Mgr. Eva Škorničková

Expertka na GDPR, členka Pracovní skupiny Úřadu vlády ČR k legislativě v oblasti ochrany osobních údajů, působila jako česká konzulka v Kanadě, vedla středoevropské právní divize nadnárodních firem Kimberly-Clark a Mondelēz.

Co je to vlastně GDPR  a proč je zapotřebí lepší ochrana osobních údajů?

Obecné nařízení o ochraně osobních údajů je novým harmonizovaným souborem pravidel týkajících se ochrany osobních údajů Evropanů. Přijato bylo loni v dubnu a účinné bude od 25. května 2018. Jelikož se jedná o nařízení, je automaticky platné pro všechny členské země EU a nemusí být transponováno do národní legislativy, jak je tomu u směrnic. Navíc má mnohem větší legislativní dopad než současná směrnice z roku 1995, protože se jím musí řídit i mimoevropské společnosti, které nabízejí službu, prodej zboží nebo profilují Evropany.

Lidé si mnohdy ani neuvědomují, jakým rizikům se vystavují tím, že vloží citlivé informace do nějakého systému nebo aplikace.

Proč toto nařízení vzniklo?

Hlavním důvodem je skutečnost, že bylo třeba přizpůsobit legislativu v oblasti ochrany osobních údajů a IT bezpečnosti neuvěřitelně rychlému technologickému vývoji. Musíme si uvědomit, že stávající legislativa pochází z roku 1995, kdy neexistovaly sociální sítě a drtivá většina aplikací, které zpracovávají velké objemy dat včetně těch osobních. S tím však souvisí další, řekla bych mnohem závažnější problém, který sebou existence nových technologií přináší. Lidé si mnohdy ani neuvědomují, jakým rizikům se vystavují tím, že vloží citlivé informace do nějakého systému nebo aplikace. Rodiče pořizují svým nezletilým dětem nejchytřejší telefony a tablety, ale už jim nedokážou vysvětlit rizika, která pro ně mohou plynout v momentě, že začnou používat aplikace, které shromažďují naše osobní údaje nebo profilují naše soukromí. V řadě případů totiž ani oni neví, co ta aplikace umí a dělá. Chybí nám kvalifikované vzdělání v oborech jako je IT bezpečnost nebo ochrana informací, a v tom právě spatřuji pozitivní dopad GDPR, protože nám vrací práva rozhodovat o tom, jaké osobní údaje a v jakém rozsahu budou jednotlivými institucemi zpracovávány a využívány za různými účely. Data patří mezi nejhodnotnější komodity a proto je regulace v tomto ohledu nutná. Není náhodou, že právě Facebook nebo Google patří mezi nejvlivnější společnosti na světě, které díky enormnímu množství dat, které o nás mají k dispozici, dokážou společností velmi jednoduše a s jasným zadáním manipulovat. Pokud někomu nevadí, že jejich lednička, automobil nebo chytré hodinky vysílají neznámo kam údaje o našem chování, poloze, zájmech a dalších osobních preferencích, tak má možnost i v rámci regulace GDPR takto soukromé údaje i nadále neomezeně sdílet. Komu to naopak nevyhovuje, bude mu dána možnost si parametry svého soukromí určit sám a organizace musí naše rozhodnutí respektovat.

GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají osobní údaje fyzických osob. 

Jaké povinnosti plynou ze zavedení GDPR?

Na druhou stranu budou na organizace kladeny mnohem vyšší nároky na zabezpečení údajů, které v rámci svojí činnosti zpracovávají. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají osobní údaje fyzických osob. Dotkne se tedy nejen velkých mezinárodních firem, ale také drobných živnostníků, různých zájmových, sportovních a kulturních spolků, charitativních organizací, hotelů, bytových družstev a samozřejmě školských a zdravotnických organizací, které mají třeba jen jednoho zaměstnance nebo zpracovávají údaje svých klientů. Ten výčet není zdaleka taxativní, dopad nařízení je skutečně celoplošný. Paradoxně platí pravidlo, že základním kritériem pro určení rozsahu dopadu nařízení není počet zaměstnanců v dané společnosti, ale množství a hlavně charakter osobních údajů, které zpracovávají. V praxi to znamená, že mnohem větší dopad bude mít GDPR na ordinaci soukromého lékaře nebo personální agenturu s například 3 a více zaměstnanci oproti výrobnímu závodu, který má sice stovky zaměstnanců, ale jeho hlavní činností je výroba, nikoliv systematické zpracování osobních údajů. Troufám si říct, že nejmasivnější dopad bude mít nařízení na banky, pojišťovny a veškeré zdravotnické organizace. Nemalou měrou pak zasáhne i online digitální svět a provozovatele aplikací, které provádí profilování osob za jakýmkokoliv účelem. Pokud je součastí takového profilování i sběr citlivých údajů, zvlášť těch zdravotnického charakteru, tak se jejich provozovatelé musí mít na pozoru. Nařízení je postaveno na principu rizika vůči nositelům osobních údajů, takže čím citlivější údaje zpracováváme, tím přísnější pravidla a povinnosti nařízení organizacím ukládá.

V květnu 2018 nastanou díky GDPR velké změny. Jaké to jsou a co to znamená jak pro společnosti, které zpracovávají osobní údaje, tak pro jejich subjekty, tedy nás?

Já tvrdím, že GDPR přináší kulturní změnu v chování organizací, které disponují osobními údaji. Jde o to, aby začaly přemýšlet, jakým způsobem s osobními údaji zacházejí a jak je zabezpečují proti možnému zneužití. Všichni chtějí o nás a od nás maximum dat, se kterými se domnívají, že mohou libovolně nakládat.

Zásadní problém vidím v tom a praxe mi to bohužel jenom potvrzuje, že drtivá většina institucí nedodržovala několik let platnou legislativu jak v oblasti ochrany osobních údajů, tak v IT bezpečnosti. Zákon č. 101 máme z roku 2000 a některé společnosti ani neví, že existuje Úřad pro ochranu osobních údajů a některé se teprve teď v souvislosti s přípravami na GDPR seznamují s tím, co je osobní údaj a jaké z nich vlastně zpracovávají. Pro tyto instituce je GDPR jakýmsi tsunami, které na ně navalí takové množství pro ně nových, několik let zanedbávaných povinností, že pokud nezačaly s přípravou na nová pravidla v tomto roce, tak nemají šanci se dostat do souladu s GDPR do května 2018. Navíc se budou potýkat s nemalými finančními a hlavně časovými investicemi, takže možná někdy mohou propadnout panice a obavám, že se z toho musí přinejmenším zbláznit.

Je nutné si ale uvědomit, že se nejedná o český zákon, kde by eventuálně nějaké lobbistické tlaky mohly zafungovat, ale pohybujeme se v režimu evropského zákona a to navíc „nařízení“, které mohou změnit nebo zrušit pouze evropské instituce.

Proč tomu tak je?

V Čechách se bohužel opět projevila nám typická vlastnost ponechat vše na poslední chvíli a vyčkávat, jestli se zákon náhodou nezmění, v lepším případě nezruší. Zde skutečně varuji před jedním velkým omylem doprovázeným falešnými iluzemi o tom, že se tak stane i v případě GDPR. Možná i pod vlivem pro mne nesmyslného srovnávání GDPR nařízení se zákonem o EET, u kterého jsme svědky neustálých změn a úprav, ve kterých se ani právníci nevyznají, nabývá česká veřejnost dojmu, že se tak stane i s GDPR. Je nutné si ale uvědomit, že se nejedná o český zákon, kde by eventuálně nějaké lobbistické tlaky mohly zafungovat, ale pohybujeme se v režimu evropského zákona a to navíc „nařízení“, které mohou změnit nebo zrušit pouze evropské instituce. Dostávají se ke mne prohlášení z různých zdrojů, která se snaží uklidnit veřejnost nebo zájmová sdružení v tom, že se jich GDPR týkat nebude, protože si právě vyjednávají výjimku u státních institucí nebo přímo v českém parlamentu. Tato tvrzení považuji za velmi nebezpečná a zavádějící právě z toho důvodu, že je pronáší osoby, které vůbec neznají principy evropského práva a mechanismy, které mohou jejich sliby naplnit. Typickým příkladem je i tvrzení, že právě zařizují odklad účinnosti GDPR pro ČR. GDPR nařízení je platné od dubna 2016 a zákonodárce stanovil dobu do 25.5. 2018 jako jakési přechodné období, které považuje jako dostatečné pro zavedení nových pravidel do prostředí jednotlivých institucí. Máme tady téměř 2 roky na to, abychom se novým pravidlům přizpůsobili a přesto existují subjekty, které volají po dalším odkladu. Nikde v Evropě jsem nezaznamenala tak nesmyslný požadavek, jako se objevil u nás, ale důvod je naprosto zřejmý. Ještě v první polovině tohoto roku drtivá většina institucí včetně těch státních nevěděla, že tady nějaké GDPR již rok platí, takže ta volání po odkladu účinnosti sice v tomto kontextu chápu, ale jsou naprosto lichá.

Z mého pohledu naprosto selhala státní správa a její představitelé zodpovědní za tuto agendu. Ani půl roku před účinností nařízení nebyla jednotlivá ministerstva schopna napsat Kodexy, které by jednotlivým institucím daného oboru výrazně pomohly v nastavení pravidel odpovídajícím nařízení. Když si vezmeme v úvahu jenom zdravotnictví, které patří z pohledu GDPR k těm nejsložitějším oborům, tak jediné, na co se během tohoto roku ministerstvo zmohlo, bylo vydat metodiku, která je tak obecná, že je ve svém důsledku pro jednotlivé zdravotnické organizace nepoužitelná. Některá ministerstva či jiné státní instituce začínají až teď na konci roku 2017 prohlašovat, že je na přípravu spoustu času a metodiky poskytnou v průběhu prvního pololetí roku příštího. Takové prohlášení je pro mne pouze utvrzením v tom, že absolutně nechápou rozsah dopadu GDPR, protože jen samotná implementace pravidel nařízení ve složitějších organizací může trvat i několik měsíců až let.

Dalším naprostým mýtem je fakt, že veřejnost za všechno kritizuje Úřad pro ochranu osobních údajů, ale nikdo si neuvědomuje, že se jedná o dozorový orgán, který bude všechny subjekty včetně těch státních kontrolovat, zda-li GDPR dodržují. Takže je neprostý nesmysl, aby úřad implementaci nařízení do praxe jakkoliv koordinoval a už vůbec metodicky řídil. To je úkol pro vládu a ministerstva.

Další selhání českého státu vidím v nedostatečně připraveném tzv. adaptačním zákonu na GDPR. Nový zákon o ochraně osobních údajů, který nahradí právě naši stojedničku, ještě nebyl ani předložen vládě k projednání, natož parlamentu. Bylo všeobecně známo, že nás v letošním roce čekají parlamentní volby a proto bylo na místě, aby tento zákon byl předložen ještě minulému parlamentu právě proto, aby byl veřejnosti dán dostatečný časový prostor  k přípravám na nová pravidla. Takový přístup zvolili v sousedním Německu, kde svůj adaptační zákon schválili již na jaře, aby nebyla veřejnost vystavena dlouhé nejistotě. Tuto zodpovědnost u nás naprosto postrádám a jen s obavami sleduji, zda-li tento zákon bude Česká republika schopna přijmout do účinnosti samotného GDPR nařízení.

Řekla bych, že nejmasivněji zasáhne nařízení všechny zdravotnické instituce bez výjimky, dále banky a pojišťovny, které zpracovávají velké množství údajů s vysokým rizikem dopadu na fyzické osoby.

Zdá se, že největším strašákem jsou sankce, které hrozí za porušení tohoto nařízení. Jsou obavy oprávněné?

Pokud firma bude na GDPR připravena, nemusí se pokut obávat. Ty budou oproti současnosti výrazně vyšší, nicméně ne pro firmu likvidační. Ty maximální ve výši až 20.000.000 eur nebo 4 % z celkového ročního obratu (vyšší z obou možností) budou ukládány největším nadnárodním společnostem, které také na zpracování a využívání našich osobních údajů vydělávají miliardy dolarů. Takto vysoké pokuty nikdy nemohou být uděleny lokálním středně velkých společnostem a už vůbec ne drobným živnostníkům nebo neziskovým organizacím. To však neznamená, že tyto organizace nemají GDPR dodržovat.

Řekla bych, že nejmasivněji zasáhne nařízení všechny zdravotnické instituce bez výjimky, dále banky a pojišťovny, které zpracovávají velké množství údajů s vysokým rizikem dopadu na fyzické osoby. Já osobně říkám, že je vždy třeba si položit zásadní otázku „Co se může stát konkrétní fyzické osobě, resp. jaká rizika pro ní mohou nastat, když dojde k neoprávněnému zneužití jejích údajů zpracovávaných danou institucí. Když to uvedu na konkrétním příkladě, pokud zpracováváte pouze jméno, adresu a telefon osob, tak se vás nařízení dotkne minimálně oproti institucím, které zpracovávají zdravotnické informace včetně například psychologických testů, veškeré informace finančního charakteru anebo osoby z různých důvodů systematicky profilují.

Co však mnohem více postrádám, je pozitivní vnímání dopadu GDPR pravidel na jednotlivé organizace. Všichni prezentují nařízení jako nesmyslnou bruselskou regulaci, která bude tahat z firem další peníze a znemožňovat jim normálně podnikat. Nikdo však již neříká, v jak zoufalém stavu některé organizace správu a nakládání se zvlášť citlivými údaji mají. Již několikrát jsem zmiňovala právě osobní údaje zdravotnického nebo finančního charakteru. Právě ty zdravotnické patří k těm nejdražším na hackerských seznamech, protože jejich zneužití může každou osobu nejvíce poškodit či ohrozit, riziko dopadu takového zneužití je velmi vysoké. Přesto zabezpečení těchto údajů před neoprávněným zacházením je v některých institucích tristní a proto zákonodárce zavedl tak vysoké pokuty, aby donutil organizace s citlivými údaji mnohem zodpovědněji zacházet. Určitě svěřím svoje údaje organizaci, která si bude vážit toho, že jsem jejich klientem a za to očekávám, že mi citlivé údaje od nich jen tak rychle neuniknou. Věřím, že dodržování GDPR posílí reputaci firem a naopak urychlí zánik těch ignorujících jakákoliv pravidla.

Úplnou novinkou je tzv. DPO neboli Data Protection Officer. Kdo jím může být a jaké budou jeho hlavní úkoly?

U této otázky si dovoluji odkázat na svůj článek na webu, kde je detailně rozepsáno, jaké jsou povinnosti DPO.

Každá společnost a instituce, která zpracovává osobní údaje, musí zajistit, aby byla do 25. května 2018 v souladu s GDPR. Co vše je potřeba udělat a předejít tak hrozícím pokutám?

Nařízení GDPR přináší celou řadu nových pravidel. Jak už jsem několikrát zmínila, pokud instituce dodržovaly alespoň zákon č. 101 z roku 2000, tak budou mít se zaváděním pravidel stanovených v GDPR mnohem méně práce, než ti, kteří jsou tímto zákonem takřka nepolíbeni. Jejich platnost a dodržování bude muset být správce i zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu jistá administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ty údaje, které jsou ke konkrétnímu účelu nezbytné.

Největším strašákem se pro mnohé organizace stane oznamovací povinnost v případě porušení zabezpečení.

Zásadně se mění pojetí souhlasu ke zpracování osobních údajů. Stejně jako dosud musí být souhlas svobodný, určitý, informovaný a jednoznačný. Nově však bude muset být žádost o souhlas formulována tak, aby jí bylo jasně porozuměno. Souhlas se zpracováním osobních údajů je jedním ze šesti právních titulů, takže pokud zpracovávají organizace osobní údaje například na základě zákona nebo plněním smlouvy, tak žádný souhlas nepotřebují. To je velká změna od dosavadní praxe, kdy je u nás tzv. přesouhlasováno. S GDPR dochází také k rozšíření pojmu „osobní údaj“, kam spadají i „technické“ údaje typu e-mailová adresa, IP adresa, soubory cookies. Nově je zavedena` klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim.

Naprosto novým elementem je „právo být zapomenut“, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. Značná pozornost je také věnována právu na přenositelnost údajů. Největším strašákem se pro mnohé organizace stane oznamovací povinnost v případě porušení zabezpečení. Mělo by se tedy stát minulostí, že se o kauzách masivních úniků osobních údajů dozvídáme až s odstupem několika let, jako se stalo nedávno například v případě společností Yahoo nebo Uber. Nově bude muset správce ohlásit porušení ochrany osobních údajů Úřadu nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset informovat i osoby, kterých se únik týkal.

A v neposlední řadě bych ráda zmíníla právo na přístup k informacím, které bude téměř absolutním právem a tím pomyslným jazýčkem na vahách, které prověří, jak je společnost na GDPR připravena.