Strach má jméno GDPR

publikováno na jaře 2018 jako článek pro Connect (příloha časopisu Computer)

by Oldřich Janda
Napsal Oldřich Janda

V posledních týdnech se stupňuje mediální palba na téma ochrany osobních údajů v kontextu s takzvaným GDPR(GeneralData Protection Regulation), tedy aktuálně platným nařízením Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nařízení se týká všech subjektů, které nakládají s osobními údaji fyzických osob občanů Evropské unie při výkonu své činnosti. Nezáleží tedy, kde daný subjekt – firma, živnostník, nezisková organizace nebo orgán veřejné samosprávy e – sídlí, ale čí údaje spravuje a zpracovává. Dosah tohoto nařízení je tak v zásadě celosvětový.
A jelikož jde o nařízení evropského práva, jedná se o přímo aplikovatelný právní předpis i v českém prostředí, tedy nevyžaduje formálně žádnou aktivitu ze strany českých zákonodárců. Účinnost nařízení GDPR, a povinnost subjektů zpracovávajících osobní údaje občanů EU, nastává dnem 25. 5. 2018.

Nebojte se zbytečně

Diskuze nad GDPR a řešení ochrany osobních údajů ve firmách a organizacích je v dnešní informační éře nezbytná. Naproti tomu vyvolaná mediální bublina živící strach a nechuť firem tohle téma řešit ničemu nepomáhá. Přitom strach není na místě, protože nás odvádí od řešení skutečné podstaty problému. V médiích a na sociálních sítích se z valné většiny řeší vysoké pokuty (až 4 % z celosvětového konsolidovaného obratu subjektu) nebo ubíjející byrokratické detaily. Z toho plyne jednoduše odpor firem řešit ochranu osobních údajů fyzických osob nebo snaha k ní přistoupit v zásadě formálně, aby se “vlk nažral a koza zůstala celá”.
Jenže na GDPR lze nahlížet také jako na velkou příležitost, jak si ve firmě (nebo organizaci) udělat pořádek. V tom lze GDPR vnímat opravdu pozitivně. Navíc oproti dosavadnímu Zákonu o ochraně osobních údajů (z.č. 101/2000 Sb.) se toho v zásadě příliš nemění. Kdo už “stojedničku” řešil, pouze své procesy odpovídajícím způsobem přeladí na GDPR a jede dál.
Bohužel řada firem a organizací si se stávající právní úpravou moc nelámala hlavu a teď se děsí z enormních likvidačních pokut. Svou pozornost by však majitelé firem a výkonní manažeři měli obrátit jinam. Pojďme pěkně popořádku.
GDPR je ve své podstatě o řízení rizik a zde jsou čtyři hlavní důvody, proč v dnešní informační éře řešit ochranu osobních údajů ve vaší firmě či organizaci:

  • Ochrana vašich aktiv a rozvoj byznysu (nebo činnosti organizace)
  • Řízení informačního rizika
  • Snížení administrativní zátěže
  • Řízení správního rizika

Ochrana aktiv a rozvoj

Vytvoříte-li funkční byznys je vaším primárním zájmem jej rozvíjet a chránit. Oč složitější a náročnější je vybudování fungujícího byznysu než jeho poškození nebo dokonce zánik? Zdá se to neuvěřitelné, že léta budujete podnik, a pak můžete skončit během pár dní nebo týdnů. V dnešní rychlé době, kdy jsou kritickým aktivem každé firmy či organizace informace a data, to však není nerealistické. Při nedostatečném řízení rizik může přijít úpadek firmy z důvodu ztráty reputace velmi rychle.
Chráníte-li dostatečně svá aktiva – data, snižujete riziko jejich úniku a potenciálního zneužití. A GDPR je o ochraně specifického okruhu dat, která jsou z objektivního pohledu nejcitlivější – tedy osobní údaje fyzických osob. V návaznosti na to snižujete riziko poškození svého jména, resp. svojí reputace. A co je v dnešním byznysu postaveném v podstatě na důvěře víc než “dobré jméno”? Bez něj těžko nějaký byznys uděláte, protože dobré jméno vytváří důvěru, stáváte se tak důvěryhodným partnerem pro vaše odběratele – zákazníky, dodavatele, ale i zaměstnance. A to jsou také tři skupiny fyzických osob, na které si u GDPR musíte dát především pozor.

Řízení informačního rizika

GDPR po každé firmě a organizaci, která nakládá s osobními údaji fyzických osob vyžaduje, abyste věděli jaké údaje (CO), z jakého důvodu, resp. právního titulu (PROČ) a jakým způsobem (JAK) s nimi nakládáte. Jeví se to jako formalita, ale některé situace, které jsme v rámci naší činnosti zažili v českých firmách, mohl napsat skutečně jen život sám.
Jen pro představu – každý ve firmě XY měl přístup ke mzdové agendě ostatních pracovníků, což se v praxi projevilo tak, že všetečný zaměstnanec sledoval, kdo dostal jakou odměnu, kdo má kdy dovolenou a měl přístup i k tak citlivým údajům, jako jsou informace o stupni postižení dětí ostatních pracovníků (tyto informace byly v systému evidovány pro potřeby řádného zpracování daní z příjmů). Nebo kdokoliv mohl stáhnout kompletní databázi 30 000 klientů a naložit s ní podle svého (prodat, založit vlastní firmu) bez toho, aniž by takové stažení bylo operativně dohledatelné. A takovéto informační “vytunelování” firmy není v našem prostředí nic ojedinělého. Některým podnikatelům se to stalo za dobu jejich působení i vícekrát.
Ano, GDPR směřuje k tomu, že víte co a jak se ve vaší firmě děje s informacemi a daty. Vědět, kdo má k čemu přístup a s jakým oprávněním je dnes esenciální. A pokud to majitelé firem a jejich manažeři nevědí? Toho by se pak měli děsit. Nikoliv toho, že nejsou v souladu s GDPR.

Snížení administrativní zátěže

Všimli jste si, jak některé údaje opakovaně řešíme při různých příležitostech a v odlišných systémech? A kolikrát s těmi stejnými údaji operují různí pracovníci a přepisují je stále dokola? Není nad to si udělat nebo nechat zpracovat procesně-datový audit a tyto neefektivity eliminovat. Navíc při plnění zákonné povinnosti vyplývající z nařízení GDPR – například povinnost sdělit fyzické osobě na základě její žádosti, jaké osobní údaje o ní zpracováváme nebo je dokonce ze svých systémů vymazat při odejmutí poskytnutého souhlasu se zpracováním osobních údajů – se může jednoduše stát, že to firmu prostě a jednoduše na nějaký čas administrativně vyblokuje. Představte si, že se vám takových požadavků sejde třeba padesát do týdne – kdo to bude dělat? Zjednodušování procesů a automatizace zpracování dat je cesta, která bude v prvopočátku konkurenční výhodou, postupem času nezbytnou nutností.

Řízení správního rizika

Sice poslední a z našeho pohledu nejméně zásadní, přesto je řízení správního rizika důležitým a neopomenutelným důvodem, proč GDPR řešit. Dobré je zmínit, že osobní údaje je třeba chránit přiměřeně. Operujete-li s dvacítkou telefonních čísel na své obchodní partnery, bude přiměřená úroveň ochrany výrazně níž, než když systematicky zpracováváte data o desítkách tisíc klientů ve své databázi, případně automatizovaně “rozhodujete” o jejich dalším životě (např. zda dostanou úvěr). Potenciální dopad na tyto subjekty bude při zneužití každého ze seznamů diametrálně odlišný, resp. minimalistický v prvním případě, fatální v tom druhém. S přiměřeností se tak budou pojit i případné pokuty nebo omezení ze strany Úřadu pro ochranu osobních údajů, který je dozorovým orgánem pro ochranu osobních údajů (a tedy i GDPR) v České republice.
Samozřejmě, že mohou hrozit “šikanózní” udání od konkurence, zhrzených zaměstnanců nebo naštvaných zákazníků. Proto je dobré být připraven, nenechat se vyvést z míry, a se všemi zmíněnými skupinami (odběratelé, zákazníci, dodavatelé, zaměstnanci) transparentně komunikovat.

Z výše uvedeného je zřejmé, že zaručené univerzální řešení GDPR nemůže existovat, protože každá firma/organizace je jiná, jinak nakládá s jinými osobními údaji, zabývá se jinou činností a má jiné procesy.
Bohužel často není řešení výhradně na straně IT – nevíte-li, jaké osobní údaje máte, co a proč s nimi děláte, nemůžete vědět, jak je chránit.
Jak tedy prakticky přistoupit k GDPR a zajištění souladu firemních procesů s tímto nařízením?

  • Provést ve firmě procesně-datový audit čili zmapovat si v organizaci osobní údaje a související procesy
  • Udělat z tohoto auditu záznam nebo zprávu včetně seznamu opatření, jak napravit identifikované nedostatky, tedy rozpor s GDPR
  • Zrealizovat a zavést nápravná opatření, což povede k zajištění souladu s nařízením.

Výše uvedené kroky může každá firma realizovat sama v rámci interního týmu nebo si najmout tým externích právníků, specialistů na IT a odborníků na procesní audity nebo tyhle dva přístupy zkombinovat.

Zapojte se do řešení

Jenže pozor! GDPR není jednorázová záležitost. Jedná se o dynamický nikdy nekončící proces (jako byznys sám) a jakékoliv změny v organizaci, produktech, smlouvách atp. je nutné vždy posoudit v kontextu souladu s GDPR. S ohledem na to je dobré se alespoň částečně do řešení GDPR od prvopočátku zapojit a využít jej pro nezbytnou změnu firemního myšlení: informace a data jsou dnes jádrem jakéhokoliv byznysu (ale i nepodnikatelských činností) a jejich přiměřené ochrana je do budoucna nezbytná.

Spoluautorem článku je Mgr. Ing. Jana Krouman

Odborník na firemní finance, řízení rizik a firemní poradenství. Manžel, táta, muzikant, chodec, investor a milovník života.

Mohlo by Vás zajímat

Firmám násobně vzrostly náklady na financování

“Pečeme” na rizika, vždyť se daří

Čirá virtualita kryptoměn

Financování (nového) byznysu

Sexy měna Bitcoin

Služba státu

Máte jasno „Proč to děláte?“

Profesionalizace neziskovek

České banky a big data

Moje nová firma