Společnosti objevují výhody dobré správy osobních údajů

Obecné znění zákona na ochranu osobních údajů nemusí být nevýhodou. Naopak poskytuje dostatečný právní rámec a je základem pro správné fungování celé této oblasti. Jinou věcí jsou ovšem objektivní potíže s výkladem zákona v konkrétních situacích, říká v rozhovoru Petr Novotný z advokátní kanceláře Ambruz & Dark, přidružené k PwC.

* Jak dlouho platí zákon pro ochranu osobních údajů a jak se za tu dobu uvedl do každodenní praxe?

Zákon platí od roku 2000. Podíváme-li se například na posledních deset let optikou úrovně ochrany osobních údajů, lze sledovat zajímavý trend. Před nabytím účinnosti tohoto zákona nepovažovaly obchodní společnosti ochranu osobních údajů za svou prioritu a nevěnovaly jí ani potřebnou pozornost. S postupem doby vznikl Úřad pro ochranu osobních údajů a stal se také více aktivním. Ruku v ruce s tím, se pak začalo zvyšovat povědomí o ochraně osobních údajů a její přísné regulaci. To postupně vyvolalo u některých společností opačnou reakci. Tyto společnosti si začaly problematiku ochrany osobních údajů jednak více uvědomovat jako důležitou, ale současně sdílely názor, že zpracovávání osobních údajů je příliš striktně upraveno a že určitá zpracování osobních údajů jsou problematická či dokonce nezákonná a je tudíž lepší a bezpečnější je neprovádět. Na určitou dobu u nich převládly obavy a opatrnost nad ekonomickým potenciálem v této oblasti. Nedávno se situace ale začala opět měnit a přibývá společností, které objevují výhody dobře nastaveného systému správy osobních údajů. Nebojí se zpracovávat údaje k podpoře svých obchodních zájmů i potřeb a postupuje přitom zcela v souladu se zákonem.

* Myslíte, že to je způsobené tím, že je zákon nekvalitní? V čem spatřujete jeho případné nedostatky?

Zákon pro ochranu osobních údajů je často kritizován jako příliš obecný a nejednoznačný. Čas od času se proto objevují iniciativy snažící se o zpřesnění či konkretizování zákona různými novelami, které mají za cíl změnit jeho obecnou povahu. Nemyslím si, že takový postup je správný. Vezmeme-li v úvahu, jak široké a různorodé mohou být způsoby zpracování osobních údajů a dynamický rozvoj nových technologií v dnešní společnosti, nedomnívám se, že snížení míry obecnosti zákona je skutečným řešením. Naopak obecné znění zákona poskytuje dostatečný právní rámec a je základem pro správné fungování celé této oblasti. Jinou věcí jsou ovšem objektivní potíže s výkladem zákona v konkrétních situacích. Praxe ukazuje, že společnosti v mnoha ohledech neví, jak s obecným zákonem naložit a neví jak povinnosti v konkrétních případech naplnit. Dalším klíčovým okamžikem je doložení splnění povinností vůči Úřadu pro ochranu osobních údajů. Problém současné praxe tedy spíše vidím v tom, že nebyly vytvořeny standardy určující, jak zákonné povinnosti plnit a dokládat vůči dozorujícímu orgánu. Ideální stav je takový, že za aktivní účasti Úřadu pro ochranu osobních údajů budou vytvořeny standardy vycházející z potřeb praxe a praxe bude tyto standardy dodržovat. Přestože říkám ideální stav, jsem přesvědčen, že tento stav je dosažitelný. Vytvoření jasných pravidel je v zájmu všech, tj. správců, zpracovatelů, subjektů údajů, ale i Úřadu pro ochranu osobních údajů. Spoléhání se pouze na soudní judikaturu není zcela na místě, protože vytvoření ustálené soudní judikatury je dlouhodobý proces. Ze zkušenosti víme, že společnosti nakonec nejen z ekonomických důvodů upustí od soudního sporu, přestože s rozhodnutím a argumentací Úřadu pro ochranu osobních údajů třeba nesouhlasí.

* Jaká je tedy situace dnes? Jaký je přístup společností k ochraně osobních údajů?

Oproti předchozím rokům je patrné určité zlepšení. Společnosti si uvědomují, že danou oblast nelze podceňovat. I přes pozitivní indikátory změny však zůstávají společnosti, které ochraně osobních údajů nevěnují prakticky žádnou pozornost. Současně existuje i významná skupina společností, které ochranu osobních údajů nadále považují za omezení rozvoje svých obchodních aktivit. Přitom správné nastavení systému správy osobních údajů vytváří nové obchodní příležitosti pro využití osobních údajů. V poslední době se čím dál tím častěji setkáváme se společnostmi, které si zákonné možnosti dalšího využití osobních údajů uvědomují a hledají způsoby jak ho dosáhnout. Mezi příznivé změny patří i to, že ve větších společnostech, včetně například bankovních institucí, se dnes již stává pravidlem pracovník, který je odpovědný za celou oblast správy osobních údajů.

* Co v souvislosti s ochranou osobních údajů společnosti neřeší správně nebo v čem mají rezervy? Co byste společnostem doporučil při správě osobních údajů?

Z naší zkušenosti víme, že řadě společností chybí systémové, komplexní a kontinuální řešení správy osobních údajů. Do značné míry je to pochopitelné vzhledem k tomu, o čem jsem mluvil v úvodu, totiž k poměrně obecné povaze zákona a množství a různorodosti způsobů zpracování osobních údajů. Zatím nejsme v situaci, kdy by existovaly zavedené standardy uznávané na straně jedné společnostmi a na straně druhé Úřadem pro ochranu osobních údajů. Stávající situace bez zavedených standardů neulehčuje společnostem zavádění komplexních řešení. Společnosti tak řeší záležitosti ochrany osobních údajů dílčím způsobem, a to zpravidla až tehdy, když se objeví určité nedostatky či pochybení. Nutno podotknout, že často i snahy o celkové řešení této problematiky skončí neúspěchem. Jde o případy tzv. jednorázových „auditů“, které se ovšem stávají neaktuálními, jakmile jsou dokončeny. V obecné rovině lze tedy doporučit opustit cestu dílčích řešení, udělat tlustou čáru v podobě auditu a především nastavit systém správy a průběžné kontroly do budoucna.

* Jaké sankce hrozí společnostem v případě porušení zákona ze strany Úřadu pro ochranu osobních údajů?

Kromě újmy na dobrém jménu společnosti samozřejmě pokuty (až do deseti milionů korun) a náhrada škody za porušení zákona při zpracování osobních údajů. Další velmi závažnou a mnohdy podceňovanou sankcí může být uložení nápravného opatření. To v případě větších společností může představovat investici do změny parametrů systému, která významně převyšuje maximální výši pokuty, kterou je Úřad oprávněn uložit. A konečně jsou tu také nepřímé ztráty v podobě nerealizovaných obchodních příležitostí.

* Jak odhadujete vývoj v této oblasti do budoucna? Co podle Vašeho názoru správný přístup k ochraně osobních údajů může společnostem přinést?

V předchozích odpovědích jsem zmiňoval nový trend, kdy si společnosti uvědomují hodnotu zpracovávaných dat a hledají zákonné způsoby jejich využití k dalším obchodním příležitostem. S ohledem na vývoj v Evropě očekáváme, že tento nový trend ještě více posílí a správa osobních údajů se bude stále více stávat nástrojem obchodního rozvoje společností. Společnosti budou opouštět dílčí přístup k ochraně a správě osobních údajů a důvěrných klientských informací a zvolí komplexní přístup s průběžným systémem správy a kontroly zpracování dat. Významně tak sníží riziko sankcí ze strany dozorových orgánů, zejména udělení pokuty či uložení nápravného opatření ze strany Úřadu. Společnosti budou též těžit z dalších výhod komplexního přístupu, jako je například zjednodušení a zpřehlednění správy ochrany osobních údajů a s tím související efektivní snížení nákladů. Komplexní řešení společnostem usnadňuje kontrolu zpracování osobních údajů, kontrolu plnění zákonných povinností a především umožňuje doložit vůči Úřadu, že zákonné povinnosti jsou soustavně plněny. Samozřejmostí komplexního řešení je respektování obchodních cílů společnosti se zaměřením na realizaci do té doby nevyužívaných obchodních příležitostí. Samozřejmě správně nastavený systém chrání také práva společnosti a umožní jí používat dostupná data včetně osobních údajů k ochraně svých práv, mj. například i vůči vlastním zaměstnancům třeba v souvislosti s používáním pracovních pomůcek jako je automobil nebo počítač.

***

„Úsilí, s nímž skrýváme své chyby, by stačilo na to, abychom se jich zbavili“. Michelangelo Antonioni, italský filmový režisér a scénárista