Dlouhodobý boj o moc mezi lobbisty a ochránci dat spěje ke konci. Co ale znamená Obecné nařízení o ochraně osobních údajů pro dotčené občany a podniky?
Dnem 25. května vstupuje v platnost evropské Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR). Od tohoto dne platí v celé Evropě přísná pravidla pro každého, kdo pracuje s osobními údaji. Mnoho společností je však ohroženo právními problémy: protože se na změny v ochraně údajů připravovaly příliš pozdě, příliš špatně nebo vůbec ne, mohly by být zavaleny varováními, žádostmi o informace a podléhat závažným sankcím.
Ještě dále než doposud
Složitou situaci si firmy zčásti způsobují samy. Je pravda, že nové nařízení požaduje po společnostech opravdu hodně: musí prověřit své procesy, najmout nové zaměstnance a připravit se - až do případného legislativního vyjasnění - na právní a technické nejednoznačnosti. Evropský zákonodárce to předvídal a poskytl všem zúčastněným dva roky přechodné přípravy. Ale jako obyčejně, v Česku se vše řeší až na poslední chvíli, a navíc zaspala i vláda a parlament. Zákon o zpracování osobních údajů, který implementuje evropské nařízení GDPR, schválila současná vláda (v demisi) až 21. března. Je už jisté, že se tento zákon nepodaří v Poslanecké sněmovně schválit před začátkem platnosti evropské směrnice. Přesto platí: Kdo se až do této doby pečlivě držel doposud platného zákona o ochraně osobních údajů (101/2000 Sb.), toho nečeká žádné velké překvapení, ale spíše drobnější úpravy.
Fakt je, že namísto seriózní přípravy ohledně ochrany osobních údajů během dvouletého přechodného období většina společností zřejmě pokračovala ve své zajeté praxi. To je patrné z několika průzkumů o stavu implementace GDPR v Česku i v dalších zemích EU (viz následující strana). Shoda s nařízením je přitom důležitá nejen pro společnosti: GDPR je také základem toho, že od 25. května budou moci občané EU využívat svých mnoha nových práv na přístup, vymazání a přenositelnost svých údajů. Nejpozději až proběhne první varovná vlna a regulační orgány přijmou opatření, tato přípravná doba skončí.
Všichni odborníci, s nimiž Chip mluvil, jsou o tom přesvědčeni. Ochrana dat, o které se bavíme, bude opravdu povinná. Koneckonců její prosazení a dodržování by měly zajistit drastické sankce. Za porušení ochrany údajů pak hrozí pokuty ve výši až 20 milionů eur (půl miliardy korun) nebo 4 % ročních příjmů - podle toho, co je vyšší. Takové tresty by neměly pouze motivovat malé a střední podniky, ale měly by mít odrazující účinek především pro velké multimiliardové datové koncerny.
Více ochrany dat pro všechny
Čtyři roky bojovali ochránci osobních dat, politici a lobbistické skupiny o každou formulaci. Dokonce i Washington zasáhl do tvorby legislativy prostřednictvím 50 vlastních lobbistů. Zákon, který však vstoupil v platnost před dvěma lety, je v konečném důsledku velkým krokem vpřed, co se ochrany údajů týče. Přísnější a modernější není žádný světový zákon o ochraně dat, i kdyby to znamenalo významné omezení pro odvětví zpracovávající data, zejména pro průmysl on-line reklamy s jeho sledovacími a profilovými technikami. Povinná transparentnost a minimalizace uchovávaných dat jsou pak v celé Evropě v zájmu ochrany občanů. A to by mohlo být užitečné dokonce i pro uživatele internetu mimo EU: Aby neztratili evropský trh, musí i zahraniční společnosti, které zde chtějí podnikat, přizpůsobit své procesy požadavkům GDPR.
V GDPR se poprvé zavádí jednotný právní rámec upravující zpracování osobních údajů pro podniky a veřejné orgány v EU. Ti, kteří s těmito údaji pracují v Evropě, podléhají přísným požadavkům na dokumentaci, transparentnost a kontrolu. Národních výjimek je jen minimum. Například jednotlivé země mohou nastavit věk, od kterého lze odsouhlasit zpracování dat. V Česku i například v Německu platí standard EU 16 let, v Rakousku 14 let. Pod 13 let to ale není možné v žádné členské zemi EU.
Na oplátku zákon umožňuje volný pohyb dat v rámci hranic EU a posílení evropských společností: silná ochrana dat jako uklidňující pečeť pro spokojenost zákazníků. Například je také přísně regulováno, za jakých okolností mohou data EU vůbec opustit. Konkrétně pouze v případě, že v cílových zemích existuje přiměřená ochrana údajů, dodržují se tam lidská práva nebo zůstávají data ve firemní skupině se závaznými pravidly.
Občanská práva místo slibů
Rozsah GDPR je obrovský. GDPR podléhá v podstatě každý, kdo zpracovává osobní údaje. Mohou to být osobní údaje, údaje o zákaznících, ale také jakákoli komunikace, která běží na webových stránkách. Týká se to internetových gigantů stejně jako malého bowlingového klubu posílajícího občasný newsletter.
Vztahuje se na mateřské školy, řemeslníky, církve a osoby samostatně výdělečně činné - ať už shromažďují a zpracovávají osobní údaje, nebo kombinaci naprosto neškodných skutečností. Květinářka, která odešle personalizované dopisy prostřednictvím mailingové služby, musí být stejně pečlivá jako společnost, která posílá pevné disky ke skartování specializované firmě - i to může být jistý druh zpracovávání osobních údajů. Především pro občany EU to znamená okamžité posílení jejich práv: získávají značně rozšířené informační pravomoci vůči společnostem a úřadům a mohou lépe určovat, co se bude dít s jejich osobními údaji (viz rámeček Práva dotčených). A více než kdykoli předtím mohou doufat, že podniky nebudou o ochraně soukromí jen mluvit, ale také vynaloží potřebné úsilí: nová pravidla vyžadují všeobecné soukromí dané návrhem i výchozím nastavením. Například ochrana dat by měla být zakotvena v základech nově zřizovaných i stávajících internetových služeb a předvolená ochrana soukromí by měla být nastavena na nejvyšší úroveň. Kdo chce menší ochranu dat, ten to musí výslovně říct.
GDPR není triviální
Právě tato povinnost obdržet platný souhlas od uživatelů je trnem v oku mnoha internetovým společnostem. Některé z nich to dokonce interpretují jako nevýhodu pro spotřebitele: je pravda, že se málokterý uživatel zabývá pečlivým čtením takových podmínek a místo toho slepě souhlasí. Podle zástupců firem by bylo lepší umožnit zpracování dat „bez souhlasu, ale, stejně jako doposud, v jasně definovaném regulačním rámci“. Údaje využívané na internetu by byly prakticky srovnatelné s důležitými daty z oblasti digitálního zdraví.
Ve skutečnosti je implementace GDPR pro společnosti všechno jiné, jen ne jednoduchá. V 99 kapitolách se vyžaduje vysoká úroveň pochopení technických, právních a procedurálních aspektů praktické ochrany dat. Implementace GDPR také úzce souvisí s personálním obsazením: Kolik zaměstnanců se již zabývá ochranou dat? Existuje ve firmě vůbec někdo, na koho se s tím mohu obrátit? Pro mnohé společnosti to znamená, že potřebují externí pomoc: poradci pro ochranu dat a externí pracovníci v oblasti ochrany osobních údajů proto mají konjunkturu. Není to však práce, kterou byste mohli udělat jenom tak mimochodem: pouhé jmenování člověka pověřencem pro ochranu osobních údajů žádnou ochranu dat neposkytne -a odpovědnost a závazky vždy zůstávají na vedení společností.
Odstraňte nejasnosti
Prvním krokem k ochraně dat podle GDPR je náhled pohybu dat ve firmě. Každý, kdo zpracovává osobní údaje, musí sepsat zpracovatelský výčet s popisem všech procesů práce s daty. Patří k nim účel zpracování dat, seznam všech zúčastněných společností, případné lhůty vymazání a obecný popis technických a organizačních opatření na ochranu údajů, jako je pseudonymizace (proces vratné anonymizace) a zálohování. Není to všechno tak úplně nové - podobné to bylo již v dosud platném zákoně o ochraně osobních údajů (101/2000 Sb.). Ale jen díky zavedení drsných sankcí a deklarované vůli k jejich uplatňování se tak stane skutečností i opravdu plošné nasazení opatření k ochraně osobních údajů.
Ne všechny požadavky platí ve všech případech. Například pověřenec pro ochranu osobních údajů (Data Protection Officer, DPO) musí být jmenován pouze v případě, že práce s daty vyžaduje zvláštní kontrolu z hlediska ochrany údajů. A pouze společnosti, jejichž zpracování údajů představuje vysoké riziko pro práva a svobody dotčených, musí provést nákladné - a podniky hodně kritizované - posouzení vlivu na ochranu osobních údajů, například při hodnocení, profilování nebo algoritmickém rozhodování s právními důsledky pro dotčené osoby.
Každý, kdo se cítí nejistý ohledně možných výdajů, nejednoznačností a sankcí GDPR, by se měl obrátit na Úřad pro ochranu osobních údajů a jeho výkladové materiály: ÚOOÚ by měl mít totiž nejen kontrolní a represivní úlohu, ale i poradní funkci. A kdo neví, zda on nebo jeho organizace jsou nařízením vůbec zasaženi, může se sám otestovat v bezplatných on-line dotaznících například na O2 GDPR Partner (jdem.cz/ d3xaa5) nebo na gdprsolutions.cz.
Nová éra ochrany dat
GDPR staví na hlavu mnoho starých jistot. Pro firmy, které intenzivně pracují s osobními údaji na internetu, se situace v příštím roce může výrazně zhoršit. Následně vstoupí v platnost nařízení o ochraně soukromí a elektronických komunikacích (tzv. ePrivacy), které eventuálně může (ještě to není přesně stanoveno) například zcela změnit doposud platné předpisy o cookies a sledování. Kdo tedy bude chtít měřit chování uživatelů na internetu a sledovat je, ten bude potřebovat jejich výslovný souhlas. Rozlišuje se přitom mezi soubory cookies, které jsou nezbytné pro funkčnost síťové služby, a tracking cookies, které mají sledovat uživatele v síti. Individuální nastavení ochrany osobních údajů by mělo být možné prostřednictvím prohlížeče. Jedná se o noční můru - zejména pro datový a reklamní průmysl, jehož obchodní modely jsou často založeny pouze na sledování, profilování a cíleném adresování uživatelů internetu - tj. na jejich špehování.
Evropská unie se přiklonila k velmi přísné ochraně osobních údajů svých občanů. Je možné, že jednotlivé státy se pod tlakem průmyslu budou snažit o určité změkčení. V závislosti na tom, jak dopadne dotváření a schvalování nařízení o ochraně soukromí a elektronických komunikacích (ePrivacy), se bude dále vyvíjet i přístup k ochraně soukromých dat. V každém případě díky GDPR a ePrivacy je i pro menší společnosti doba bezstarostného zacházení s osobními údaji a jejich případného zneužívání nenávratně pryč.
***
Významné změny
Společnosti očekávají při zavádění pravidel GDPR tyto důsledky (údaje v procentech)
Dodatečné náklady na vzdělávání zaměstnanců 54,4
Vyšší pracovní zátěž 53,5
Zvýšení důvěry zákazníků v on-line nákupy 27,4
Výhody v mezinárodní konkurenci 11,9
Pozitivní vliv na rozvoj podnikání 5,0
Zdroj: ZEW
***
Práva dotčených
Ačkoli v ČR doposud platil zákona o ochraně osobních údajů (101/2000 Sb.), GDPR práva na ochranu osobních dat dále rozšiřuje.
> Informační povinnost:
Firmy musí sdělovat množství informací o vlastním zpracování dat, včetně jasného kontaktu pro otázky týkající se dat, zdrojů a kategorií uchovávaných údajů, a podrobnosti o jejich případném předávání do zemí mimo EU. Při algoritmickém přístupu musí vysvětlit použitou logiku, rozsah a dopad rozhodnutí.
> Právo na informace
: Podniky musí na požádání sdělit, které kategorie dat uchovávají, jak dlouho a za jakým účelem. K tomu se přidávají jejich případní příjemci. Společnosti mají čas na odpověď na žádost nejdéle jeden měsíc, poskytovat je musí obecně zdarma.
> Právo na zapomenutí:
Nejen vyhledávače, ale každý zpracovatel dat musí na vyžádání vymazat veřejné osobní údaje - a také informovat další zpracovatele dat o požadavku na odstranění. Zde je to legálně i technicky trochu nedořešené.
> Právo na přenos dat:
Uživatelé internetu by měli mít možnost předat své údaje novému poskytovateli ve standardním formátu. Zde experti stále vidí velkou nutnost dalšího objasnění.
> Zásada „one-stop-shop“:
Občané EU se mohou vždy obrátit na své orgány pro ochranu osobních údajů se stížností bez ohledu na to, kde se dotyčná společnost nachází. To platí i pro firmy.
***
INTERVIEW
Není to konec světa
Petr Mayer je poradcem pro ochranu dat v české pobočce poradenské společnosti Atos IT Solutions and Services.
* > Jak prožíváte poslední měsíce před GDPR?
Zaznamenáváme výjimečný zájem o toto téma. V minulosti byla ochrana dat v mnoha společnostech spíše opomíjena, a to i přesto, že je již několik let řešena českým zákonem o ochraně osobních údajů. To se změnilo s blížícím se datem platnosti GDPR, zejména z důvodu celoevropské platnosti, dramatického zvýšení pokut a v neposlední řadě i kvůli několika medializovaným kauzám a vůbec popularizaci celé problematiky. Když jsme na toto téma začali před rokem pořádat semináře a konzultace, neznal pojem GDPR prakticky nikdo.
* > Co se mění od 25. května?
Klíčové slovo je transparentnost. Většina firem už nyní provádí audity a analýzy stavu svého přístupu k ochraně osobních údajů a poměrně značná část z nich musí na základě jejich výsledků provést implementaci technických i procesních opatření, zejména kvůli zvýšeným požadavkům na dokumentaci a záznamy. A to nemusí být zrovna levné. Má to pro firmy ale i své výhody: zejména seznam zpracovávání dat může poskytnout základní přehled o nutných procesech a ukázat potenciál pro jejich optimalizaci. Pro dotčené koncové zákazníky a zaměstnance existují komplexní, zčásti zcela nová práva. Právě zvýšená informační povinnost a práva dotčených majitelů údajů by měly zajistit, že tito zůstanou pány svých vlastních dat.
* > Jak společnosti plní nové požadavky?
Zatím velmi různě. Z firem zaznívá kritika, že GDPR nerozlišuje oblast použití osobních dat. Postihuje úplně stejně malou cestovní kancelář sídlící na rohu ulice - s několika málo výjimkami - právě tak jako giganty Facebook nebo Google. Mnoho předpisů také obsahuje prostor pro různý výklad. Bude také záležet na tom, do jaké míry budou ve skutečnosti dotčení majitelé dat uplatňovat svá práva. Zde poskytne odpovědi pouze praxe.
* > Očekáváte velké zmatky?
Ne. Svět se bude točit dál i po 25. květnu. Nařízení GDPR v podstatě nepřináší - přinejmenším ve vyspělých evropských ekonomikách - až zas tolik inovací a změn, jak se někteří mohli obávat. Pro mnohé společnosti je největší výzvou to, že se v minulosti vůbec nebo jen zřídka zabývaly otázkami ochrany osobních údajů. A to teď budou muset změnit.
Foto popis| Trocha ochrany dat
Foto popis| Na internetu najdete jednoduché dotazníky, které vám pomohou zjistit, zda se vás nebo vaší organizace GDPR vůbec týká.
O autorovi| FELIX KNOKE, JOSEF MIKA, autor@chip.cz