Zdeněk Kučera nepatří k právníkům, kteří jsou příznivci nového evropského nařízení o ochraně osobních údajů (GDPR). Tvrdí, že pro společnosti je nařízení často čistý náklad, a představuje tak něco, co vnímají negativně.

HN: Proč je příprava na GDPR pro společnosti finančně nákladná?

Je to zčásti způsobeno historií. Ve chvíli, kdy jste na úpravu ochrany osobních údajů do současné chvíle zapomínali a nevěnovali jste jí pozornost, náklady pro vás budou vyšší. GDPR zároveň obecně není nic naprosto revolučního či průlomového, pokud se nevěnujete vybraným segmentům, například on-line marketingu.

HN: Zmínil jste historii. Co "hysterie" kolem nařízení?

Marketing GDPR, který byl primárně od začátku založen na obrovských pokutách, není správný. Pokud se podíváme na stávající praxi Úřadu pro ochranu osobních údajů, nikdy nedal maximální možnou pokutu, která je podle stávajících právních předpisů 10 milionů korun. Nemyslím si, že bude v případě GDPR postupovat jiným způsobem.

Zdeněk Kučera (34) Vede tým práva informačních a komunikačních technologií a soudních sporů a arbitráží v advokátní kanceláři Kinstellar. Pořádá konferenci Law Fit a vyučuje na několika vysokých školách.

HN: Takže se neobáváte likvidačních sankcí?

Aby mohl úřad uložit tak vysokou sankci, musí dojít k porušení celé řady pravidel. Nedovedu si představit, že je rozumná společnost, která k ochraně osobních údajů přistupuje s minimální dávkou opatrnosti, poruší. Muselo by jít o naprostou nespolupráci a rezignování na jakoukoliv firemní politiku týkající se ochrany dat.

HN: A jak je to s technologiemi? Je potřeba vyměnit staré programy a kupovat nové, jak se může občas z výstupů k GDPR zdát?

Tak to není. GDPR jenom rozvádí myšlenky, které byly ve stávající směrnici. Pro společnosti, které například doposud nastavovaly své firewally a dodržovaly základní bezpečnostní postupy, nebudou náklady enormní.

HN: Těch je většina?

Naopak. Víme ale i z naší praxe, že dokonce obrovské společnosti v oblasti finančnictví či telekomunikací základní bezpečnostní nástroje nevyužívaly správným způsobem.

HN: Máte příklad?

Každý rok se účastním on-line marketingové konference, kde kolegové představují bezpečnost webových stránek. Pravidelným účastníkem těchto testů je jedna finanční společnost. S železnou pravidelností se u ní zjistí, že je skutečně velmi jednoduché proniknout do jejího vnitřního systému a dostat se ke klientským datům. To jsou přesně případy, kdy budou náklady GDPR enormní.

HN: Co chyby menších podnikatelů?

Předně bych varoval před různými cloudy, například veřejnými, kde mají velmi často menší společnosti uložená data. Jedná se zejména o řešení, která jsou dostupná zdarma. Podmínky takových disků, sharepointů a cloudů umožňují velmi často zahraničním společnostem, které je provozují, s vašimi daty zacházet tak, jak chtějí. Je to naprosto běžné…

HN: Myslíte třeba Google Disk?

Obdobné, často zahraniční služby. Bavíme se ale obecně. V případě osobních údajů se musíme také podívat na to, jaké oprávnění k nakládání s osobními údaji udělujete poskytovateli takového úložiště.

HN: Jaká je základní technologická "výbava" v souvislosti s GDPR?

Firewally, které poskytují základní zabezpečení přístupu k vašim datům z vnějšku. Netýká se to jen různých serverů a počítačů, ale i dalších technologií připojených na internet. V dnešní době v sobě mají velmi často osobní údaje i chytré televize a další přístroje, které jsou "Internet of Things". A zde je hrozba napadení zvenčí, když nemají ani základní firewall.

HN: Co dál?

Záleží na společnosti. Jsou zabezpečení, která jsou jednoduchá a ostatně logická, jako je například automatické uzamykání session při ukončení práce s počítačem, rozdělení přístupu k datům, antiviry. Pak je třeba se podívat, zdali není vhodné část dat anonymizovat, respektive pseudonymizovat. Tam, kde není zapotřebí pracovat s osobními údaji, nacházíme řešení v jejich úpravě, aby z nich nebylo možné vyčíst identitu konkrétního člověka. Pracujete tedy s daty, jako by byla anonymní.

HN: V souvislosti s GDPR se často objevují názory, že vás ani kvalitní software v případě úniku dat neochrání před pokutou. Jak to je?

Když si koupím řešení, které mi říká, že je v souladu s GDPR, jako menší podnikatel si to nebudu schopen ověřit. Pokud z důvodu chyby takového softwaru dojde k úniku dat, pokutu by to automaticky znamenat nemělo. Za předpokladu, že jsem se zároveň na GDPR připravoval, dodržel jsem požadavky na notifikaci úřadu o úniku ve lhůtě 72 hodin a s úřadem jsem spolupracoval. K sankci je tak dlouhá cesta. Pokud bych ji přesto dostal, mohu se na prodejce softwaru obrátit s požadavkem na náhradu škody.

HN: Takže obavy nejsou na místě…

Pokud si společnost vybere software odpovídající její velikosti a povaze dat, se kterými pracuje, a riziku, které souvisí s jejich zpracováním, bude mít úřad velmi obtížnou úlohu odůvodnit udělení sankce.

HN: Jak se nařízení k zabezpečení vlastně staví?

Znění je poměrně kusé, jde o jeden základní článek, který staví na logice, že máte právě podle povahy zpracovávaných dat, stavu techniky společnosti a riziku zvolit odpovídající zabezpečení. Pak pracuje s nějakými dalšími formami ochrany. To je samo o sobě dostatečně nejasné a nikdy nemůžete disponovat stoprocentní dávkou jistoty, že je vaše řešení správná cesta.

HN: A to je problém?

Široké pole pro interpretaci je správné. Nemůžete v nařízení konkrétně postihnout každou společnost a doporučit jí specifické řešení. Namísto nejasnosti výkladu bych to spíš nazval jako prostor pro selský rozum.

