Je ochrana osobních údajů ukotvená v nařízení EU tzv. GDPR skutečně jen byrokracie a výmysl Bruselu? V současné éře technologií, informací a zpracování velkých dat nikoliv, i když se to tak pro spoustu z nás může jevit. Z naší poradenské praxe bohužel víme, že podnikatelé, malé a střední firmy (o neziskovkách nemluvě) často k jejich škodě nedbají rizik, zlehčují jejich případné dopady a příliš je neřídí. Ono se není čemu divit – zažíváme nejdelší období ekonomického růstu od Velké hospodářské krize minulého století. Firmám se daří, obraty rostou, zisky se zvyšují…
Jenže ekonomika je přehřátá, na trhu práce nejsou kvalifikované síly, mzdy rostou výrazně rychleji než produktivita. Začínají se zvyšovat úrokové sazby, na finančních trzích je přebytek hotovosti, kterou není kam smysluplně investovat a tak se investuje i do projektů s větším a větším rizikovostí. Korekce se blíží a nastane se stejnou jistotou, s jakou zítra bude den a po něm opět noc. A majitelé firem, manažeři a podnikatelé tohle vnímají, jenom přes všechny obchody a byznysy a jednání a růst nezbývá čas se připravit. Uvědomit si hrozící rizika, která se i s rozvojem technologií změnila a stále mění. Řízení totiž není o tom, že jsou všechna rizika minimalizována na nulu. Řízení rizik je o:
- přiměřenosti – mám-li malou ševcovskou dílnu, nepotřebuji zabezpečení pro jadernou elektrárnu nebo banku;
- znalosti “co” hrozí firmě – tedy jakým rizikům je vystavena, s jakou pravděpodobností a dopadem je lze počítat a jakou lze dané hrozbě přiřadit závažnost
- odpovídajících opatřeních zaváděných k zmírnění dopadu rizik
- sledování a vyhodnocování rizik, souvisejících opatření i průběžných změn ve firmě, mimo firmu, na trhu, u zákazníků, konkurence, dodavatelů, dohledu ze strany státu nebo úřadů atp.
Takovým rizikem může být i jen drobnost typu přerušení dodávky elektřiny nebo neočekávaná absence klíčového pracovníka nebo z těch závažnějších únik citlivých dat nebo celé klientské databáze. Když nevíte, co v takových případech dělat, nejen, že to vypadá neprofesionálně (až hloupě), ale hlavně poškodíte svoji firmu (své dobré jméno) a dost často realizujete konkrétní ztrátu. A i když řada firem vzala ochranu osobních údajů na lehkou váhu, nic to nemění na faktu, že jde o jedno z nejcitlivějších a současně nejdůležitějších aktiv, které v jakékoliv firmě jsou. Nejčastější nedostatky, se kterými jsme se při naší činnosti ve firmách setkali:
- Nízká úroveň zabezpečení technologií – jednak ve formě individuálního selhání pracovníků, kteří si dostatečně nezamykají počítač, když od něj odchází nebo mají volně přístupný mobil, ač na něm využívají pracovní e-mail a mají na něm vzdálený přístup do elektronické dokumentace firmy. Často jde ale o systémová selhání řízení přístupových oprávnění (tzv. access right management) v podobně nedostatečného řešení přidělování přístupových hesel k zařízením, do jednotlivých aplikací nebo systémů. Běžně se setkáváme s tím, že firmy nemají informace o tom, kdo má kam přístup.
Konkrétně si vybavuji situaci, kdy jsme zjistili, že do personálního a mzdového systému měl nastavený neomezený přístup náhledu každý pracovník ve firmě. Samozřejmě, že to nikdo nevěděl, kromě jednoho pracovníka, který na to přišel náhodou (neměl, co dělat, tak “brouzdal” ve firemním systému) a u kterého současně vedení firmy nemohlo přijít na to, kde bere informace o tom, kdo dostal jakou odměnu, kdo má kdy dovolenou apod. Samozřejmě, že se tento stav obratem narovnal, ale dokud nevíte, jak to je ve firmě nastavené, nemáte co narovnávat.
Podobný případ byl u jiné firmy, ve které měli jeden sdílený disk určený pro osobní složky každého ze zaměstnanců. A také složky používali pro ukládání osobních údajů – výplatnic, výpisů z účtů, personálních dokumentů. Jenže složky byly přístupné bez omezení, tedy pro jakéhokoliv ze zaměstnanců. Samozřejmě nezáměrně, prostě přístupová oprávnění nijak nastavena nebyla. - Absence “risk-based approach” tedy přístupu založeného na riziku, který v některých případech hraničí s nedostatkem zdravého “selského” rozumu. Třeba když přijdete do firmy a řeknete, že jdete za jednatelem (byl jsem tam zcela poprvé, nikdy předtím jsme se neviděli, schůzku jsme měli dohodnutou telefonicky), přičemž pracovníci vás pošlou do kanceláře v patře, první dveře vpravo. Tak tam stojím sám v kanceláři, jednatel nikde. Všude přístupno, tři nezamčené obrazovky zobrazují každá jiné sdělení – v tom prvním jde o nákres zakázky pro klienta XY, v druhém pak seznam aktuálně rozjednaných a řešených zakázek a ve třetím rovnou zpřístupněný účetní program, kdyby bylo potřeba náhodou zjistit o firmě něco bližšího (pro zvědavce to bylo “Money S3”). Jednatel přicházejíc po 5 minutách ani nemůže tušit, co se mu za tu dobu v kanceláři mohlo dít. Nebo jiný příklad: po dotázání personalistky na uložení osobních složek zaměstnanců hrdě ukáže na železné šuplíky a s rozzářeným úsměvem odpoví: “Zamčené, tady!”. Jenže osobní složky pracovníků, kteří už odešli (nebo “byli odejiti”), leží volně na poličce v “archivu” bez jakéhokoliv zabezpečení. Jenže mohou navíc obsahovat také důvody pro ukončení pracovního poměru skončivšího zaměstance a ne každý by byl rád, aby takové informace o něm byly sdíleny.
Někdy jsou takové případy úsměvné, jindy méně. Jenže taková “drobnost” může firmu v lepším případě poškodit, ve fatálním a cíleném i zničit. Přitom jde často o jen domácí slepotu a stačí být zdravě kritický nebo požádat někoho zvenčí, aby nám dal zpětnou vazbu, zda nám ve firmě něco “neuniká”. Cílem totiž není zavedení totální kontroly, daleko spíše je to o adekvátním nastavení procesů. - Šetření na nesprávném místě, což je nám Čechům velmi vlastní: hlavně ušetřit, kdo šetří má za tři… Jenže v kontextu ochrany osobních údajů a řízení rizik daleko více platí: “nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci”. To pak zůstává rozum stát, když jednatel/majitel firmy ke klíčovému systému, ve kterém jsou evidovány informace o všech zákaznících a zakázkách, platí pouze dvě uživatelské licence – jednu pro sebe (administrátorskou) a druhou pro zbývajících devět pracovníků firmy (v zásadě taky administrátorskou), kteří tak sdílejí jeden uživatelský profil. Ve firmě tak nedokážou efektivně řídit přístup k databázi zákazníků, fakticky není možné vystopovat, kdo s daty jak nakládal, případně ji zcizil. Vedení firmy sice ušetří pár tisícovek měsíčně, ale ohrožuje svůj byznys s takřka desetimilionovým obratem a to je dost krátkozraké.
Samozřejmě se usmíváte: vždyť jste malá firma, jste jako rodina, s každým se znáte, tohle by se u vás nestalo. Jenže až se to stane, bude pozdě. Znám případy řady firem, kdy se majitelé velmi divili nad drastickým úbytkem zákazníků, který přišel “zcela nečekaně” po odchodu jednoho z pracovníků z firmy. Toho, který odcházel s kompletním seznamem zákazníků a následně je všechny kontaktoval a dostatečně hrozivě svého dosavadní zaměstnavatele vylíčil v těch nejčernějších barvách.
Další kapitolou je využívání služeb “zdarma” nebo stahování neplacených šablon z internetu.Totiž “zdarma” je často dost drahé, jen to není na první pohled vidět. V souvislosti se zavedením nařízení GDPR je takový přístup na denním pořádku – najít si vše on-line a hlavně ZADARMO. Smutné, když pak vidíte, jak firmy plýtvají energií na něco, v čem se těžko orientují a zavádějí formalisticky nové postupy a přitom jim uniká podstata (třeba souhlasy se zpracováním osobním údajů tam, kde být nemají apod.). Navíc strategicky důležité agendy, jakou ochrana osobních údajů bezesporu je, a jejich zavedení někdy předávají na řadové (neklíčové) pracovníky, kteří kolikrát ani nemohou mít dohled nad toky dat, informací a dokumentů ve firmě. Přitom je stejně jednoduché jako najít šablonu, najít odbornou firmu s kvalitní referencí, která vám poskytne odpovídající servis na míru potřebám vaší firmy. Jelikož se dané agendě věnuje odborně a průběžně, sleduje trendy a vzdělává se, bude její služba rychlejší a kvalitnější, než když si agendu budete řešit sami. Je to stejné jako s daňovým poradcem nebo advokátem – také si můžete daňové přiznání nebo smlouvu připravit sami. Stejně tak nesete sami případné škody, které si tím způsobíte. - Nepochopení smyslu a principů ochrany osobních údajů – tj. vědět CO zpracovávají (jaké osobní údaje), PROČ (pro jaký účel a na základě jakého právního titulu) a JAK (forma elektronická nebo papírová, který pracovník, v jakém systému, databázi atp.). Teprve potom je můžete odpovídajícím způsobem chránit.
Proto je při důležité pro správnou aplikaci ochrany osobních údajů identifikovat a analyzovat následující položky, které vám zodpoví CO, PROČ a JAK zpracováváte (co se osobních údajů týče):
I. skupiny fyzických osob, na které se musíte zaměřit: zákazníci, zaměstnanci, dodavatelé; pokud jsou zákazníci a/nebo dodavatelé právnické osoby, tak se zaměřujete na tzv. kontaktní osoby právnických osob;
II. rozsah osobních údajů, tedy jaké konkrétní údaje se k vybrané skupině subjektů (fyzických osob) schraňují (jméno, příjmení, adresa, telefon, e-mail, číslo účtu,…)
– jaký je účel zpracování údajů (např. osobní údaje zaměstnanců se zpracovávají pro potřeby vyúčtování mezd nebo osobní údaje zákazníků se zpracovávají pro správné a úplné poskytování služeb apod.) – jde tedy o fakticky o smysl a záměr, proč jsou údaje zpracovávány;
III. na základě jakého právního titulu jsou osobní údaje zpracovávány, tedy v jakém legislativním ustanovení je ukotven právní důvod pro zpracování; těch je v zásadě šest (pořadí platí):
- veřejný zájem – zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
- ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. zákonného zástupce nezletilé osoby),
- splnění právní povinnosti, která se na správce vztahuje (třeba zúčtování mezd zaměstnanců a souvisejících povinných odvodů) ,
- plnění smlouvy, jejíž smluvní stranou je subjekt údajů – fyzická osoba, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost zákazníka,
- oprávněný zájem příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody fyzické osoby vyžadující ochranu osobních údajů,
- souhlas se zpracováním osobních údajů, který fyzická osoba udělila pro jeden či více konkrétních účelů.
Pozn. Vždy je výhodnější hledat co nejsilnější právní důvod pro daný účel zpracování osobních údajů. Mimo jiné proto, že subjekt osobních údajů musí mít možnost souhlas odvolat stejně snadno, jako byl souhlas poskytnut. GDPR se tak odklání od souhlasu s poskytováním osobních údajů, není na místě souhlas, kde existuje jiný právní důvod(není vhodné mít tedy souhlasy„preventivně“).
IV. forma zpracování a umístění osobních údajů (systém, databáze, na kterém místě v kanceláři, jak zabezpečeno, kdo má k údajům přístup atp.).
Teprve potom lze odpovídajícím způsobem a dostatečně řešit, jak osobní údaje chránit a zabezpečit. Smysl agendy ochrany osobních údajů je totiž obecně jednoduchý a přitom velmi opomíjený – zachování dobrého jména tedy důvěryhodnosti firmy. Všechno ostatní jsou nadstavby – i potenciální kontrola ze strany Úřadu pro ochranu osobních údajů.
Vracím se tedy na počátek tohoto článku – dnešní rychlá technologická éra není o byrokracii ani výmyslech. Je to o nutnosti změny a přizpůsobení se dynamickému vývoji kolem nás. Technologie jdou kupředu mílovými kroky, zpracování dat dosahuje velkých rozsahů a bez toho, aby se firmy a podnikatelé přizpůsobovali, skončí stejně jako dnes už takřka zapomenutá jména Kodak, Nokia, MySpace a další.