Květen 2018 se kvapem blíží. Možná se to zatím nezdá, protože debata se rozjíždí poměrně vlažně, ale v oblasti nakládání s osobními údaji se chystá poměrně zásadní revoluce. V platnost totiž vstoupí Obecné nařízení o ochraně osobních údajů, jinak také známé pod tajemnou zkratkou GDPR. Společně s ní, jak už také informoval Ekonomický deník, vyvstane pro všechny povinné subjekty – a že jich není málo – nová povinnost zavedení funkce tzv. pověřence pro ochranu osobních údajů.
Pokud se ptáte, zda je to s GDPR opravdu tak zásadní pro každou organizaci, pak odpovídám, že rozhodně ano. V zásadě platí, že každá organizace, která zpracovává osobní údaje, ať už svých zaměstnanců, najímaných pracovníků nebo třeba svých zákazníků či jiných fyzických osob bude muset splňovat nová a poměrně přísná pravidla. Pokud tak neučiní, hrozí jí nemalé pokuty až v řádech milionů EURO.
Když si vezmeme, kolik takových povinných subjektů v naší zemi bude, je až zarážející, jak málo firmy, ale i státní instituce přípravu na zavedení GDPR řeší. Konkrétně třeba v případě zmíněného pověřence, který má mít v každé organizaci na starosti právě správu osobních údajů. Jinými slovy, firmy i organizace budou muset mít od května k dispozici konkrétního člověka, který se o tuto problematiku bude muset starat.
Koho se to vlastně týká? Skoro všech!
Pojďme se na problematiku pověřenců podívat z pragmatického pohledu. Odpovědnost vůči případným sankcím, které jsou, jak jsem již zmínil, poměrně vysoké, nebude možné z organizace jen tak sejmout. Pokuty za zanedbání mohou přitom dosahovat až 20 milionů EURO, nebo až 4 % z celosvětového obratu. Což není málo ani pro hodně bohaté firmy, natož pro státní organizace či menší společnosti.
Navíc pokud bude firma zpracovávat velké množství osobních údajů fyzických osob nebo dokonce tzv. zvláštních osobních údajů, což se typově týká call center, zdravotnických zařízení, úřadů či firem s počtem zaměstnanců přesahujícím 250 osob, ale třeba také e-shopů, internetových registrů apod., nařízení přikazuje mít odpovědné osoby, tzv. pověřence ochrany osobních údajů. Co to ale bude za lidi? Očekává se od nich nezávislost na tvorbě procesů ve firmě, znalost architektury v IT a zkušenost s prací, kde se přímo podílí na zpracování nebo správě osobních údajů. Čili něco mezi právníkem a odborníkem na IT.
Asi se poměrně správně ptáte, kde máte takového člověka vzít a zda ho budete muset zaměstnávat. V zásadě existují dvě možnosti. Buď to bude váš zaměstnanec nebo externí dodavatel. Každá z těchto variant má své výhody i nevýhody. Výhodou externisty je zpravidla jeho nezávislost na určování procesů ve vaší firmě. Navíc může takový člověk přinést mnoho dobrých rad z jiného prostředí, než je právě vaše organizace.
O odborníky je zájem i bez GDPR
Co se týče jeho kvalifikace, tak nařízení přímo hovoří o expertní znalosti práva a zkušenosti z IT, ještě lépe pak se znalostí firemních procesů. Protože se ale jedná o kombinaci několika odlišných a poměrně kvalifikovaných disciplín, tak platí, čistokrevný právník vám se vším nepomůže, stejně tak jako čistokrevný IT specialista. O znalosti firemních procesů u jedné nebo druhé skupiny nemluvě.
Lze jen stěží očekávat, že na trhu jsou tisíce volných lidí, kteří se vyznají v kombinaci výše uvedených disciplín. Zejména v době, kdy se o specialisty podobného typu už několik let svádí na trhu poměrně nekompromisní souboj, nehledě na připravovanou platnost GDPR. Předpokládám tedy, že kvalitní pověřenci budou celkem nedostatkovým zbožím.
Jako nejlepší možné řešení se proto jeví sáhnout po externí poradenské firmě, která zvládne prostřednictvím několika specializovaných osob obsáhnout požadované znalosti, nebo zkrátka po externím specialistovi-pověřenci.
Jak takového člověka nebo dodavatele služeb vybrat, aby splňoval požadované znalosti? Nejlepší bude vyhledat poradce nebo auditory systémů řízení ISO, tedy znalce procesů. V tomto konkrétním případě by to měli být poradci nebo auditoři splňující standard ISO 27001, který se věnuje právě problematice systémů řízení bezpečnosti informací. Takový poradce či auditor se nepochybně vyzná i v legislativě, jejíž plnění je požadováno ISO standardem. Dále by takový kandidát na pověřence ve vaší firmě či organizaci měl prokázat, že je vyškolený právě jako pověřenec, tedy že získal osvědčení na základě splněných zkoušek.
Nepodceňujte přípravu
Protože mezi hlavní úkoly pověřence bude mimo jiné patřit i případné zastupování vaší firmy nebo organizace před Úřadem pro ochranu osobních údajů (ÚOOÚ), měl by takový poradce nebo auditor mít i praktické zkušenosti, neboť to bude on, kdo bude provádět interní audity GDPR nebo řešit případné bezpečnostní incidenty.
Jakkoliv se riziko úniku informací může zdát banální, ve stínu vysokých pokut se může celkem jednak stát velmi relevantním problémem a vyloučit rozhodně nelze ani anonymní udání, například v rámci konkurenčního boje. Samozřejmě bude platit pravidlo, že kde nebude žalobce, nebude ani soudce, nicméně kdo by se na to v dnešní době spolehnul? Proto problematiku GDPR a s tím související povinnosti mít svého pověřence rozhodně není dobré podceňovat. A je lepší se připravit dříve nežli později. Jak známo, nedostatkové zboží se celkem rychle vyprodá.