Proč je lepší neignorovat osobní údaje

Nedávno se v médiích objevila informace o tom, že některé firmy využívají systém GPS ke sledování svých zaměstnanců – profesionálních řidičů. Majitelé si novou službu nabízenou jedním z mobilních operátorů pochvalovali. Chlubili se výpověďmi rozdanými nepoctivým řidičům a snižováním nákladů.

Na otázku, zda je vše v souladu se zákonem, odpovídal zaměstnanec mobilního operátora, který má novou službu na starosti, že ano. Určitě však nemohl mít na mysli zákon o ochraně osobních údajů. Zdá se, že jako v mnoha jiných případech i zde managementy firem pozapomněly, že tento zákon existuje a je třeba postupovat v souladu s ním. Třeba i proto, že není ekonomické jej ignorovat. Problém v uvedeném příkladu spočívá v propojování informací. Samozřejmě platí, že zaměstnavatel má právo sledovat pohyb svých vozidel, neboť auta lze chápat jako pracovní pomůcku. Situace se ale komplikuje v okamžiku, kdy se k datům o vozidle a jeho pohybu přiřadí údaje o řidiči. V tu chvíli firma vstupuje na pole osobních údajů a musí postupovat v souladu se zákonem o jejich ochraně. Jestliže pak na základě takového sledování společnost nespolehlivým řidičům rozdává výpovědi, riskuje jejich neplatnost a náhradu ušlé mzdy. Zaměstnavatel musí totiž výpověď vždy zdůvodnit.

Pokud by zaměstnanec výpověď napadl u soudu, vyšlo by najevo, že firma získala nezákonný důkaz (pro porušení zákona o ochraně osobních údajů), který nelze použít v řízení před soudem. Navíc by riskovala reakci ze strany Úřadu pro ochranu osobních údajů. V případě, že by firma důkaz z obav z jeho nezákonnosti raději nepoužila, výpověď by byla opět neplatná. Chybělo by její řádné zdůvodnění.

Přitom řešení je prosté. Včas a správně informovat své zaměstnance o zpracování osobních údajů, které zaměstnavatel provádí, a nastavit systém správy těchto údajů. Zaměstnanec si v takovém případě buď dá pozor, nebo poruší závazná pravidla zaměstnavatele, za což může následovat i výpověď ze zaměstnaneckého poměru – ovšem již na základě legálně pořízeného důkazu. Cíl zaměstnavatele ušetřit na nákladech tak bude v každém případě – a hlavně v souladu se zákonem – naplněn.

Tento aktuální případ jednak ilustruje neznalost, s jakou řada firem – včetně renomovaných – přistupuje k osobním údajům a která sahá tak daleko, že se jí firmy nezdráhají „pochlubit“ v médiích. A jednak svědčí o nízkém využívání ekonomického potenciálu správného nakládání s osobními údaji ze strany managementu společností, a to jak v rovině vlastní ochrany a úspor, tak v rovině obchodního rozvoje společnosti.

Nízké povědomí nejen o rizicích, ale především o potenciálu v oblasti osobních údajů je do značné míry logické mimo jiné vzhledem k vývoji legislativy pro tuto oblast. Podíváme-li se například na posledních deset let optikou úrovně ochrany osobních údajů, lze sledovat zajímavý trend. Před nabytím účinnosti tohoto zákona nepovažovaly obchodní společnosti ochranu osobních údajů za svou prioritu a nevěnovaly jí ani potřebnou pozornost. S postupem doby vznikl Úřad pro ochranu osobních údajů, který postupuje stále aktivněji. Ruku v ruce s tím se pak začalo zvyšovat povědomí o ochraně osobních údajů a její přísné regulaci. To postupně vyvolalo u některých společností opačnou reakci. Tyto společnosti si sice začaly problematiku ochrany osobních údajů více uvědomovat jako důležitou, ale současně sdílely názor, že zpracovávání osobních údajů je příliš striktně upraveno a že určitá zpracování osobních údajů jsou problematická či dokonce nezákonná a je proto lepší a bezpečnější je neprovádět. Na určitou dobu u nich převládly obavy a opatrnost nad ekonomickým potenciálem v této oblasti.

Nedávno se situace ale začala opět měnit a přibývá společností, které objevily výhody dobře nastaveného systému správy osobních údajů. Důvody, proč by se měl management pozorně věnovat oblasti osobních údajů a hledat systémové řešení jejich správy, vidím tři. Všechny spojuje právě to, že jsou pro společnost ekonomicky výhodné.

Řadě společností chybí systémové, komplexní a kontinuální řešení správy osobních údajů. Společnosti tak řeší záležitosti ochrany osobních údajů dílčím způsobem, a to zpravidla až tehdy, když se objeví nedostatky či pochybení. Nutno podotknout, že i snahy o celkové řešení této problematiky často skončí neúspěchem. Jde o případy takzvaných jednorázových „auditů“, které se ovšem stávají neaktuálními, jakmile jsou dokončeny.

V obecné rovině lze tedy doporučit opustit cestu dílčích řešení, udělat tlustou čáru v podobě auditu a především nastavit systém správy a průběžné kontroly do budoucna.

Praxe ukazuje, že společnosti v mnoha ohledech nevědí, jak s obecným zákonem naložit a jak své povinnosti v konkrétních případech naplnit. Dalším klíčovým okamžikem je doložení splnění povinností vůči Úřadu pro ochranu osobních údajů. Komplexní řešení společnostem usnadňuje kontrolu zpracování osobních údajů a plnění zákonných povinností a především umožňuje doložit úřadu, že tyto povinnosti jsou soustavně plněny.

Firmy, které opustily dílčí přístup k ochraně a správě osobních údajů a důvěrných klientských informací a zvolily komplexní přístup s průběžným systémem správy a kontroly zpracování dat, tak významně snížily riziko sankcí ze strany dozorových orgánů, zejména udělení pokuty či uložení nápravného opatření ze strany úřadu.

Společnosti tak eliminují rizika, jako je újma na dobrém jménu, uložení pokuty Úřadem pro ochranu osobních údajů (až do deseti milionů korun) a náhrada škody za porušení zákona při zpracování osobních údajů. Další velmi závažnou a mnohdy podceňovanou sankcí je uložení nápravného opatření. To může v případě větších společností představovat investici do změny parametrů systému, která významně převyšuje maximální výši pokuty, již je Úřad oprávněn uložit. A konečně je třeba zmínit také nepřímé ztráty v podobě nerealizovaných obchodních příležitostí.

Správně nastavený systém samozřejmě chrání také práva společnosti. Umožňuje totiž používat dostupná data, včetně osobních údajů, například i vůči vlastním zaměstnancům. Třeba právě v souvislosti s používáním služebních aut nebo i počítačů.

Při podezření z protiprávního jednání zaměstnanců je možné za použití specializované počítačové technologie vytvořit takzvanou forenzní kopii pevného disku počítače podezřelé osoby. Tato kopie obsahuje veškerá data uložená na pevném disku daného počítače, a to včetně již vymazaných emailů a souborů, případně jejich fragmentů. S použitím klíčových slov lze pak identifikovat relevantní dokumenty a e-maily, které jsou následně detailně prověřeny. Ze zkušenosti kolegů z poradenské společnosti PwC ale vím, že společnosti, které je kontaktují právě kvůli zmíněným službám včetně následného forenzního šetření, velmi často nejsou právně připraveny na to, aby v případě podezření bylo možné uvedené kroky provést a získané dokumenty či e-maily použít jako důkaz v případných právních krocích.

Správně nastavený systém správy osobních údajů umožňuje nejen legálně provést výše uvedená opatření v případech, kdy existuje podezření z protiprávního jednání. Fungující systém by měl navíc dovolovat i přiměřená preventivní opatření, například v podobě náhodných kontrol. Tedy tak, aby vedení společnosti nemuselo čekat na první problém či podezření na defraudaci. A konečně, měl by také zaručovat použitelnost zajištěných důkazů v případných soudních sporech.

V poslední době se stále častěji setkávám se společnostmi, které si uvědomují hodnotu zpracovávaných dat a hledají zákonné způsoby jejich využití k dalším obchodním příležitostem. Podstatnou náležitostí komplexního řešení by tak mělo být respektování obchodních cílů společnosti se zaměřením na realizaci dosud nevyužívaných obchodních příležitostí. Správně nastavený systém umožňuje sdílet aktuální osobní údaje za účelem rozšíření prodeje zboží a služeb (takzvaný cross selling) nejen mezi odděleními jedné společnosti, ale též mezi různými společnostmi ve skupině, a to nejen na území České republiky, ale i v zahraničí. Správně nastavený systém pamatuje i na možnost sdílet, zpřístupňovat či si vyměňovat osobní údaje s dalšími subjekty. Jako příklad lze uvést mediálně známé případy sdílení mezi bankami a mobilními operátory, supermarkety a cestovními kancelářemi či provozovateli internetových stránek a inzerenty.

S ohledem na vývoj v Evropě očekávám, že tento nový trend komplexních systémů správy osobních údajů dále posílí. Správa osobních údajů se bude stále více stávat nástrojem obchodního rozvoje společností a tím i stále významnější konkurenční výhodou.

***

Firmy často nejsou právně připraveny na to, aby v případě podezření mohly použít dostupná data, včetně osobních údajů (vymazaných e-mailů a souborů), jako důkaz v případných právních krocích vůči nepoctivým zaměstnancům