Právo, 30. 10. 2017

Odborníci: zašifrovat data budou muset i živnostníci

Ve firmách, úřadech, zdravotnických zařízeních, ve školách začíná shon kolem počítačových sítí a v nich uložených osobních dat klientů, občanů, pacientů. Od května příštího roku totiž začíná platit unijní nařízení GDPR (General Data Protection Regulation). To pod hrozbou obřích pokut revolučně zpřísňuje způsoby, jak pracovat a chránit data lidí. Nevztahuje se ale jen na velké organizace.

I když se to nikde výslovně nepíše, respektovaní odborníci z počítačových a poradenských firem oslovení Právem se shodují, že by zabezpečit data měli také živnostníci, i ti nejmenší. Všechny údaje o svých odběratelích, dodavatelích, včetně faktur, by měli mít uložené na zašifrovaných discích nebo na vzdálených zabezpečených úložištích (cloudech) a externí pevné disky by měly být v zamčených místnostech. Faktury, objednávky, účty druhých se nikde nesmějí válet v kancelářích na stolech či být jen tak v šanonech na chodbě.
“S určitými výjimkami se GDPR týká každého, kdo zpracovává osobní údaje. Není přitom rozhodující, zda je to firma, jednotlivec, živnostník,” vysvětluje Jaroslav Jurníček ze společnosti MCS Consulting.

Chybí návod k použití

Zavést nové bezpečnostní procesy podle něho musí například i samostatní účetní, lékaři, advokáti, marketingové a průzkumné agentury, reklamní pracovníci na volné noze, grafi ci, v podstatě každý, kdo fakturuje. Jenže chybí přehledné noty, jakýsi návod k použití obšírného nařízení, a ze složitosti se začíná dělat kšeft. Za velké peníze o tom začíná mluvit kdekdo a laik pak těžko rozlišuje, co brát vážně a od koho si nechat rozumně poradit.
“Chybějí interpretace nařízení GDPR. Nedostatečné povědomí o něm mají také zaměstnanci,” uvedla na nedávném Fóru věřitelů v Praze specialistka poradenské společnosti PWC Zuzana Dubská, která byla právničkou na Úřadě pro ochranu osobních údajů.
Připomněla, že v řadě soukromých a státních organizací vznikne povinnost jmenovat pověřence pro ochranu osobních údajů.
(Pokračování na str. 5)

Odborníci: zašifrovat data budou…
(Pokračování ze str. 1)
Zdůraznila, že GDPR zavádí úplně nová práva klientů firem a jejich zaměstnanců, například právo na přenositelnost údajů, právo na výmaz dat.

Právo být zapomenut

“Jde například o implementaci práva být zapomenut,” zmínil na věřitelském fóru Miroslav Vysušil z poradenské společnosti EY. Jenže kdy, co, jak z databáze vymazat? Na to už není snadná odpověď.
Týká se to typicky například registrů dlužníků, kde jsou někteří lidé vedeni i přesto, že své dluhy již uhradili, ale v registru jsou zapsáni pořád, jen s tím, že výše jejich závazku je v databázi vyčíslena na 0 Kč, a pak jim třeba operátor nechce prodat službu nebo zařízení, protože mají v registru negativní záznam, byť s nulou. To by se s GDPR již nemělo dít.
Firmy malé i velké, rovněž úřady a veřejné instituce budou mít také povinnost Úřadu pro ochranu osobních údajů do 72 hodin od zjištění hlásit narušení datové bezpečnosti. Dnes většina subjektů potíže s úniky dat spíše tají, aby nepřišly o reputaci. Podle Vysušila v Nizozemí už od ledna loňského roku platí povinnost úniky dat hlásit. V roce 2016 bylo oznámeno 5500 incidentů, přičemž za letošní první kvartál to bylo již 2300.
Čtvrtina se odehrála ve zdravotnictví a v sociálních službách, pětina ve finančním sektoru a dvacet procent ve veřejné správě.
Kolem 60 procent se týkalo méně než deseti osob.

Obezlička rádců

O nařízení se toho málo ví, a tak kdekdo se začíná na vizitkách a v prezentacích označovat za “certifikovaného poradce GDPR”.
Jenže to je jen marketingová obezlička hrající na pocity vyděšených firem s cílem vytáhnout z nich odměny za rádcovství. Ve skutečnosti žádné oficiální národní soukromé certifikační autority ke GDPR neexistují.
Je ale fakt, že aplikaci nařízení se seriózně věnuje řada počítačových a poradenských firem hledajících výklady a normální postupy, jak se ve firmách a organizacích “bez ztráty kytičky” s GDPR vypořádat.

Nástroj k zaklekávání

Jak to totiž u plošných direktiv bývá, očekává se, že GDPR bude i nástrojem pro udávání, vydírání a zakleknutí nepohodlné konkurence.
Pokuta od Úřadu pro ochranu osobních údajů může podle GDPR činit astronomických dvacet tisíc eur nebo čtyři procenta z obratu.
U korporace počítáno z jejího globálního byznysu, tedy včetně dceřiných firem.
Společností jsou desítky tisíc, kontrolorů z Úřadu pro ochranu osobních údajů hrstka, takže budou prověřovat došlé tipy. Anebo rozjedou detailní pátrání, pokud z firmy ve velkém nějaká citlivá data opravdu uniknou, třeba díky zhrzenému zaměstnanci, který nechá někde v hospodě nebo v hodinovém hotelu válet nezašifrovaný notebook, jak se třeba v minulosti už stalo i příslušníkovi jisté státní bezpečnostní složky.