Do začátku účinnosti obecného nařízení o ochraně osobních údajů, známého pod zkratkou GDPR, zbývá přibližně šest měsíců. Podniky by už měly mít za sebou doporučovanou analytickou část, v níž mapují, jak s osobními údaji nakládají. Část organizací mohla pokročit k návrhu konkrétních opatření, jejichž prostřednictvím soulad s požadavky nařízení zajistí. A v ideálním případě už začaly, nebo dokonce dokončily jejich implementaci.

Požadavky GDPR musí zvážit v podstatě každý subjekt, jenž má k obyvatelům Evropské unie jakoukoliv vazbu, což dokládají i slova Milana Frice, advokáta společnosti PwC Legal: "Zpracování osobních údajů dopadá nejen na podniky různých velikostí, ale i fyzické osoby, které osobní údaje zpracovávají. Každý z nás má minimálně mobilní telefon, který obsahuje kontakty, a v tomto ohledu jsme ve smyslu GDPR jejich správci. Najít někoho, na koho by se nové nařízení nevztahovalo, je dnes téměř nemožné. I přesto dle našich zkušeností zůstává mnoho společností, které ochranu osobních údajů zatím neřešily."

Oslovení odborníci se shodují na tom, že v přípravách na účinnost GDPR nejdále pokročily větší společnosti z regulovaných odvětví, jako jsou například finanční služby nebo telekomunikace. Podniky, které se již v minulosti vypořádávaly s požadavky zákona o ochraně osobních údajů nebo zákona o kybernetické bezpečnosti, resp. s normami řady ISO 27000, mají podle jejich mínění výrazně lepší výchozí pozici a předchozí úsilí s výhodou zužitkují. "Nejdále jsou společnosti, které už dnes podléhají různým regulacím, a jsou tak na zavádění pravidel EU připravené. Jde například o banky, pojišťovny či telekomunikační operátory," doplňuje Michal Bulánek, business development manager ve společnosti Ness Technologies.

Menší podniky a veřejná správa se podle mínění odborníků potýkají s většími problémy a adekvátní soulad s nařízením do květnového termínu nejspíše nestihnou nastolit. Objevují se dokonce neoficiální informace, dle kterých některé členské státy EU požádají Evropskou komisi o odklad účinnosti.

"Dle našich zkušeností jsou různé podniky v rámci jednoho hospodářského odvětví zcela v odlišných fázích implementace dopadů GDPR. Některé ještě neopustily analytickou fázi, některé již implementují opatření," dodává Štěpán Húsek, partner a vedoucí technologického týmu ve společnosti Deloitte.

Je dobré alespoň vědět

Povědomí odborné veřejnosti o nařízení GDPR nepatřilo ještě před rokem k nejvyšším. Výsledky globálního průzkumu společnosti Dimension Research, který proběhl mezi profesionály odpovědnými za ochranu podnikových dat, naznačily, že naprosté většině z nich chyběly použitelné informace. Nízké nebo žádné povědomí o GDPR na podzim roku 2016 přiznalo 82 procent respondentů ze středních a velkých organizací. Výrazně lépe si nevedly ani podniky operující přímo na území Evropské unie. 60 procent jejich zástupců o přípravách na účinnost obecného nařízení o ochraně osobních údajů nic nevědělo nebo uvedlo, že neprobíhají.

Na jaře 2017 si tématu začala podstatně více všímat média a zkratka GDPR se díky nim dostala i do povědomí laické veřejnosti. V květnu zveřejnili analytici společnosti IDC výsledky průzkumu o připravenosti malých a středních evropských podniků na požadavky nařízení. Čtvrtina jejich zástupců přiznala, že o GDPR nic neví. Zhruba polovina si nebyla jista dopady na vlastní podnik. Zbývající čtvrtina požadavky nařízení znala a rozuměla i jejich vlivu na chod firmy.

Vysloveně aktuální a současně lokální pohled na téma implementace GDPR nedávno nabídla společnost SmartSelling. Z 1432 oslovených českých a slovenských firem a živnostníků uvedlo 27,3 procenta, že neví, co GDPR je. Téměř třetina respondentů se na účinnost nařízení nijak nepřipravuje, další třetina studuje podklady nebo analyzuje data. Do fáze implementace opatření se dostala dvě procenta oslovených firem. Zhruba jedno procento respondentů je přesvědčeno o tom, že se jich GDPR netýká. Přibližně čtvrtina dotazovaných firem hodlá implementaci GDPR zvládnout vnitřními silami.

K průzkumu firmy SmartSelling se hodí komentář Viktora Němce, senior presales managera ve společnosti Oracle Czech: "Menší firmy zatím moc jasno nemají, spíš vyčkávají a dělají si pořádek v tom, kde evidují osobní údaje. Zatím nikdo z firem z ČR však nezačal pořádně implementovat GDPR v IT, přistupují jen k metodickým rozhodnutím."

Implementační pokrok

Podle slov Zbyňka Malého, bezpečnostního konzultanta společnosti Anect, mnoho podniků - i díky mediální kampani - začalo GDPR už nějakým způsobem řešit. Vše závisí na pružnosti managementu a částečně i na IT odděleních. Právě ta mnohdy iniciují, aby se GDPR začal podnik zabývat, ačkoli v rámci evropského nařízení primárně nejde jen o problematiku informačních technologií. "Za nejvíce problémové sektory považujeme hlavně školství a zdravotnictví. Ne proto, že start implementace GDPR subjekty z těchto oborů odkládaly na poslední chvíli, ale z toho důvodu, že se v těchto sektorech vyskytují velmi citlivé osobní údaje a rozpočet na IT a bezpečnost zde nepatří k těm nejvyšším," dodává Zbyněk Malý.

Mezi lídry v zavádění opatření GDPR řadí Tomáš Hlavsa, manažer oddělení pro kybernetickou bezpečnost ve společnosti Atos, především finanční instituce a telekomunikační operátory. Tyto subjekty mají podle jeho názoru velké zkušenosti s implementací norem řady ISO 27000 a z nich vycházejícího zákona o kybernetické bezpečnosti a s ochranou osobních údajů dle stávajících legislativních úprav. Jejich požadavky se s GDPR v mnoha ohledech překrývají. "U finančních institucí a telekomunikačních operátorů se dá od prvních dní účinnosti nařízení předpokládat největší zátěž ze strany subjektů osobních údajů," říká Tomáš Hlavsa a dodává: "Ostatní obory dle našich informací spíše vyčkávají, jak se nařízení a jeho dopad projeví v praxi. Samostatnou kapitolu představuje státní správa, která díky nedávným volbám v podstatě vyčkává. Očekáváme, že s postupujícím časem se i orgány státní správy začnou intenzivněji zapojovat."

27,3 %

V průzkumu společnosti Smart- Selling 27,3 procenta z 1432 oslovených českých a slovenských firem a živnostníků uvedlo, že neví, co GDPR je.

4 %

Za porušení základních zásad směrnice GDPR hrozí správní pokuta až ve výši 20 milionů eur, případně 4 procenta z celosvětového obratu firmy.

Mezinárodní souvislost implementace opatření přidává Pavel Riegger, vedoucí partner oddělení poradenství pro finanční instituce ve společnosti EY: "Důležitou roli při připravenosti na GDPR hrají i zahraniční matky firem, kterým v případě porušení nařízení už jen v jedné z dceřiných společností hrozí obrovské pokuty, které se počítají z celosvětového obratu. Tam vidíme velký tlak na stoprocentní dodržování předpisů."

Plně připraveni na GDPR

K otázce plné připravenosti na požadavky nařízení GDPR přidává komentář Zbyněk Malý ze společnosti Anect: "Plná připravenost organizací na GDPR je něco jako yetti - každý o něm mluví a snad byl i několikrát viděn. A stejně jako je zajištění stoprocentní bezpečnosti v podniku něco z říše snů, nelze dosáhnout ani stoprocentní bezpečnosti a stoprocentního souladu s požadavky GDPR."

Obdobný pohled nabízí také Michal Bulánek ze společnosti Ness Technologies: "GDPR je v některých částech nekonkrétní, používá často výrazy jako 'přiměřená opatření' a z oficiálních zdrojů neexistuje jednoznačný výklad. Dosáhnout plného souladu se striktním výkladem nařízení je velmi náročné. Proto musí podniky hledat rozumnou míru kompromisu. Většina z nich se aktuálně zaměřuje na soulad v právní a procesní oblasti a stav plné připravenosti včetně úpravy IT systémů a technologií pravděpodobně nestihnou." Podobný názor zastává také Štěpán Húsek z firmy Deloitte: "Většina organizací přistupuje k implementaci GDPR postupně. Je to zejména z důvodů velké komplexity změn v procesech a systémech. Obecně si myslím, že implementace nařízení bude mít více fází a dopady se budou řešit ještě daleko po květnu 2018."

Hlavním problémem direktivy GDPR podle Viktora Němce ze společnosti Oracle je, že úplně přesně nedefinuje "plnou připravenost". Vesměs se dle jeho zkušeností čeká na to, jak budou příslušní auditoři a kontroloři přistupovat k její praktické interpretaci. V podobném duchu stav plné připravenosti či souladu komentuje také Tomáš Hlavsa z firmy Atos, který ovšem dodává: "Výhodu má ta organizace, která se snažila o soulad se stávající legislativou, zejména zákony č. 101/2000 Sb, a se zákonem č. 181/2014 Sb. Tyto organizace mají v zásadě z 90 až 95 procent požadavků splněno i v oblasti nových nařízení GDPR."

Příprava na GDPR vyžaduje podle slov Pavla Rieggera z firmy EY komplexní přístup, což mnoho firem podceňuje. Mnoho podniků nařízení stále vnímá především jako dílčí právní problém nebo nějaké IT zadání. V tom ale dělají chybu, protože je nutné analyzovat kompletní procesy.

Optimističtější výhled a současně jedno varování přidává Milan Fric, advokát kanceláře PwC Legal: "Záleží na aktuálně zavedených postupech v oblasti ochrany osobních údajů v organizaci, nicméně reálný časový prostor pro připravenost zde stále je. Nelze podceňovat výběr zkušeného poradce, s jehož pomocí budou podniky GDPR implementovat. Bohužel jsme svědky zrození nejrůznějších poradců bez patřičné zkušenosti a odpovědnosti, kteří své služby na trhu nabízí. Ochrana osobních údajů je tak komplexním oborem, že požadavky GDPR není radno implementovat svépomocí."

Ve vlastní režii nebo s externisty

Otázku implementačního postupu řeší tuzemské podniky jen málokdy čistě vlastními silami. Existují ovšem obory a firmy, v nichž potřebné know-how, finanční prostředky a lidské zdroje také postup umožňují. "Z praxe zjišťujeme, že každá organizace se ze začátku pokouší implementovat GDPR vlastními silami. Po určité době ale dochází k situaci, kdy si již neví rady a začíná se v tom všem ztrácet. Z 90 procent je implementace řešena hybridním modelem, neboť bez aktivní spolupráce konzultantské firmy a vlastní organizace nelze zavedení požadavků GDPR správně nastartovat," dodává Zbyněk Malý ze společnosti Anect.

Nařízení GDPR lze podle mínění Tomáše Hlavsy z firmy Atos vnímat jako komplexní normu, která sama definuje soulad jako soubor organizačních, právních a technických opatření k zajištění ochrany osobních údajů. Případy, kdy je organizace sama schopna pokrýt zavedení souladu s GDPR sama o sobě, jsou vzácné. "Některé společnosti chtějí především právní ochranu, v tom případě se obracejí na čistě právnické subjekty. Někdo hledá pouze úpravu v IT, kterou řeší buď interně, anebo přes své dodavatele. Některé společnosti preferují holistický přístup. A objevují se i podniky, které hledají, jak regulaci využít ve svůj obchodní prospěch," dodává Pavel Riegger ze společnosti EY.

 

Článek byl publikován v ICT revue 12/2017.