chybí také národní právní úprava. Evropská unie při přijímání nařízení sice deklarovala, že sjednotí ochranu osobních údajů v celém společenství, nakonec ale zůstala v půli cesty. Nařízení je sice přímo účinné ve všech členských zemích unie, ale to neznamená, že jednotlivé státy nebudou přijímat národní právní předpisy, jimiž výklad nařízení zpřesní. "Až třetina obsahu GDPR může být předmětem dalších opatření ze strany státu," upozorňuje Tomáš Paták z Úřadu pro ochranu osobních údajů.
Členské státy tak například mohou z 16 na 13 let snížit věkovou hranici, do jejíhož dosažení budou muset souhlas se zpracováním osobních údajů místo svých nezletilých dětí dávat rodiče. Specifické podmínky či omezení si mohou členské země libovolně stanovit také pro zpracování genetických a biometrických údajů nebo údajů o zdravotním stavu. A rozšířit se nad rámec nařízení může také spektrum organizací, které budou muset povinně jmenovat pověřence pro ochranu osobních údajů. Právě očekávání možných změn patří mezi hlavní důvody, proč řada podniků s přípravami zatím otálí. "Potřebujeme upřesnit odhadem 50 bodů, které GDPR nechává na národních pravomocech jednotlivých států. Tuzemský oficiální výklad bude nepochybně důležitým materiálem," uvedl mluvčí společnosti Centropol Energy Ladislav Šticha.
Jenže potřebná novela zatím není ani na papíře. "Příprava novely zákona o ochraně osobních údajů probíhá v současnosti formou vyhodnocování podnětů a konzultací a formou přípravy textu," řekla k tomu Právnímu rádci Hana Malá z ministerstva vnitra, do jehož gesce příprava zákona spadá. Paragrafové znění návrhu pošle resort do vlády až během léta. A že by parlament finální znění stihl schválit ještě před sněmovními volbami, se nepředpokládá. Navíc i samotný fakt, že Evropská unie umožnila národní odchylky, je pro podnikatelský sektor problematický. "Ztíží to orientaci firem na jednotném trhu," upozorňuje Šamanová. Přínosem by podle ní bylo alespoň to, kdyby Evropská unie sestavila přehled, jak budou jednotlivé členské státy nová pravidla překlápět do svých zákonů. Nic takového se ale v Bruselu zatím nechystá.
Nic z toho ovšem není důvodem, proč by se správci dat neměli na nové povinnosti v ochraně osobních údajů začít intenzivně připravovat. Důležitým motivem k pečlivým přípravám jsou i vysoké pokuty, které za porušení nových pravidel hrozí. Vyšplhat se mohou až na 20 milionů eur nebo 4 procenta z celosvětového obratu společnosti. To je mnohem více než maximální 10milionová pokuta, kterou může Úřad pro ochranu osobních údajů potrestat za úniky dat chybující správce podle aktuálního českého zákona. Nařízení navíc zavádí i nepeněžité tresty, například úplný zákaz zpracování osobních údajů. To se ve světě byznysu může rovnat úplné likvidaci.
Článek byl publikován v měsíčníku Právní rádce.
