Je neděle po poledni a já při přípravě tohoto článku přemýšlím, jak a k čemu přirovnat své pocity, o které bych se s vámi rád v následujících řádcích podělil. Pravda, vydatný oběd mi v tom příliš nepomohl, ale otevření internetového prohlížeče a poštovní schránky mě okamžitě přivádí na to, jak začít. Blíží se vánoční svátky, mnozí z nás je touží nazývat svátky klidu, pohody, ale na tržištích a v blízkosti obchodních center to tak úplně nevypadá. Jak to souvisí? Stejné jméno, různé podoby. Nechceš-li se (nechat) splést, přemýšlej!
Před pár dny se přes nás prohnal tzv. Black Friday. Už nějaký čas předtím probíhala na Internetu každodenní mediální masáž s velkými přísliby „slev“. Black Friday je marketingový nástroj, který jsme si zapůjčili od obchodníků zpoza velké louže. V naší malé kotlině jsme si ho však po svém přizpůsobili, takže už není jen v pátek, ale skoro celý týden, a vysoké slevy zase v praxi nejsou až tak vysoké.
Podobnou reklamu jako Black Friday má i téma, které v poslední době plní stránky odborných médií, internetových diskuzí a které souvisí s „dárkem“ pro rok 2018 v podobě nabytí účinnosti GDPR, což překládáme jako Obecné nařízení o ochraně osobních údajů. Doteď se už objevily řady odborníků na danou tématiku, kteří aktivně přednášejí, poskytují kvalifikované poradenství, dodávají technologie a pomáhají se zaváděním opatření, která zajistí soulad s tímto nařízením. A stejně jako jsme si pro dobrý obchod přizpůsobili „černý pátek“, tak si mnozí tito odborníci přizpůsobili a vzali jako rukojmí nařízení GDPR. Teď tedy s velmi dobrým marketingem přednášejí o výši možných sankcí, potřebách nákupu nových drahých technologií, čerpání právních poradenských služeb. Ve své podstatě využívají nařízení jako jakéhosi účinného strašáka, kterého někdo jiný vypustil, ale oni nabízejí cestu, jak situaci zachránit. Byl jsem osobně přítomen mnoha diskuzím a přednáškám na toto téma a byl jsem nemile překvapen, jak mistrně si někteří dokáží přizpůsobit nařízení EU ke snadnému výdělku za nepříliš či vůbec použitelné nástroje, kterým méně znalý konečný odběratel uvěří.
CO?
Cílem tohoto článku tedy není přednášení moudrých rad a citace konkrétních ustanovení, která jsou v nařízení uvedena, ale snaha, aby se ve vašich očích čtyři písmenka GDPR nestala jen černou můrou či „dalším nesmyslem“, který nám členství v EU přináší. To není cíl úplně malý, ale za pokus to stojí. Když totiž budete rozumět skutečné podstatě GDPR, bude se vám s jeho požadavky podstatně lépe žít a budou se vám snáze prosazovat i naplňovat.
Ano, jistě můžeme souhlasit s tím, že některá ustanovení se dají vykládat různě. A že pokud se budete tázat právníků, tak obvykle dostanete od dvou právníků mnohdy až tři názory. Ale budeme věřit a doufat, že se právní názory a výklady časem sjednotí. K nynějšímu znění nařízení stále pracují tzv. WP – pracovní skupiny, které se snaží o zpřesnění výkladu jednotlivých ustanovení.
KDY?
Pro naši kotlinu je také typické to, že „se neunáhlujeme“. Přesněji řečeno necháváme vše až na poslední chvíli. Nařízení GDPR vstoupilo v platnost již v dubnu 2016 a do května 2018, kdy vstoupí v účinnost, byl čas vymezený přípravě. V průběhu této doby se měli všichni, kterých se nařízení týká, připravit na jeho účinnost, měli upravit své informační systémy, prověřit a upravit procesy při nakládání s osobními údaji.
Odkládání práce na poslední chvíli bohužel neminulo ani naše zákonodárce. EU předpokládala, že jednotlivé národní vlády upřesní svým prováděcím předpisem mnoho desítek bodů, které jim toto nařízení umožňuje vyladit. Takový prováděcí předpis v České republice bohužel ještě stále nespatřil světlo světa v platném paragrafovém znění.
K samotnému nařízení GDPR je třeba říct, že skutečně zasahuje do mnoha, ne-li do všech, oblastí, agend podnikatelů, firem, státních institucí, kteří pracují či zpracovávají osobní údaje například svých zaměstnanců, dodavatelů, zákazníků, potencionálních zákazníků atd. A to jsou vážně skoro všechny organizace a podnikaví jednotlivci. EU si dává za cíl tímto nařízením zajistit základní práva občanů na ochranu v souvislosti se zpracováním osobních údajů.
JAK?
Zaznamenal jsem již mnoho názorů na tuto oblast v intencích, že nařízení je k ničemu, není třeba se jím jakkoli zabývat, protože například dozorový úřad v ČR má nedostatečné personální kapacity pro účely kontroly, přes velmi seriózní a pragmatický přístup k přípravě a implementaci opatření, tvorby dokumentace, až po extrémní případy, kdy se velmi detailně kontrolují naprosto všechny procesy a vytváří až přebujelá dokumentace, směrnice a opatření. Správná cesta dle mě bude někde uprostřed, i když formalisticky zaměření právníci se mnou nebudou jistě souhlasit. Zřejmě nebude příliš reálné k danému termínu obsáhnout vše, ale důležité bude identifikovat nejkritičtější místa a těm se pečlivě věnovat. Po jejich vyřešení a narovnání stavu do souladu se bude pokračovat v úklidu a revizi těch méně exponovaných oblastí.
PŘIMĚŘENĚ, PŘIMĚŘENĚ…
Je velmi důležité zmínit, že samotné nařízení pracuje s něčím, čemu se říká přiměřenost. Pojetí přiměřenosti prochází celým nařízením GDPR. Dá se chápat tak, že firma o pár zaměstnancích s obratem v řádech několika málo statisíců Kč ročně nebude investovat jednotky statisíců do opatření, která by dokonale naplnila soulad s GDPR. Bude však muset analyzovat v rámci svých činností oblasti, kde pracuje s osobními údaji, a k těmto činnostem vytvořit funkční procesy a opatření, aby zajistila soulad, který bude schopna prokázat. Rozhodně nelze říct, že všichni budou muset vyměnit svůj dosavadní informační či účetní systém, protože neobsahuje například automatizované zpracování některých činností, které je nařízením vyžadováno. Model přiměřenosti bude aplikovatelný napříč všemi opatřeními. Pokud tedy malá společnost prokáže, že požadované řešení má v rámci svých procesů zajištěno a zdokumentováno jinými funkčními metodami, bude to dostatečné.
Nenechte se proto strašit potřebou neúměrně vysokých investic do nových technologií, drahých a zdlouhavých konzultací s právními kancelářemi, tvorbou nepřiměřeného množství dokumentace, kterou nikdo nebude číst, ale snažte se najít cestu jednodušších, zato však funkčních metod, které povedou k žádoucímu výsledku. Snažte se objevit v nařízení i pozitivní přínosy, ať již pro svou společnost či své zákazníky, kterým můžete být nápomocni svou odbornou pomocí.
QUI BONO?
V čí prospěch? Budete se možná divit, ale i ve váš! Pokud se zavádění souladu budete věnovat, jistě vám i vašim zákazníkům napomůže identifikovat spoustu míst v práci s daty, v procesech, v komunikaci se zákazníky i uvnitř firmy a další náměty, které můžete zlepšit, zefektivnit a tím zvednout produktivitu práce. Můžete dosáhnout i na úspory v podobě menší potřeby kapacitních úložišť, zlepšení ochrany svých dat, snížení rizik defraudace a zneužití vašeho know-how. Určitě ale nelze zastírat, že nařízení přinese v některých oblastech i zvýšení náročnosti správy jednotlivých systémů.
Osobně si dovolím přirovnat GDPR k takovému povinnému zavedení norem kvality ISO do jednotlivých společností, firem a institucí. Ač s mnohými jednotlivostmi nařízení nesouhlasím a velmi těžko se mi přijímají, vnímám je jako legislativní povinnost, která má za cíl umožnit jednotlivci, aby skutečně ovlivňoval rozsah evidovaných dat o své osobě u třetích stran. Určitě je pro nás pro všechny do budoucna potěšující, že se snad nebudou opakovat úniky osobních údajů z e-shopů. Bude jistě příjemné, že bez vašeho souhlasu se nestane, jako mně dnes, že vám v neděli ráno zvoní telefon s nabídkou léčivých přípravků či absolutně neodmítnutelnou možností investovat do zaručených finančních operací. Uvážlivým udělováním a odnímáním souhlasu budete moci tyto situace omezit na nejnižší možnou míru.
ZACHOVAT SI ZDRAVÝ ROZUM
Osobně mám největší obavu ze subjektů, které budou prostřednictvím tohoto nařízení a jeho uplatňováním zneužívat svých práv nad rozumnou míru, i když i na to nařízení částečně pamatuje.
Závěrem bych si dovolil zopakovat: „Nenechejte udělat z GDPR strašáka, ale proměňte je v příležitost ke změně a zlepšení!“ To platí především pro ty, kdo musí soulad implementovat. A pro nás, poskytovatele odborných služeb: „Přinášejme našim zákazníkům pouze návrhy kvalitních, efektivních, a především účinných opatření a jejich praktické řešení!“
Doufám, že se v budoucnu budeme čím dál méně potkávat s „rychlokvaškami“, které zaručeně v této oblasti umí vše a mají pro každého neoddiskutovatelně nejlepší řešení. To je často v praxi pro zákazníky nepoužitelné, neúčinné a přináší ekonomický přínos pouze jedné straně – dodavateli. Takoví odborníci vás pak sice v klidu nechají, abyste si z jejich řešení vybrali jen to, co chcete a zvládnete, ale zřeknou se tím odpovědnosti za výsledek – což se docela míjí s důvodem, proč jste si je najali. Když před vámi sedí expert, není to ještě důvod vypnout vlastní hlavu. Diskutujte, ptejte se, nechte si vysvětlit. Pokud doopravdy umí, jistě vám vyjde vstříc.
Libor Novotný, novotny@hts.cz, Hi-Tech Services, spol. s r.o.
