Manažeři českých firem musí přemýšlet, jak lépe chránit osobní data svých zaměstnanců i klientů. Už od příštího roku jim to bude nařizovat evropské pravidlo o ochraně osobních dat (GDPR). Pokud to neudělají, hrozí jim až stamilionové pokuty, říká v rozhovoru pro HN expertka na nová pravidla ochrany dat Eva Škorničková.

HN: Proč GDPR vzniklo?

Současné evropské předpisy na ochranu osobních údajů vychází z roku 1995. Tehdy neexistovaly třeba sociální sítě a digitální data tak zkrátka tolik neproudila. Evropská unie se teď chce takovému vývoji přizpůsobit.

HN: Údajně stála za přijetím pravidla kauza Snowden, tedy únik utajovaných informací v USA.

To je pravda. Unie se proto rozhodla začít důsledněji chránit osobní údaje svých občanů.

Eva Škorničková

Vystudovala právo na Karlově univerzitě a mezinárodní právo na University of Ottawa v Kanadě. Tam pracovala jako právnička na české ambasádě. Po návratu do Česka působila v British Airways. V roce 2000 byla hlavní právničkou Kimberly-Clark pro střední a východní Evropu. Podobnou funkci později zastávala v potravinářské firmě Mondeléz. Poslední dva roky pracuje jako konzultantka pro otázky bezpečnosti dat.

HN: Co se změní?

Jednou z velkých změn je princip extrateritoriality. To znamená, že se nařízení týká i firem, které nemají sídlo na území unie, ale nabídkou služeb nebo produktů míří na Evropany.

HN: A z pohledu obyvatel?

Přibyly například nové definice genetických a biometrických údajů, počítačová IP adresa, e-mail nebo samotný podpis se berou jako biometrický údaj. Pod ochranu dat navíc spadají údaje o zdravotním stavu, proto nařízení míří i na nemocnice. Vezměte si například, že jste majitelem firmy, kterou někdo kupuje. Na veřejnost uniknou informace o tom, že jste vážně nemocný a že firmu musíte prodat. Kupec pak logicky začne tlačit na cenu. Nová úprava zlepší současný stav, kdy ani nevíme, kdo všechno naše osobní informace sbírá. Vrací nám právo mít přehled o tom, co se s našimi údaji děje, kde jsou uložené, proč je správce u sebe má.

HN: Koho všeho se regulace týká?

Firem, státní správy a také místní samosprávy. Všichni se musí přizpůsobit novým pravidlům. Doporučila bych jim, aby provedly datový audit. Musí si udělat přehled o tom, jaký typ osobních údajů u sebe mají, kde je skladují a kdo k nim má přístup. Třeba veřejná správa má navíc povinnost osobní data šifrovat. Pokud mají společnosti nebo úřady k dispozici zvláště citlivé osobní údaje o zdravotním stavu, pohlaví, sexuální orientaci nebo rasovém původu dané osoby, tak by je měly o to přísněji chránit.

HN: Šifrování se netýká všech dat?

Týká se dat, podle nichž je možné identifikovat konkrétní osobu. Údaje o bankovních číslech, zdravotním stavu či výši platu jsou citlivé údaje, které by se šifrovat měly.

HN: Jaké s tím budou náklady?

Společnosti vydají hodně peněz na konzultantské služby, ať už právníků, nebo IT společností. Záleží, jak podniky řeší ochranu osobních údajů už nyní. Může jít třeba o společnost s pěti zaměstnanci, která ale zpracovává velké množství citlivých údajů pro své klienty. I v takové firmě budou muset nastavit velice složitá bezpečnostní opatření, podobně jako v bankách či pojišťovnách. Myslím, že i investice ve výši 10 či 15 milionů se firmám vyplatí, rozhodně tedy ve srovnání s 20 miliony eur, což je maximální výše pokuty.

HN: Je dost času na přípravu?

Obávám se, že je nejvyšší čas začít. U státní správy je problém, že se nacházíme ve volebním roce. Politická scéna bude obracet svou pozornost jiným směrem. Myslím, že jenom rok zabere podnikům inventura současného zacházení s daty. Zavedení technických zabezpečení pak může trvat měsíce.

HN: Jaká rizika úniku dat hrozí průmyslovým firmám?

V rámci internetu věcí, tedy propojení různých zařízení, sbírají data z různých oblastí. Třeba automobilky mohou mít přehled, kam jejich klient jezdí a v jaký čas. Vědí tak o jeho soukromí, riziko úniku dat je zde vysoké. Pokud by k takovému úniku došlo, může být pokuta pro firmu likvidační, protože by ji pak žalovali třeba i poškození.

HN: Když globální internetové službě uniknou má data, jak bude postižitelná, když nesídlí v unii?

Obrátíte se na dozorový orgán podle místa bydliště. Na něm pak bude, aby se spojil s orgánem země, v níž má daná společnost sídlo. To nebude jednoduché.

HN: Co dalšího má nová úprava ochrany dat řešit?

Například způsob přenosu osobních údajů do zahraničí. Donedávna platilo ujednání mezi Evropskou unií a USA, které se jmenovalo Safe Harbour. Už je zrušené i kvůli aféře Snowden, při níž se přišlo na to, že americké tajné služby svévolně využívaly třeba cloudových úložišť amerických firem, z nichž vybíraly také údaje o lidech z Evropy.

HN: Vznikne i funkce pověřence pro ochranu osobních údajů. Může ho firma najmout zvenčí?

Může. Ale musí být přímo podřízený šéfovi firmy. Navíc nesmí být v kumulované funkci. Nemůže jít o personálního ředitele nebo ředitele IT, aby kontroloval sám sebe. Pověřenec ale nebude zodpovědný za porušení ochrany osobních údajů. Za to vždy ručí správce nebo zpracovatel těchto dat. Pověřenec má společnosti pomáhat dodržovat pravidla.

HN: Bude představenstvo odpovídat za bezpečnostní pochybení při správě dat?

Od roku 2016 se porušení ochrany osobních údajů řadí mezi trestní skutky právnických osob. Management by měl ochraně údajů věnovat zvýšenou pozornost.

HN: Co je únik dat vysokého rizika?

Když se stane, že v tiskárně zapomenete vytisknutou pracovní smlouvu zaměstnance, není to důvod k oznámení úniku osobních údajů úřadu. Za rizikové se budou považovat úniky citlivých dat, které mohou ohrozit pověst poškozené osoby.

HN: Firmy musí klientům únik dat hlásit, což jim může pokazit reputaci.

Ano. Vím o firmě v Irsku, která uchovávala údaje o krevním obrazu svých klientů. Její zaměstnanec přišel o notebook, čímž mohlo dojít k úniku citlivých dat. Společnost tehdy obeslala ohrožené klienty, kterých bylo asi 8500, s tím, že k danému incidentu došlo. Šest tisíc z nich se ozvalo s dotazem, jak je možné, že v databázi byly informace o krevním obrazu, které poskytli třeba před pěti lety. Společnost dostala pokutu a čelila žalobám klientů.