Close

23. 06. 2019

Rozhovor s Petrem Rektorysem: GDPR – otravná věc nebo příležitost?

Vážení přátelé nákupu,
tímto vás chceme přivítat u dalšího dílu seriálu rozhovorů s osobnostmi v oblasti nákupu a logistiky. Našim partnerem pro tento rozhovor je Petr Rektorys, certifikovaný pověřenec pro zpracování osobních údajů a zkušený implementátor GDPR v ČR i ve světě, autor metodiky nasazení GDPR ve středních a velkých podnicích.

Petře, většinu své dosavadní kariéry jsi se věnoval projektům nasazení systémů řízení podniků ERP (Enterprise Resource Planning) a to s důrazem na podnikové datové zdroje (databáze), tedy to, kvůli čemu se ERP systémy používají. Nyní se věnuješ implementaci nařízení GDPR, které mnozí považují za otravnou záležitost, případně používají jiné krásné české slovo s expresivním zabarvením (bu….ce). Co Tě k tomu vedlo?

Děkuji za zdůraznění faktu, že data (databáze) je to hlavní, proč podniky implementují a používají aplikační systémy (software) pro řízení podniku. Samotný software by byl podniku k ničemu. Software pracuje s daty. Zajímavé je i to, že při generační výměně software typu ERP se data (i historická) zachovávají a obvykle se vyvine velké úsilí, aby tomu tak bylo a stávající data bylo možno použít i v budoucnosti.

Data podniku jsou velmi cenná – pochopitelně jen tehdy, pokud jsou správná, což není zdaleka tak samozřejmé, jak se může zdát. Dosažení správnosti dat se věnují mnohé projekty, obvykle po fúzi či akvizici dvou či více podniků a jen málokdy se dosáhne ideálního stavu (nejen z pohledu podnikových dat, ale i byznys procesů).

Jak to ale souvisí s GDPR?

Podniková data jsou dnes stále častěji zájmem a předmětem zcizení různými nepřátelskými subjekty – buď hackery (mimořádně schopnými specialisty ICT), kteří znají slabiny moderního software i hardware, dokáží jich využít a nepozorovaně proniknout do podnikové počítačové sítě a data zcizit, obvykle za účelem prodeje. Data mohou být zcizena také z konkurenčních důvodů – např. duševní vlastnictví (Intelectual Property, IP), tj. patenty nebo návrhy, nebo obchodní plány či stav ekonomiky podniku (pro převzetí konkurence za menší částku).

Samostatnou kategorií těchto dat jsou osobní údaje (OÚ). Mohou to být jak údaje k platebním kartám (login a heslo nebo číslo karty a PIN), které jsou pro hackera zdrojem „rychlých peněz“, nebo to mohou být citlivé osobní údaje (zdravotní nebo i intimní – na sociálních sítích), použitelné pro reputační útok na podnik (snížení důvěryhodnosti v očích zákazníků) nebo na klíčové osoby (vydírání nebo zneuctění). A tím se dostáváme zpět k GDPR. Toto nařízení vzniklo pro ochranu OÚ jednotlivců. Primárně vzniklo GDPR pro poskytnutí nástrojů vymahatelnosti práv jednotlivců (Datových Subjektů) na těch, kteří OÚ těchto jednotlivců mají ve svých databázích a tam je různým způsobem a za různým účelem zpracovávají (tj. podniky, ne jiní jednotlivci s osobními údaji jiných jednotlivců). Sekundárně vzniklo GDPR pro konkretizaci povinností subjektů, zpracovávajících OÚ (správci a jimi najatí zpracovatelé).

Takže jednotlivci by měli GDPR přivítat?

Ano, jednoznačně.

Proč tedy jednotlivci (tj. občané, turisté, podnikatelé, apod.) GDPR netleskají a nevítají příchod takového nástroje pro posílení jejich osobních práv?

Potíž je v tom, že uvědomit si, jaké OÚ vlastně jako jednotlivec chci nebo nechci poskytnout (z jakýchkoliv důvodů) není jednoduché. Také pochopit svá práva a správně je vymáhat není zcela jednoduché. Ne proto, že by to GDPR nevysvětlilo dostatečně, ale protože to není jednoduché obecně. Pro uplatňování svých práv si obvykle najímáme právníky, ale pro ochranu svých práv v souvislosti s ochranou osobních údajů to dělá opravdu málokdo – jedná se obvykle o případy známých osobností – mediální hvězdy, politici, apod.

Takže ti, pro které GDPR vzniklo, zatím s GDPR neumějí příliš pracovat, ale nejvíce jsou z GDPR nešťastné podniky, na které dopadá. Proč to tak je?

Můžeme rozlišit 3 skupiny podniků, které zpracovávají osobní údaje (sem patří i provozovatelé sociálních sítí nebo státní instituce včetně zdravotnictví):

  1. Jsou podniky, které se při zpracování osobních údajů chovají zodpovědně a rozumně a respektují práva jednotlivců (DS) vůči jejich osobním údajům. Ti nebudou mít s GDPR téměř žádné problémy – něco doplní (podle požadavků GDPR) a mají hotovo.
  2. Potom jsou podniky, které se nechovají k osobním údajům jednotlivců příliš zodpovědně, třeba jen tím, že je dostatečně nechrání. Takové OÚ tedy mohou snadno uniknout do nesprávných rukou (jsou snadno zneužitelná díky nezodpovědnosti podniku).
  3. Poslední skupina jsou podniky, které osobní údaje jednotlivců chápou jako svůj majetek či nástroj obchodu, obchodují s nimi (obvykle skrytě) a naprosto nerespektují práva jednotlivců na ochranu soukromí. V nejhorším případě potom tyto podniky tato data využívají (zneužívají) pro ovlivňování různých skupin jednotlivců a to pro svůj prospěch nebo na objednávku.

Je zjevné, že pokuty za nesprávné zpracovávání OÚ stoupají směrem k posledně uvedené skupině podniků. Pokuta pro podnik může být zdrcující – explicitně až půl miliardy CZK (20M EUR), ale může to být i víc: pokud podnik je členem skupiny podniků (i mimo EU), a potom pro něj může být pokuta stanovena jako až 4% z částky celosvětového obratu skupiny (lépe ani nepočítat). Zatím se pokuty objevují jen zřídka, ale to je jen začátek.

Pro které podniky vlastně GDPR platí? Mohou si podniky mimo EU oddychnout?

Ne. Bohužel nebo možná bohudík – podle toho, zda se chápete jako jednotlivec s právy nebo jako podnik s povinnostmi plynoucími z GDPR. Je velmi obtížné GDPR uniknout. EU koncipovala GDPR jako nařízení EU, ale ve skutečnosti pokrývá skoro celý svět – chápáno z pohledy ochrany OÚ jednotlivců na celém světě. Zjednodušeně řečeno: GDPR se lze vyhnout jen tehdy, pokud jste podnik, který nikdy nepracovával OÚ osob (jednotlivců), které jsou zpracovávány podle GDPR kdekoliv na světě, nebo který nikdy nevyužije služby zpracování OÚ podnikem, který je povinen OÚ zpracovávat podle GDPR, nebo takové služby nikdy neposkytne žádnému subjektu povinnému podle GDPR, přičemž tato „nikdy“ platí jak pro minulost, tak i pro budoucnost. Znáte takový podnik? Telefonní operátor, hotelový řetězec nebo banka v USA, který poskytuje své služby jen v Latinské Americe a v Jižní Americe a nikoliv v Evropě? Chyba lávky – to by nikdy nesměl své služby poskytnout turistovi nebo podnikateli z EU nebo občanovi mimo zemi EU, který je v EU zaměstnán. V dnešním propojeném světě prakticky neexistuje podnik, který by nějak nebyl GDPR dotčen. Pak pro něj platí pokuty jako pro ostatní.

Jaký vývoj na trhu v následujících 2-3 letech očekáváš?

Podniky se povětšinou pokusily do 25.5.2018 (začátek platnosti GDPR po 2-letém období na implementaci GDPR) začít zpracovávat OÚ podle GDPR. Úmyslně říkám „pokusily“, protože to není jednoduché, ale při troše snahy to možné je a ani náklady nemusí být astronomické. Problém je v tom, že jen zcela výjimečně si je podnik vědom (eviduje), jaké OÚ vlastně zpracovává a jak je chrání proti úniku, zneužití nebo ztrátě. Podle GDPR má podnik evidovat jak konkrétní osobní OÚ (vědět, které OÚ zpracovává, jak a kde). Zde platí „presumpce viny“ – podnik musí prokázat, že OÚ zpracovává podle GDPR, a ne naopak. Proto lze očekávat v blízké i vzdálené budoucnosti pokuty častější a větší. Bude se čekat na „velkou rybu“. Současné diskuze o rozdělení Facebooku na několik menších subjektů je možná důsledek GDPR – aféry se zneužitím OÚ uživatelů Facebooku jsou veřejně známé z médií.

V titulku tohoto příspěvku je zmíněna „příležitost“? Já ji tam pořád nevidím.

Příležitost tam je – podnik může být donucen si nejen udělat pořádek v evidenci zpracovávaných OÚ, ale také i v datech ostatních (ne-OÚ). Divil byste se, jak i velké a úctyhodné podniky mohou mít, jemně řečeno, nejasnosti v tom, které údaje (data, OÚ) zpracovávají a kde je mají uložené. Také ochrana takto uložených a zpracovávaných dat může VELMI pokulhávat. Toto může být příležitost pro podnik – sice z donucení, ale přeci jen příležitost.

Čemu ty se vlastně v souvislosti s GDPR věnuješ?

Věnuji se kvalitě a způsobům zpracování podnikových dat již přes 30 roků. Jsem data-centrický člověk, na rozdíl od softwarově-centrických odborníků. Pro mě jsou podniková data absolutní zákon – je jedno, jakým softwarem se do těchto dat dívám nebo jakým software je zpracovávám. Podniková data by měla být správná a chráněná.

Tomuto tématu se věnuji na několika vrstvách pohledu vedení podniku: od úrovně strategie dosažení správnosti a ochrany dat (pohled vrcholového vedení) přes metody dosažení správnosti a ochrany dat (pohled šéfa ICT / CIO, podnikového architekta dat / Chief Data Officer) až po řízení procesu dosažení správnosti a ochrany dat (pohled řízení podnikových programů a projektů ICT).

Současně při této činnosti propojuji 2 světy, které si obvykle moc nerozumí – právnický svět (GDPR je právní dokument) spolu s obchodním světem na jedné straně a počítačový svět (požadavky je nutno překlopit do technologií) na druhé straně. Troufám si tvrdit, že právě toto zvládám dobře. GDPR je vhodné v podniku chápat jako „business requirement“ a tak s ním pracovat.

Který svůj projekt implementace GDPR považuješ za nejsložitější?

Nejsložitější můj projekt dosažení souladu podniku při zpracování OÚ s GDPR (GDPR compliance) byl pro farmaceutickou firmu s centrálou v Londýně, jejíž skupina 26 podniků (dceřiné nebo sesterské společnosti) měly sídlo v 17 státech a to jak v EU, tak i mimo EU. Potíž byla v tom, že požadavky (zákony a nařízení) farmaceutického průmyslu jsou v přímém rozporu s nařízením GDPR (detaily mohu zájemcům sdělit) a tak jsem musel navrhnout a implementovat metodiku zpracovávání OÚ, které vyhovují jak požadavkům GDPR, tak i farmaceutickým nařízením. Je to jemná hra povinností a práv, které musí být ve smlouvách a která musí ve zpracování OÚ v databázích fungovat.

Co musí podnik udělat, aby byl v souladu s GDPR?

Toto je klíčová otázka pro každý podnik, který stojí na začátku implementace GDPR do svých obchodních procesů. To neznamená, že nemá smysl si tuto otázku položit v průběhu implementace nebo jako součást vyhodnocení kvality nasazení GDPR (to je běžné v rámci metodik řízení projektu, jako například PRINCE2® ).

Základní odpověď na tuto otázku je jednoduchá (nikoliv realizace těchto kroků):

  • zjistit, jaké osobní údaje zpracovávám, kde je mám uložené a jak je chráním – ideální je udělat si analýzu struktury osobních údajů, protože tím se implementace GDPR podstatně zjednoduší (to už jsme na úrovni ICT technologií). Toto je úkol pro ICT odbor. Zde je právě příležitost si udělat inventuru všech dat, nejen OÚ. Toto platí i pro OÚ na papíře, pokud je podnik zpracovává. Pořád ještě nejsme 100% bezpapírový svět.
  • dále je podnik povinen ke každému způsobu zpracování osobních údajů stanovit účel, k jakému podnik tato OÚ  zpracovává (libovolně podle podnikatelského záměru) a na jakém právním základu je zpracovává (právních základů je podle GDPR sedm a musí být stanoven jeden z nich). Může se totiž stát, že nenajdu právní základ zpracovávání některých osobních údajů – například proč by měl instalatér znát zdravotní stav svých zákazníků? Toto je úkol pro právní odbor spolu s obchodními odbory podniku.
  • podle daného právního základu musí podnik zjistit, zda musí (či nikoliv) udělat opatření k tomu, aby zpracování OÚ bylo zákonné (získat souhlas). Toto je úkol pro právní odbor.
  • následně musí podnik ověřit, zda zpracovávané OÚ chrání dostatečně podle stupně rizika, které jejich únik nebo ztráta znamenají pro datový subjekt (jednotlivce), které osobní údaje přísluší. Toto je úkol pro ICT odbor.
  • další krok nutný prakticky v každém podniku je aktualizovat smlouvy s klienty a s dodavateli. Do smluv je nutno doplnit ustanovení odlišná pro klienty a pro dodavatele.
  • poslední a obvykle nejsložitější úkol je být připraven reagovat na zákonné požadavky kteréhokoliv datového subjektu (jednotlivce) na provedení jejich práv podle GDPR (je jich 10). Dokonce musí podnik reagovat i na požadavek jednotlivce, jehož OÚ nezpracovává – musí odpovědět v tomto smyslu.

Z pohledu procurementu mě zaujal předposlední bod – aktualizace smluv. Jaké kroky jsou zde nutné?

Zde je potřeba popsat základní strukturu zpracování OÚ a na ně vázané povinnosti. JAKÉKOLIV zpracování OÚ se děje na základě potřeby správce OÚ (the controller). Ten může zpracovávat OÚ sám, bez potřeby jiného subjektu. Pokud přizve správce jiný subjekt ke zpracování i jen části OÚ, potom je tento subjekt zpracovatelem tohoto správce (the processor). Tento zpracovatel si může přizvat svého zpracovatele (další úroveň zpracovatele).

Podstatné je, že každý z podniků (správce nebo zpracovatel), který si přizval svého zpracovatele (což na každé úrovni podléhá schválení správcem), za tohoto svého zpracovatele ZODPOVÍDÁ a to v plném rozsahu. Správce ovšem musí svému zpracovateli prokazatelně oznámit, jaké jsou podmínky zpracování OÚ, které po něm smluvně požaduje. Tyto skutečnosti je nutné vložit do aktualizovaných smluv a to formou, jaká se správci zdá nejvhodnější, aby to odpovídalo požadavkům GDPR. Jedna z „třešniček na dortu“ je například skutečnost, že správce je povinen oznámit příslušného dozorovému úřadu únik OÚ (data breach) a to NEJPOZDĚJI do 72 hodin od zjištění takového úniku na kterékoliv úrovni zpracování OÚ. Lhůta 72 hodin platí i mimo pracovní dny a celkem pro všechny vrstvy zpracovatelů.

Podnik, který je zpracovatelem, musí evidovat pokyny od svého správce, jak OÚ zpracovávat. Pokud takové pokyny nedostane, tak musí evidovat, že o ně žádal a nedostal je, jinak se má za to, že si je zpracovatel svých povinností vědom.

Toto vše je nutno do smluv doplnit a následně postupovat tak, aby soulad s GDPR byl vytvořen a trvale zachován (audity, apod.).

Pokud má podnik zpracovatele, kteří dodávají bez smlouvy (objednávka, aj.), pak musí správce zajistit stanovení pravidel, která musí takový dodavatel při zpracování OÚ splnit, a evidovat SOUHLAS zpracovatele s těmito pravidly, a to před zahájením zpracování OÚ. Tak lze snadno řídit i drobné zpracovatele.

Je něco, na co jsem se nezeptal a rád bys ještě doplnil?

Zde jsem popsal základní kroky k souladu s GDPR. Je řada menších, ale také významných kroků – například jmenování osoby s rolí Pověřenec pro ochranu osobních údajů (anglická zkratka je DPO), pokud charakter zpracování OÚ podnikem odpovídá této povinnosti. Kontakt na DPO musí být snadno dostupný jakémukoliv jednotlivci (ideálně na webu podniku).

Snad poslední poznámku – za soulad podniku s GDPR při zpracování osobních údajů je zodpovědný statutární zástupce (jednatel, člen představenstva, aj.) a nikdo jiný v podniku – ani DPO, jakkoli je pozice DPO velmi významná. Pozice DPO je poradní a požadující (doporučující a nárokující), nikoliv dodávající v pohledu kroků nutných k souladu s GDPR. DPO může být realizován vybraným zaměstnancem (i pro více správců – dceřiných firem) nebo jako služba od externího subjektu (poskytovatele služby), ale nesmí být sankcionován ani propuštěn v souvislosti s plněním svých úkolů podle GDPR.

Za Asociaci Procurementu: Pavel Uksa