Podnikové systémy budou na GDPR připraveny

„Přeji vám krásný a skvělý den, pane Čermáku. Máme pro vás dnes a jen dnes tuto unikátní nabídku. Pět zubních kartáčků pro celou rodinu za cenu tří, cena je úžasných 1200 korun. Co na to říkáte?“ „Nemám zájem, děkuji.“ „Tato jedinečná nabídka vám nic neříká? Platí jenom dnes.“ „Opravdu nemám zájem. Kde jste vlastně vzali můj telefon?“

Každý vlastník telefonu jistě zažil už mnohokrát podobnou situaci. Před pár lety někde poskytl své číslo nebo e-mail a ten se přes „spřátelené společnosti“ nebo formou přímého prodeje dat dostal k firmám, se kterými nechcete mít vůbec nic společného. Podobné zkušenosti klientů, ale také snaha o vyšší ochranu osobních dat zaměstnanců ve světě, kde je stále více údajů součástí digitálních sítí, vedly k tomu, že se problémem začala zabývat Evropská unie. A s tím souvisí v posledních měsících často zmiňovaná zkratka GDPR. Označuje General Data Protection Regulation, tedy Obecné nařízení o ochraně osobních údajů.

Revoluce, nebo evoluce?

GDPR se zdá být revoluční novinkou, která vstupuje do evropského práva. Ve skutečnosti jde spíše o evoluční prvek, který dále posiluje ochranu osobních dat. Tu u nás už od roku 1992 řešil zákon o ochraně osobních údajů v informačních systémech. Ten potom plně nahradil nový zákon o ochraně osobních údajů z roku 2000.

A tato norma, podle které se řídí Úřad pro ochranu osobních údajů (ÚOOÚ), není zdaleka bezzubá. Příkladem může být květnová pokuta pro společnost EURYDIKAPOL za šíření nevyžádaných obchodních sdělení, která dosáhla rekordní výše 4,25 milionu korun. „K této prozatím nejvyšší částce dospěl úřad na základě zhodnocení podaných stížností, jichž obdržel okolo 700. Tato nevyžádaná obchodní sdělení byla zasílána opakovaně po dobu téměř jednoho roku,“ sdělila předsedkyně ÚOOÚ Ivana Janů.

I když tedy ochrana osobních dat u nás letos slaví čtvrtstoletí a sankce mohou být citelné, díky své komplexnosti, evropské platnosti i postihům zajišťuje GDPR vyšší standard. Pozitiva, která toto nařízení přináší zaměstnancům a klientům – fyzickým osobám, však způsobuje těžkou hlavu členům managementu firem. A nejsou to pouze ony zmiňované marketingové společnosti nebo call centra, ale také instituce, nemocnice a firmy všech oborů. Pod hrozbou často likvidačních sankcí si musí každá společnost udělat pořádnou inventuru v datech a do budoucna nastavit všechny procesy tak, aby se maximálně předešlo jejich možnému zneužití.

Nové pojmy

Zpracováním osobních dat se myslí jakákoliv operace s osobními údaji, která se provádí pomocí automatizovaných postupů (shromáždění, zaznamenání, uspořádání, uložení, přizpůsobení, vyhledávání, použití, zpřístupnění přenosem, šíření, seřazení, kombinování, výmaz atd.). Za tzv. subjekt údajů se považuje fyzická osoba, které se osobní údaje týkají. Správcem osobních údajů je pak subjekt, který rozhoduje o účelech a prostředcích zpracování (tedy například zaměstnavatel). Takzvaným zpracovatelem je subjekt, kterého si správce najímá, aby pro něj pracoval s osobními údaji (třeba externí účetní firma).

GDPR navíc zavádí několik nových povinností nad rámec současné úpravy o ochraně osobních dat. Jde zejména o posouzení vlivu na ochranu osobních údajů, povinnost evidovat záznamy o činnostech zpracování, předchozí konzultace, ohlašování případu porušení zabezpečení ÚOOÚ a také danému člověku či v některých případech ustavení pověřence pro ochranu osobních údajů.

Co je důležité vědět o GDPR

  • GDPR se netýká pouze velkých, nýbrž všech, kteří nakládají s osobními údaji. Není důležité, zda máte tisíc nebo jednoho zaměstnance.
  • Za osobní se považuje každý údaj, pomocí něhož lze identifikovat konkrétního člověka. Spadají sem e-mailové adresy, telefonní čísla, IP adresy, geolokační údaje, portrétní fotografie, kamerové záznamy atd.
  • Nařízení se týká EU, ale i třetích zemí, pokud zde probíhá zpracování dat, jež se vztahují k osobám v zemích EU. Tedy typicky v případě outsourcingu IT v Indii.
  • Správce i zpracovatel osobních údajů musí vést evidenci záznamů o nakládání s osobními údaji.
  • Osobní údaje lze zpracovávat jen pouze za předpokladu výslovného sdělení souhlasu dotyčné osoby nebo pokud je zpracování dat důležité pro splnění smlouvy či právní povinnost (např. mzdová evidence), pro ochranu zájmů daného člověka (např. údaje o pacientovi, který nemůže dát souhlas) či pro splnění veřejného zájmu (např. obecní kamerový systém se záznamem).
  • Pokuty za porušení GDPR mohou dosáhnout 10 mil. eur nebo 2 % z celkového ročního obratu (v případě závažnějších porušení 20 mil. eur a 4 %).
  • Český zákon o ochraně osobních údajů bude většinově novým evropským nařízením nahrazen s účinností k 25. květnu 2018.
  • Paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by bylo v rozporu s GDPR.
  • Dosavadní souhlas se zpracováním osobních údajů bude platný, pokud odpovídá dikci GDPR.
  • Podle GDPR není možné bez souhlasu přebírat údaje zveřejněné na internetu (ani v případě veřejných rejstříků, kdy musí subjekt údajů strpět jich publikování).

Text nařízení, ale také přibližně dvě desítky souvisejících dokumentů najdete na oficiálním webu Eur-lex.eu. Veškerá legislativa a související soubory jsou v češtině, stačí jen do vyhledávače na webu zadat klíčový termín GDPR. Informace můžete čerpat také z webu ÚOOÚ (www.uoou.cz, rubrika Obecné nařízení EU).

Podnikové systémy budou připraveny

Kolem GDPR je dost diskusí, protože stále panuje i mnoho nejasností. Problém spočívá tom, že chybí důležité výklady a stanoviska příslušných orgánů. Uživatelé informačních podnikových systémů by měli mít situaci jistější, protože dodavatel ERP zahrne změny už do systému a aktualizací. „Situace se každým týdnem vyjasňuje a my průběžně pracujeme na tom, aby zákazníci měli ve svém systému včas implementovány všechny potřebné funkcionality vztahující se k GDPR,“ říká Martin Kudrna, jednatel společnosti Byznys software, která má v ČR a SR více než 1100 instalací podnikového systému Byznys ERP.

GDPR představuje pro některé firmy strašáka. Ve skutečnosti je nařízení velmi prospěšné a mělo by sjednotit pravidla napříč Evropou. Nikdo nechce, aby jeho osobní údaje byly volně přístupné komukoliv a byly potenciálně zneužitelné. Až vám bude někdo napříště volat s nabídkou zubních kartáčků, vy požádáte o výmaz osobních údajů z databáze tohoto obchodníka a on vám přesto zavolá za týden znovu, budete vědět, že vedle morálního práva na to nebýt obtěžován, máte „po ruce“ také daleko silnější právní nástroj.