Poslední dva roky se ve vyšší či nižší frekvenci objevují studie a průzkumy s tématem připravenosti podniků z různých zemí nebo regionů na nařízení GDPR. Jejich společnou vlastností je, že obvykle vyznívají více či méně pesimisticky. A nezáleží přitom na velikosti zkoumaného vzorku, geografickém pokrytí a povětšinou ani na hospodářském oboru dotazovaných organizací. V přípravách na blížící se účinnost nařízení zaostávají malí i velcí, ze západu i z východu.

Nutno ovšem poznamenat, že naprostou většinu podobných průzkumů sponzorují a realizují dodavatelé pro GDPR relevantních řešení a služeb. Ačkoliv mají na věci zjevný komerční zájem, viditelný duch nepřipravenosti soukromého i veřejného sektoru nemůže být pouze důsledkem marketingové interpretace výsledků dotazování.

Obecné nařízení o ochraně osobních údajů doprovází řada nejistot. Dokládají to například zjištění loňského celoevropského průzkumu společnosti NetApp mezi 750 řediteli a manažery IT, která minimálně naznačila, v čem organizace nejvíce tápaly. Respondenti si nejednoznačně vykládali téma odpovědnosti za dodržování pravidel nakládání s daty. Nijak vysoká míra pochopení nepanovala ani v odpovědi na otázku, co vše do působnosti nařízení GDPR spadá. A zhruba rok před účinností normy uváděli, že přípravy na splnění jejích požadavků postupují pomalu a mají nízkou prioritu.

Klíčová zjištění průzkumu, a to nejen citovaného, lze s trochou nadsázky transformovat do otázek začínajících zájmeny kdo, co a jak. Chybí už jen proč, ale na tu by nejspíše měli odpovídat evropští zákonodárci. "Již od začátku je zřejmé, že GDPR sice předepisuje co chránit, stanovuje práva, dobře definuje termíny, ale vlastně neříká jak. Jak konkrétně postupovat," shrnuje téma nejasnosti Tomáš Hlavsa, manažer oddělení pro kybernetickou bezpečnost ve společnosti Atos.

"Většina společností dosud nepochopila, do jaké hloubky a v jakém rozsahu se jich pravidla GDPR dotýkají. Nařízení je založeno na několika základních principech, tj. principu rizika vůči právům a svobodám nositelů osobních údajů a principu přiměřenosti. Ten se projevuje v tom, že každá společnost musí zavést taková technická a organizační opatření, která jsou přiměřená charakteru zpracovávaných osobních údajů. Z toho důvodu dopadá nařízení na každou instituci v jiném rozsahu. Já osobně říkám, že je vždy třeba položit si zásadní otázku: Co se může stát konkrétní fyzické osobě, respektive jaká rizika pro ni mohou nastat, když dojde k neoprávněnému zneužití jejích údajů zpracovávaných danou institucí?" komentuje praktické uchopení GDPR Eva Škorničková, konzultantka pro ochranu osobních údajů a IT bezpečnost.

Stav příprav

Do účinnosti nařízení zbývají dva měsíce. Jak si vedou tuzemské podniky? V březnu letošního roku, buďme aktuální, publikovala společnost O2 výsledky lokálního průzkumu s tématem připravenosti na GDPR. Ve srovnání se staršími obdobnými studiemi v podstatě nedošlo k žádnému zásadnímu posunu. Snad jen zkratka GDPR pouze málokterého zástupce tuzemského byznysu překvapuje coby jazykový novotvar.

Polovina dotazovaných podnikatelů se domnívá, že se jich nařízení netýká. Více než třetina tuzemských podniků nechává přípravy na splnění požadavků nařízení na "poslední chvíli". Polovina začne v březnu, pětina v dubnu nebo květnu. Téměř 20 procent respondentů žádné přípravy neplánuje. Snad jde o pětinu podniků, u které se i zástupci společnosti O2 domnívají, že "reálný dopad GDPR" nepocítí.

Postřehy k přípravě tuzemských podniků na účinnost nařízení nabízí Tomáš Hlavsa ze společnosti Atos: "Z vlastní zkušenosti víme, že centrální orgány státní správy jsou spíše ve stadiu příprav, než že by se uváděly do souladu. Lepší situace panuje v bankách." Jeho pohled potvrzuje i komentář Miroslava Vysušila ze společnosti EY: "Velké společnosti, které jsou zvyklé na regulace, například pojišťovny, banky, telekomunikační operátoři nebo distributoři energií, se na regulaci velmi intenzivně připravují již mnoho měsíců." Nadnárodní a technický aspekt přidává Nik Černomorský, ředitel týmu poradenství v oblasti rizik ve firmě Deloitte: "Obecně lze říci, že velké mezinárodní společnosti jsou v přípravách nejdále, přesto předpokládáme, že většina firem nebude k 25. květnu 2018 připravena na 100 procent. Vyřešené budou mít pravděpodobně hlavně právní aspekty, změny v IT systémech budou realizovat asi prostřednictvím road mapy, která bude implementována spíše v průběhu let než měsíců."

Ideu velkého byznysu, který nařízení o ochraně osobních údajů vygeneruje, tuzemské podniky poněkud narušují. Polovina respondentů průzkumu společnosti O2 nemá stran relevantních nákladů žádnou představu. Třetina se domnívá, že půjde o částku přesahující 20 tisíc korun a více než desetina s žádnými náklady nepočítá.

50 %

Polovina dotazovaných podnikatelů se domnívá, že se jich nařízení netýká. Více než třetina tuzemských podniků nechává přípravy na splnění požadavků nařízení na "poslední chvíli". Průzkum O2, březen 2018, k problematice GDPR.

Mnoho tuzemských organizací v rámci implementace požadavků GDPR využívá konzultační služby. Stejný postup zvolila i společnost Datart, jejíž komentář připojuje Iva Pavlousková, tisková mluvčí: "Požadavky konzultujeme s vybranými advokátními kancelářemi, se kterými spolupracujeme dlouhodobě. Zkušenosti máme pozitivní, jelikož toto téma řešíme kontinuálně společně již delší dobu," a dodává: "Okolo celé problematiky vzniká podle nás zbytečná panika, ten, kdo má v této oblasti vše nastaveno podle stávající legislativy, nemusí této panice propadat."

Pozitivní zkušenosti s poskytovateli konzultačních služeb však nemusí být zcela běžné a samozřejmé, jak doplňuje Eva Škorničková, konzultantka pro ochranu osobních údajů a IT bezpečnost: "GDPR přitahuje velkou pozornost a řada tzv. GDPR expertů šíří veřejností naprosté nesmysly, které bohužel vyústily v ČR v hysterii, se kterou jsem se nesetkala v žádné jiné zemi. Jako jediný motivační argument, proč se musí všichni tímto nařízením zabývat, používají výši pokut. Jsem velmi zklamaná z toho, jak je u nás nařízení prezentováno, jako nesmyslná bruselská regulace, která bude tahat z firem další peníze a znemožňovat jim normálně podnikat. Nikdo však již neříká, v jak zoufalém stavu některé organizace správu a nakládání se zvlášť citlivými údaji mají."

Co čekat po 25. květnu?

"Názory na to, co mohou společnosti po 25. květnu letošního roku očekávat, se liší," říká Tomáš Štalmach, konzultant společnosti Arbes Technologies. Podle jeho názoru je lze rozdělit do dvou skupin. První skupina odborníků pokládá za velmi nepravděpodobné, že ze dne na den dorazí desítky nebo stovky klientů, kteří budou chtít uplatnit své právo na ochranu osobních údajů. Odůvodňují to hlavně tím, že příslušné zákony platí už nyní. V opozici stojí druhá skupina odborníků, kteří upozorňují na značnou medializaci tématu GDPR, což ovlivňuje povědomí lidí o jejich právech.

Řešení požadavků na uplatnění práva klientů může zabrat společnostem nezanedbatelné množství času a při nevyřízení požadavku do 30 dnů, v některých případech do 90 dnů, hrozí organizacím nemalé pokuty. "Osobně si umím představit i to, že se mohou vyskytnout nekalé praktiky konkurence v podobě zahlcení společnosti požadavky na uplatnění práva na přístup. V takovém případě může mít společnost, která nemá pokryté GDPR procesy nějakým softwarovým řešením, problém s vyřešením velkého množství požadavků ve stanoveném čase," dodává Tomáš Štalmach ze společnosti Arbes Technologies.

Vizi poklidného začátku účinnosti nařízení potvrzuje také Martin Laur, ředitel úseku právního a compliance v pojišťovně Kooperativa: "Rozhořčené reakce klientů v masové míře neočekáváme. Počítáme spíše s tím, že klienti se budou mnohem více než dosud ptát na to, k čemu jejich údaje používáme a jak je chráníme."

V tématu činnosti dozorových orgánů se oslovení odborníci v podstatě shodují. "Kontroly souladu a připravenosti lze spíše očekávat v důsledku vyšetřování konkrétního incidentu, tj. úniku dat, či konkrétní stížnosti klientů, například pokud instituce nebudou respektovat odebrání souhlasu s marketingovými aktivitami, nebo při neplnění nových práv klientů, například poskytnutí kopie osobních údajů. Masivní vlnu kontrol neočekávám. Na druhou stranu nelze předpokládat, že stačí přežít několik měsíců platnosti nařízení a že vše odezní," říká Miroslav Vysušil ze společnosti EY.

Poměrně vtipný komentář doplňuje Vladan Hejnic, výkonný ředitel společnosti VIVmail.cz: "Úřad pro ochranu osobních údajů se netají informací, že má sedm úředníků na kontrolu celé České republiky. Tedy spíše než vlnu kontrol očekáváme pozvolné etablování nařízení a konkrétnější vodítka, jak s dílčími tématy zacházet."

 

Anketa: Bílá místa GDPR

Jaká témata obecného nařízení o ochraně osobních údajů doprovází největší otazníky a nejasnosti?


Tomáš Hlavsa, manažer oddělení pro kybernetickou bezpečnost, Atos

V praxi jsme zaznamenali nejvíce dotazů na nápravné opatření pseudonymizace. Organizace zjišťují, jak by mohly osobní údaje ve svém držení pseudonymizovat, kdy po prvotních průzkumech zjišťují, že je to natolik technicky i procesně náročné, že raději volí jiná řešení.

Nik Černomorský, ředitel týmu poradenství v oblasti rizik, Deloitte

Obecně chybí návod na stanovení výše pokut. Pracovní skupina se sice snažila vyprodukovat různé materiály, jako je metodika provádění DPIA, ale všeobecně pořád chybí například prováděcí vyhláška, to znamená, že každá země to bude dělat po svém. Dokonce i formáty reportu budou pro každou zemi jiné, což může být problematické v případě mezinárodních sporů.

Miroslav Vysušil, senior manager oddělení podnikového poradenství a řízení rizik, EY

Nejasnosti v praxi vznikají například při povinném informování třetích osob při zpracování údajů, které však nebyly společnosti poskytnuty přímo touto osobou. Jedná se například o údaje jiných osob uvedených na daňovém přiznání nebo v pojišťovnictví při likvidaci pojistné události. GDPR povoluje pouze minimum výjimek a konzervativní přímé plnění informační povinnosti ve vztahu ke všem třetím osobám se častokrát stává pro společnosti velmi obtížně splnitelným. Tudíž společnosti stojí před volbou, zda chtějí přenést povinnost informování například na svého zákazníka, nebo si zvolit rizikovější cestu a od informování odstoupit pro nadměrnou náročnost.

Martin Laur, ředitel úseku právního a compliance a člen rozšířeného představenstva, Kooperativa pojišťovna, Vienna Insurance Group

Největší nejasnosti podle mého názoru plynou z obecnosti nařízení, však se také oficiálně jmenuje "Obecné nařízení". Je tak velmi obtížné požadavkům tvůrců porozumět a správně jim dostát, zejména když nad vámi visí hrozba obrovských pokut. V pojišťovnictví se také potýkáme s tím, že GDPR je šito na míru spíše internetovým vyhledávačům a provozovatelům sociálních sítí. Na náš byznys ale "nesedí", zejména v oblasti zdravotních údajů.

Eva Škorničková, konzultantka pro ochranu osobních údajů a IT bezpečnost

GDPR obsahuje řadu velmi obecných ustanovení, která vyžadují další upřesnění či výklad, tak nelze očekávat do data účinnosti nařízení, že budou veškeré nejasnosti objasněny, ale až rozhodovací praxe dozorových úřadů a soudů bude výklad těchto ustanovení upřesňovat.

 

Článek a anketa byli publikovány v březnovém čísle magazínu ICT revue.