Od 25. května začnou v zemích EU platit přísnější pravidla pro ochranu osobních údajů (GDPR). Česko se na jejich příchod nezvládlo plně připravit a v zemi vypukla panika. Podle viceprezidentky Svazu průmyslu a dopravy ČR Mileny Jabůrkové, která se dlouhodobě věnuje jednotnému digitálnímu trhu, e-governmentu a volnému toku dat a jejich ochraně, jde o zbytečný poplach. „Pokud podniky prokáží, že na přípravě poctivě pracují, tak se najde cesta. Nebude to určitě tak, že kontrolní úřady budou chodit a cíleně hledat ty, co to neplní. Na druhou stranu lze počítat s tím, že se budou zaměřovat na velké hráče, kde zneužití osobních údajů může být nebezpečné,“ říká v rozhovoru pro INFO.CZ. Proč panika v Česku vůbec vznikla? Jak jsou na tom jinde v Evropě? Co může tlak na větší ochranu osobních údajů způsobit konkrétním průmyslovým odvětvím v EU? A jak ovlivní obchod se třetími zeměmi? Čtěte rozhovor.
Česká eurokomisařka Věra Jourová, která byla u přípravy nařízení o ochraně osobních údajů (GDPR), na nedávné konferenci věnované dopadům digitální revoluce na Česko přiznala, že se jí nepodařilo najít náhradu k této zkratce, která by zněla „více česky“. Používáte pro toto nařízení nějaký pracovní název, který by jeho podstatu přesně vystihl, a nemusela se používat ona zkratka?
Ne. Mohli bychom používat třeba zkratku v češtině, která by zněla NOOÚ (nařízení o ochraně osobních údajů), ale myslím, že bychom si tím také příliš nepomohli. Navíc na zkratku GDPR už jsme si za tu dobu, co se účastníme jednání o nařízení, zvykli.
Paní komisařka v žertu dodala, že je ve skutečnosti ráda, že se v Česku nic neuchytlo, protože by to pravděpodobně nebylo pozitivní. Setkáváte se také s negativními postoji k GDPR?
Ano, setkávám. Z velké části za to může neznalost nebo panika, která kolem nařízení vznikla. Dovedu si představit lépe napsané nařízení, které by nebylo tak byrokratické a třeba i méně technologicky náročné, nicméně v dnešní době byla změna ochrany soukromí naprosto nutná. O tom se nevede žádná debata, protože nikdo nepochybuje o tom, že v digitální době potřebujeme moderní ochranu osobních dat. Problém je ale v tom, že se tato debata zpolitizovala.
Proč v Česku kolem nařízení GDPR vznikla taková panika?
To je jednoduché. Nezvládli jsme se na to poctivě připravit. Nařízení začne platit už za pár měsíců a spoustu podniků a lidí se teprve nyní dozvídá, co všechno bude muset udělat. Bohužel asi 80 % z toho jsou poplašné zprávy a naprosté nesmysly.
Kdo za to může?
Problém není na straně EU, ale na straně předchozí české vlády. Už v roce 2016, kdy bylo nařízení GDPR přijato, jsme jako svaz říkali, že se musíme začít včas připravovat. To znamená provést analýzu administrativní zátěže, pracovat na dotačních programech a udělat širokou kampaň podobnou třeba té, která probíhala u EET. To se bohužel neudělalo a navíc to nyní dává prostor bludům a spekulacím.
Česko pravděpodobně nebude v EU jedinou zemí, která měla problém se včas připravit...
Ne, to určitě ne. Většina zemí s tím bojuje. Připraveno je ale třeba Německo. Tam to však bylo mnohem snadnější, protože přísná ochrana osobních údajů tady platila i před zavedením GDPR. Nešlo tedy o takovou skokovou změnu jako třeba u nás.
Co se stane, pokud se Česko nestihne včas připravit, jinými slovy pokud nestihne přijmout prováděcí zákon? Co to bude znamenat pro firmy a jednotlivce?
Myslím si, že se nestane nic zásadního, protože pořád se budeme orientovat podle nařízení. Přežijeme, nicméně samozřejmě platí, že zákon by v některých případech situaci ulehčil.
Některé firmy budou připraveny, jiné ne...
To je pravda, část to stihne a část ne. Ale i tady si myslím, že se nic vážného nestane. Pokud podniky prokáží, že na přípravě na soulad s nařízením poctivě pracují, tak se určitě najde cesta. Nebude to určitě tak, že kontrolní úřady budou chodit a cíleně hledat ty, co to neplní. Na druhou stranu se dá počítat s tím, že se budou zaměřovat na velké hráče, kde zneužití osobních údajů může být nebezpečné, ale nemyslím si, že by záměrně šlapaly po malých podnicích a šikanovaly je.
Na přípravu na nařízení měly země EU dva roky. Proč to Česko nestihlo?
Je pravda, že dva roky nejsou dlouhá doba. Na každý podnik, veřejnou instituci nebo třeba i neziskovou organizaci, která pracuje s osobními údaji, je potřeba se podívat zvlášť a individuálně posoudit možná rizika. Je to podobné, jako když se posuzují rizika bezpečnosti práce v podnicích - je to jiné u řidičů, než pokud pracujete v kanceláři.
Nařízení pak samo o sobě má určité technologické požadavky - je potřeba zabezpečit přenos dat nebo jejich výmaz. To u některých systémů nemusí být vůbec snadné a je potřeba do toho i finančně investovat. Někdy je nutné vybudovat i úplně nový systém.
Které společnosti mají s GDPR největší problémy?
Banky, pojišťovací společnosti nebo telekomunikační firmy, tedy podniky, které už dnes musí plnit určité požadavky na ochranu soukromých dat, na tom pracují a jsem přesvědčená, že připraveny budou. Pozadu jsou výrobní podniky a menší firmy, které zpracovávají data. Špatně jsou na tom některé veřejné čí neziskové instituce, které pracují s velkým objemem citlivých údajů, například v oblasti sociálních služeb nebo zdravotnictví. Ty jsou vydány takříkajíc napospas.
Jak jsou na tom drobní podnikatelé?
Pokud malé firmy nepracují s objemnými daty, tak se pro ně počítá s výjimkou. V případě, že jste truhlář, tak si troufám tvrdit, že na vás nebude mít GDPR žádný zdrcující dopad. Přístup, který razí GDPR, je založen na riziku, tedy na tom, že tu musí být ochrana odpovídající riziku, kterou zpracování osobních údajů znamená pro osobu, jejíž data jsou zpracovávána. Truhlář se tedy nemusí být – a to ani v případě, že by nešťastnou náhodou zveřejnil adresu zákaznice, které opravoval truhlu. Něco takového nemá žádný dopad na bezpečnost dat v Česku.
Mluvily jsme o panice, kterou nařízení GDPR v některých zemích EU včetně Česka vyvolalo. Podle některých se to výrazně podepisuje na negativním obrázku EU. Mohlo se něco udělat jinak, aby se tomu zabránilo?
Myslím, že selhala komunikace ze strany institucí EU. Jak už jsem říkala, debata kolem nařízení byla zpolitizovaná. V konečném jednání mezi institucemi se domluvila řada věcí, o kterých jsme dopředu věděli, že budou pro firmy náročné. Pokud by se na přizpůsobení se novým pravidlům nechalo více času a také se provedla pořádná analýza dopadu a byrokratické zátěže, tak jsme se na to mohli všichni daleko lépe připravit.
Mohla udělat něco jinak česká komisařka Věra Jourová, která má tuto záležitost v Evropské komisi na starosti?
Česká komisařka Jourová k tomu přišla bohužel až v momentě, kdy už bylo vše v podstatě dojednané. Jak říkám, žádná potřebná diskuse se před tím nevedla a upřednostnila se ochrana dat za jakoukoliv cenu.
Proč Komise takto postupovala?
Souvisí to s aférou Edwarda Snowdena, která ale s touto problematikou zase tolik společného nemá. Byl to nicméně moment, kdy Evropský parlament a Komise zaujaly takto tvrdou pozici k ochraně osobních údajů a sledování.
Svaz průmyslu a dopravy se angažuje v osvětě a školí firmy o GDPR. Co se za tu dobu, co pořádáte semináře, podařilo změnit?
Vzrostlo povědomí o nařízení, a to především v hlavním městě. Vyškolili jsme už kolem 250 firem a jsme za to rádi. Nicméně potřeba je daleko vyšší.
Jak jsou na tom regiony?
Tam školení a semináře, které nepořádá jen SP ČR, teprve probíhají. Myslím si ale, že to všechno mělo být součástí nějaké hlubší strategie, s níž se mělo začít mnohem dřív.
Je o tato školení mezi podniky a dalšími subjekty zájem?
Ano, je, ale i tak o této možnosti musíte firmy aktivně informovat a opakovat jim, že je nutné, aby se školení zúčastnily.
Co je pro podniky nejproblematičtější? Dá se to vůbec zobecnit?
Náročné je se zamyslet nad potřebou konsolidace IT systémů, nabídkou řešení a služeb, aby odpovídaly novým požadavkům – až již jde o minimalizaci sbíraných údajů, ochranu soukromí již zabudovanou do procesů, systémů, výrobků a služeb. Zjednodušeně technická a organizační opatření, která musíte zavést. Hlediska jsou čas a finance. Je potřeba se v podniku sejít, podívat se jak je zacházeno s osobními údaji, kdo k nim má přístup, projít dokumenty a procesy a zjistit, co je hotové a na čem naopak je potřeba dále pracovat.
Velkým tématem je dopad GDPR na konkurenceschopnost evropských firem. Máte o ni obavy?
Vysoká úroveň ochrany může představovat konkurenční výhodu pro EU jako celku. Na to se velmi těší nadnárodní společnosti. Co ale vidím jako problematické, je dopad nařízení na exportní politiku. Evropská komise rozhodla, že adekvátní míru ochrany dat bude mít pouze 12 zemí, mezi něž kromě Kanady nebo Švýcarska patří ještě třeba Andorra, Faerské ostrovy nebo ostrov Man. Všechny ostatní země EU považuje za státy s nedostatečnou ochranou osobních dat. V USA se musí firmy registrovat pod systém Privacy Shield (dříve se jednalo o Safe Harbour; pozn. red.).
Co musí udělat firma, pokud chce vyvážet data do země, která tuto doložku nemá?
Pokud je to korporace a chce posouvat zaměstnanecká data v rámci firmy, tak musí mít závazné korporátní doložky. Pokud mimo firmu, tak musí mít tuto doložky ke smlouvám s obchodními partnery. Celé to tedy bude mnohem složitější a pro malé firmy nesmírně náročné.
V Bruselu se poměrně široce diskutuje to, že budoucí obchodní dohody, které bude EU uzavírat se třetími státy, neobsahují digitální agendu. Jak si to vysvětlujete a proč by tomu mělo být naopak?
Diskutuje se o tom – tedy je to návrh Komise – že tok dat nebude předmětem těchto obchodních dohod. Naši obchodní partneři budou moci z důvodu ochrany osobních údajů zavádět lokalizační opatření, tedy požadovat, aby data jejich občanů byla spravována na serverech umístěných v jejich zemi. Pokud ale společnosti ze zemí obchodních partnerů splní požadavky GDPR, budou moct klidně s daty občanů EU pracovat.
Můžete uvést nějaký příklad, abychom si to mohli snadněji představit?
Vezměte si malou českou sklárnu. Mohla by prodávat v dané zemi, která bude součástí připravované dohody o volném obchodu, své výrobky prostřednictvím již fungujícího e-shopu. To ale nebude možné, protože daná země bude požadovat, aby jména a adresy zákazníků byly lokalizovány pouze v této zemi. Sklárna by pak musela mít partnera v dané zemi, či využívat službu místních společností. To by jistě vývoz prodražilo či pro menší podniky znemožnilo. Navíc dohoda o Transpacifickém partnerství (TPP) zákaz lokalizace obsahuje. Evropské firmy tak budou ve velmi nevýhodné pozici. To považujeme za nepřijatelné a spolu s mnohými členskými státy včetně Česka s tímto návrhem Komise zásadně nesouhlasíme.
Dalším krokem k vyšší úrovni ochrany osobních údajů v EU má být nařízení o ePrivacy. Stávající legislativa se totiž vztahuje jen na tradiční telekomunikační operátory, ale nezahrnuje elektronickou komunikaci třeba přes Messenger, Skype nebo WhatsApp. To by se nyní mělo změnit. Jak tento návrh hodnotíte?
Nařízení ePrivacy mělo být doplňkovým nařízením k GDPR v oblasti telekomunikací, ale nakonec se jeho záměr rozšířil i na komunikaci machine to machine nebo na internet věcí tzv. IoT. Máme problém s tím, že Komise navrhuje opatření, jejichž rozsah, tedy koho se budou týkat, a obsah není vůbec jasný. Evropská komise před tím neudělala dostatečnou analýzu dopadu například v komunikaci mezi stroji. Státy se dodnes od Komise nedočkaly jasných příkladů, co se danými paragrafy myslí a koho se skutečně dotknou. Považuji to za špatně odvedenou legislativní práci. To je velmi nebezpečné, protože nekvalitně připravená legislativa a neúměrný tlak na její urychlené přijetí mají velký potenciál vzbuzovat protievropské nálady.
Čeho konkrétně se obáváte?
Chceme mít jasno, zda se nařízení dotkne třeba komunikace v továrnách - a pokud ano, tak jakým způsobem. Zda se bude pouze komunikační vrstvy, nebo třeba i aplikací, kdy takový přenos začíná a kdy končí.
Dalším problémem je nesoulad s GDPR, například v ukládání pokut. U GDPR je to jasně dané na úrovni EU, ale u ePrivacy to je na libovůli států stanovovat některé formy pokut. Návrh, se kterým nedávno přišlo estonské předsednictví, se posunul lepším směrem než původní návrh Komise. Uvidíme, jak se to bude vyvíjet dál.
Nařízení ePrivacy znervózňuje řadu odvětví, například vydavatele a marketéry. Ti se obávají toho, že nařízení jde proti prodeji digitální reklamy a ničí to jejich nastavené obchodní modely. V konečném důsledku by pokles z příjmů reklamy, o které se toto odvětví opírá, mohl mít negativní dopad na média a kvalitní žurnalistiku. Souhlasíte s podobnými obavami?
V Evropské komisi je zakořeněn názor, že soukromí je lidské právo a cílená reklama je něco nemorálního. Problém tohoto nařízení je také v tom, že je velmi technické a málokdo mu rozumí. V tom podle mne spočívá největší nebezpečí. Obavy jsou tedy oprávněné a já jim rozumím, protože jak už jsem říkala, v tento moment nikdo neví, jaký reálný dopad toto nařízení bude mít.
Zdroj: www.info.cz
