Oldřich Kužílek: Zavedení GDPR ve veřejné správě nemusí být drahé, dalo by se zvládnout i vlastními silami

Co znamená povinnost zavést GDPR pro veřejnou správu? Co všechno tomuto nařízení bude podléhat?

Pro veřejnou správu nenastává prakticky žádná nová obsahová povinnost. Vše již platilo a mělo se dodržovat snad již od roku 2000. Důvodem obav a křečovitě uspěchaných snah rázem vše vyřešit a napravit je to, že Obecné nařízení o ochraně osobních údajů (GDPR) výrazně posiluje důraz na odpovědnost správce.

V jakém smyslu?

Požaduje po něm, aby opravdu, ale tentokrát už opravdu a ne jen česky naoko, si udělal pořádek v různých osobních evidencích, databázích, postupně vrstvených systémech. Aby si opravdu vyjasnil, které údaje potřebuje a nežádal po občanech kopii občanky nebo rodné číslo kvůli situacím, kdy nejsou nutné. Aby ke každé agendě, v níž osobní údaje občanů zpracovává, si sepsal jakýsi stručný „techničák“ a přesně si uvědomil, zda s nimi nakládá oprávněně, na základě jakého zákonného podkladu, v pouze nutném rozsahu a zda si je ukládá zbytečně dlouho. Taky aby si tuto odpovědnost přestal zjednodušovat předkládáním hromady souhlasů ke všemu možnému. Nesmyslná praxe „odsouhlasovávání“ kdejakého legitimního a běžného postupu zaneřádila úřady tak, že teď budou muset vynaložit část úsilí, aby se falešných a bezdůvodných souhlasů zbavili. Aby dovedli toto korektní a férové nakládání s údaji zvládat a taky správně komunikovat a informovat lidi, jejichž údaje používají, ukládá jim Obecné nařízení ve většině případů pořídit si na to specialistu – pověřence. Toho ale mohou také sdílet, třeba několik obcí a úřadů společně.

^REKLAMA

Obecnému nařízení tedy podléhají všichni?

Ano, obecnému nařízení, úplně stejně jako dosud zákonu o ochraně osobních údajů, podléhají všichni, kdo nějak systematičtěji sbírají a dále nakládají s osobními údaji jednotlivců, třeba i jen pro svou mzdovou agendu. Tedy ve veřejné správě všechny subjekty,  včetně příspěvkovek, obecních a státních firem, stejně tak jako v soukromém sektoru.

Co všechno pro splnění této povinnosti musí nebo budou muset udělat jednotlivé úřady?

Prvním krokem je udělat si jasno. Říká se tomu analýza souladu (míněno souladu s požadavky Obecného nařízení), rozdílová analýza, GAP analýza nebo analýza rizik. Nebo třeba zmapování agend s osobními údaji. Tím se zjistí, co máme špatně. Prostě si ty agendy sepíšu a pak si odpovím na sadu otázek, například jak dlouho údaje uchovávám a jestli oprávněně.

^REKLAMA

Co bude následovat poté?

Pak se navrhnou k jednotlivým závadám různá řešení. Jednou to znamená data vymazat, jindy zrušit souhlasy a vyjasnit, že je zpracováváme na základě zákonného zmocnění, takže za souhlas nemáme co chtít. V jiném případě zase předělat formulář různých podání a přihlášek s nadbytečnými údaji, anebo třeba lépe zamykat skříň se mzdovou evidencí a lépe chránit personální databázi v počítači nebo na „flešce“, kterou si referentka nosí domů, aby to přes víkend dodělala. Nutné taky bude zpřesnit vnitřní předpisy a smlouvy s externími firmami, které nám agendu zpracovávají. A taky musíme začít jasněji a přesněji informovat veřejnost, zčásti i na webu, cože to s těmi jejich údaji vlastně provádíme a proč? Opakuji – to vše už platilo skoro dvacet let, pouze jsme to hromadně nedodržovali. Stanovíme si taky priority, kde začít a co zatím nespěchá. A pak je třeba tato řešení zavést do praxe. Pověřenec, jakýsi povinný kritik, kibic a kontrolor toho, jak s osobními údaji nakládáme, nám v tom bude pomáhat, navrhovat řešení, ale musí zůstat nezávislý. Jinak by to zas skončilo tím tradičním „jistě pane řediteli, nějak to zaonačíme“.

Jak to bude náročné finančně a odborně pro jednotlivé úředníky?

Ve skutečnosti zavedení Obecného nařízení nemusí být ve veřejné správě drahé. Dalo by se zvládat i vlastními silami, spíše se vzdělávací a metodickou pomocí zvenku. Bohužel ale tím, že to všichni odkládali a hlavně desetiletí neplnili již existující povinnosti, tím, že nyní chtějí co nejrychlejší řešení, pokud možno tzv. „na klíč“ a navíc ještě si za veřejné peníze koupit nezodpovědnost (máme glejt od advokátní kanceláře!), šplhají se ceny do závratně nesmyslných výšek.  Setkal jsem se – byť v soukromém sektoru – s případem, kdy za zavedení v hodnotě odhadem nejvýš do sta tisíc korun podnikatel s nadšením vyplázne advokátní kanceláři, která se tuto problematiku naučila zázračně přes noc, čtyři miliony.

^REKLAMA

A jak to je s náročností po odborné stránce?

Odborná náročnost také není až tak dramatická. Je to jako s každou agendou, kterou potřebujete zvládnout více než jen povrchně. Zprvu koukáte jako z jara, ale po pár týdnech si to začne sedat, začnete chápat vnitřní souvislosti, přečtete si pár odborných statí a metodických materiálů Úřadu pro ochranu osobních údajů, a ledacos zvládnete stejně jako správní řízení nebo jinou agendu. Kdo dodržoval dosavadní zákon „101“, měl by mít naprostou většinu v pořádku. Klíčovou roli hrají dobrá školení, jejichž skrytým cílem není systém dvou V: vyděs a vyfakturuj. Takové vám moc konkrétního neřeknou, namísto praktických postupů zdůrazňují hrozící finanční sankce.

Co se stane, když se jednotlivé úřady nestihnou včas připravit?

Vystaví se nějakým rizikům. S ohledem na kapacity ÚOOÚ (Úřadu na ochranu osobních údajů) samozřejmě nikdo nepředpokládá hned po květnu 2018 nějaké kobercové nálety kontrolorů. Na druhé straně není těžké tato rizika účinně snižovat a je potřeba se do toho hned pustit. Začít tak, abychom do května měli alespoň nejkřiklavější vady opravené. Z venku bude nejviditelnější, zda na webu poskytujeme informace o tom, jaké všechny agendy s osobními údaji používáme, a pár informací o nich. I tato povinnost není novinkou a mnoho úřadů ji už roky plní. Nepředpokládám tedy, že by úřady začaly hromadně dostávat pokuty. Může se také stát, že se ozvou někteří lidé, jejichž údaje máte a používáte, s nějakým požadavkem. Třeba jen na informaci, jaké jejich údaje máte, anebo abyste je vymazali. Stejně jako dosud, budou úřady povinny jim odpovědět a takovou žádost vyřídit. S ohledem na medializaci se takhle může zprvu ozvat více lidí, než dosud, kdy o tomto svém právu ani nevěděli.