Soudě podle novinových titulků „seriózních“ médií se na podniky a organizace v podobě evropské direktivy GDPR, jež vejde v platnost v květnu 2018, valí doslova nezvládnutelná tsunami. Horší než EET a kontrolní hlášení dohromady, strašnější než vše, co si dokázal vymyslet tuzemský úřední šiml ve spolupráci se zmatenými legislativci: likvidace cestou absurdních požadavků na ochranu dat a soukromí občanů.
Skutečnost je přeci jen méně dramatická. Splnit všechny požadavky GDPR jistě nebude snadné – zejména pro středně velké podniky, které doposud mají s oblastí ochrany dat malé zkušenosti. Jak ale poznamenal na semináři, který se uskutečnil ve čtvrtek v pražském hotelu Paříž, analytik Gartneru Bart Willemsen, GDPR v podstatě zahrnuje požadavky, které by v současnosti prakticky každá odpovědná firma a organizace zpracovávající osobní údaje zákazníků měla v nějaké formě zvládat a dělat. Velmi zjednodušeně řečeno jde o to mít přehled o tom, jaká data máte (sbíráte), a řídit celý jejich životní cyklus skutečně odpovědně.
Analytici často hovoří o datech jako o podnikovém aktivu (bude to ostatně i jedno ze dvou témat dubnového Brífingu digitálních implementací s analytiky Gartneru v Praze), Willemsen ale zdůrazňuje, že data představují také riziko – průměrné škody úniku dat činí podle globálních statistik 860 tisíc dolarů (přes 20 milionů Kč) v případě největších organizací a desetinu v segmentu SMB. Jde přitom o škody přímé, nikoliv o pokuty jako ty stanovené u GDPR. Podniky by proto měly přehodnotit, která zejména osobní data skutečně sbírat, uchovávat a kdy je s ohledem na jejich životní cyklus smazat.
Řada věcí v nové směrnici dává smysl – ať už je to právo vědět, jaká data o uživateli firma má, právo na jejich přenositelnost nebo právo na smazání (což může mít nicméně i značně problematické aspekty stejně jako již dříve ustavené právo na zapomenutí). Jiné požadavky kladené GDPR, jako jsou vytvoření a obsazení pozice DPO (Data Protection Officer) nebo míra extrateritoriální aplikace, možná balancují na hranici příčetnosti stejně jako drakonické až likvidační pokuty zastropované částkami v desítkách milionů eur, respektive 2–4 % z obratu (podle toho, co je vyšší). Uplatňování těchto sankcí stejně jako celkový přístup dohledového úřadu se podle Willemsena budou v jednotlivých zemích EU patrně lišit – můžeme tak přinejmenším usilovat o to, aby lokální přístup patřil k těm rozumnějším.
„Můžete mít bezpečnost bez ochrany soukromí, ale nelze mít ochranu soukromí bez bezpečnosti,“ řekl během své přednášky několikrát Bart Willemsen. Více o pragmatickém pohledu na GDPR, jeho možných dopadech nebo o tom, jak sestavit jednostránkovou „deklaraci ochrany soukromí“, vám přineseme v nejbližším čísle Reportu.
Je něco, o čem byste se v souvislosti s GDPR chtěli dozvědět víc? Napište nám.