Kvůli novým evropským pravidlům pro ochranu osobních údajů je mnoho firem, obcí i zájmových sdružení na pochybách, jak správně zajistit citlivá data uložená v archivech. Vzniká zmatek a někteří správci dat zbytečně utrácí vysoké částky za opatření, která ve skutečnosti nepotřebují.

Pod tlakem strachu z dozorových úřadů a vysokých pokut ovlivňuje podniky řada mýtů. Někdy se chybně domnívají, že do května, kdy začnou být pravidla nazývaná GDPR účinná, musí smazat všechny osobní údaje svých klientů nebo že jim podléhá i pouhé obdržení vizitky. Jasno nemá ani veřejná sféra. "Setkala jsem se například s tím, že dopravní podnik v jednom středně velkém městě chtěl platit desetitisíce korun měsíčně za pověřence pro ochranu osobních údajů, přitom takovou službu vůbec nepotřebují," popisuje Miroslava Matoušová, expertka z Úřadu pro ochranu osobních údajů. Zkušenosti expertů z právní a poradenské praxe navíc ukazují, že firmy, spotřebitelé i veřejné organizace mají stále problém vyhodnotit, jestli se jich nařízení vůbec týká.

Pozor na zbytečné náklady

Praktické zkušenosti i aktuální problémy ochrany dat byly tématem konference Osobní údaje 2018, kterou minulý týden v Praze spolupořádaly Hospodářské noviny a měsíčník Právní rádce. Klíčovým tématem přitom byly očekávané náklady v souvislosti se změnami. U velkých firem se investice totiž mohou vyšplhat až na 100 milionů korun. Menší a střední podniky, města nebo nemocnice by měly počítat, že za vstupní posouzení zaplatí od sto tisíc do půl milionu korun. Kolik peněz následně vloží do jednotlivých řešení, je individuální. "Pokud jste na začátku, nemá smysl hledat všechny nesoulady s nařízením a snažit se je vyřešit. Snažte se ucpat díry, ať to není zvenku vidět," radí Martin Hladík z poradenské společnosti KPMG. Podle něj je nejlepší stanovit priority a řešit problémy postupně, navzdory tomu, že se to do května nestihne.

Seriál HN k ochraně dat GDPR

◼ 21. 3. – Procesy GDPR
◼ 28. 3. – Co čekat od Úřadu pro ochranu osobních údajů?
◼ 4. 4. – Mýty o GDPR

S tím souhlasí i Michal Nulíček z advokátní kanceláře Rowan Legal. "Svět se po květnovém dni D nezhroutí a všechno poběží dál. Zpracovatelé dat je budou dál zpracovávat a nikdo nebude úplně v souladu s nařízením," říká Nulíček.

Smazat, co není potřeba

Těm, kdo jsou nyní na začátku zavádění nových opatření, odborníci radí začít u zaměstnanců. Nadřízení by je měli poučit, jakou cenu mají informace, s nimiž pracují, a stanovit přesné postupy pro konkrétní si­tuace. Všem ve společnosti by mělo být například jasné, co dělat, když klient pošle žádost o výmaz osobních údajů nebo když hackeři zaútočí na datové úložiště.

Podle Nulíčka lze ve vztahu k novým pravidlům ochrany osobních údajů zaměstnance vnímat třemi způsoby. "Za prvé jim patří některá data, která zpracováváme. Zaměstnanci jsou také nástroj, s jehož pomocí budeme pravidla plnit. Za třetí jsou zdrojem rizika. Mohou ztratit firemní notebook plný citlivých informací nebo kvůli slabým heslům způsobit bezpečnostní incident," uvádí Nulíček. Mít správně proškolené zaměstnance navíc může znamenat velké úspory. Jsou ale i další způsoby, jak ušetřit. Nejvíce peněz směřuje do nákupu nových informačních technologií a softwarů.

"Zavádět kvůli GDPR nový technologický systém, pokud ho ve firmě historicky nemáte, je nesmysl. To se nevyplatí. Snažte se v první řadě vymazat všechny informace, které nepotřebujete," doporučuje Zdeněk Kaplan, ředitel O2 IT Services. Jako příklad uvádí životopisy potenciálních uchazečů o zaměstnání, které firmy shromažďují, aby je v budoucnu oslovily s nabídkou práce. Takové střádání informací bude nově podléhat souhlasu se zpracováním osobních údajů.

Problém mohou dělat také historické dokumenty uložené v papírových archivech. Často se jedná o informace, které řadu let nikdo neprocházel. Dávno mohla uplynout zákonná lhůta, po kterou je nutné data uchovávat. "Archivy musíte jednou za čas aktualizovat. Nastavte si pravidla. Když dokument přijde, označte ho tak, abyste poznali, kdy přesně ho máte vymazat," radí Hladík z KPMG.

Nové evropské nařízení o ochraně osobních údajů pak podle expertů pro ty, kteří splňují požadavky stanovené již platnou legislativou, neznamená revoluci. V České republice jde o pravidla daná zejména zákonem o ochraně osobních údajů a zákonem o kybernetické bezpečnosti. Velké změny nečekají ani organizace shromažďující informace kvůli zákonným povinnostem, jako jsou například daňové odvody.