Stát nevydal žádný metodický pokyn, starostové tápou a s blížícím se datem spuštění GDPR jsou čím dál ochotnější naslouchat nabídkám nejrůznějším firem, které tvrdí, že jim tenhle problém vyřeší. Jejich nabídky jsou však často nesolidní a obcím můžou přinést finanční ztráty a další komplikace.
Květen 2018, tedy datum povinnosti zacházet s daty podle nařízení GDPR, se přitom neúprosně blíží. A s ním i riziko milionových pokut za porušení nařízení. Seriózní firmy, ale i ty, o kterých se to úplně říct nedá, samozřejmě větří svoji příležitost a posílají obcím a jejich starostům jednu nabídku za druhou. Cenové rozpětí nabízených služeb je značné, stejně jako jejich rozsah. Společnou však nabídky mívají nejednoznačnost formulací, překroucení používaných pojmů tak, aby vypadaly, že se týkají GDPR, a podobně.
To může vést k jedinému. Bezradní zástupci obcí podepíší nevýhodné smlouvy, ze kterých se později nebudou moci vyvázat a samotné GDPR přitom nebudou mít zavedené.
„Obce používají pár informačních systémů a mají více méně stejnou agendu. Cena za řešení a služby pro ně může být tedy nižší, než u individuální nabídky pro nějakou firmu, protože jde prakticky o unifikované řešení,“ vysvětluje situaci Jan Tauš ze společnosti MCS Consulting, která se zaváděním GDPR zabývá.
Jenže řada firem to dělá jinak. Například do jedné obce z Prahy-východ doputovala „Nabídka /smlouva Personal Data Protection PDP“ v níž jistá pražská firma za 103 tisíce korun bez DPH nabízí „zavedení GDPR - poradenství“ a „zavedení GDPR - aplikace“. O službách pověřence pro ochranu osobních údajů, takzvaného DPO (Data Protection Officer), kterého musí mít obce povinně, ani slovo.
„Férová cena? Pro obec do tisíce obyvatel je to 30 až 50 tisíc za vstupní analýzu, návrh a implementaci komplexního, tedy nejen softwarového řešení, ale i například návrhu režimu pohybu osob a fyzického zabezpečení. Za měsíční servis včetně služeb pověřence pak tři až pět tisíc korun,“ říká Nikola Vildová z MCS Consulting. Rozdíl je tedy 50 až 70 tisíc s tím, že levnější nabídka je komplexnější.
Jenže zastupitelé obcí ani jejich starostové se nemají šanci v sofistikovaně se tvářících nabídkách vyznat. Nejsou přeci odborníky na IT. Tím spíš, že neexistuje národní certifikační orgán či autorita a certifikáty o způsobilosti k poradenství v oblasti GDPR může vystavovat prakticky kdokoli. Jenže odpovědnost za zavedení ochrany dat i získání DPO vedení obcí prostě má. A protože jim stát zatím nijak nepomohl a nikdo neví, zda to vůbec někdy udělá, nezbývá obcím, než jednat na vlastní pěst. I s tím rizikem, že později budou možná muset úřadům prokazovat, že jednaly v dobré víře…
Starostové a zastupitelstva tedy riskují, že uzavřou smlouvu s firmou, jež nezavede GDPR pořádně a oni pak budou ti, kteří to způsobili, včetně případné trestní odpovědnosti. Riskují, že kvůli tomu jejich obec přijde až o milionové částky. Další riziko číhá v ustanovení zmocněnce DPO.
Pověřenec na ochranu osobních údajů (DPO)
„Podle našich zkušeností nechtějí zastupitelé ani úředníci radnic převzít odpovědnost pověřence pro ochranu osobních údajů. Obce tedy chtějí tuto funkci outsourcovat. Za přijatelnou cenu za služby DPO považují obce zhruba tři až pět tisíce korun za měsíc,“ přibližuje možnosti Nikola Vildová.
Přitom však neexistuje jednotný předpis pro certifikaci pověřenců DPO. Proto udělení certifikátu může nabízet kde kdo a není možné ověřit skutečnou znalost problematiky. Obce tedy mohou dostat pověřence velmi rozdílné kvality. A právě to může být předmětem dalších sporů uvnitř zastupitelstva.
Znalosti a schopnosti pověřence DPO totiž příslušné evropské nařízení vyjmenovává celkem podrobně. Konkrétně v oficiálním překladu zveřejněném na stránkách Úřadu na ochranu osobních údajů (ÚOOÚ) je s odkazem na pátý odstavec článku 37 uvedeno, jaké má mít pověřenec pro ochranu osobních údajů profesní kvality:
„Pověřenec pro ochranu osobních údajů musí být jmenován na základě profesních kvalit, a zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a schopnosti plnit své úkoly.
Potřebná úroveň odborných znalostí by se měla určit podle prováděných operací zpracování údajů a podle ochrany, která se vyžaduje pro zpracovávané osobní údaje. Například je-li činnost zpracování údajů zvlášť složitá nebo zahrnuje-li velké množství citlivých údajů, může pověřenec pro ochranu osobních údajů potřebovat vyšší úroveň odborných znalostí a podpory.
Nezbytné dovednosti a odborné znalosti zahrnují:
- odborné znalosti v oblasti vnitrostátní a evropské praxe a právních předpisů na ochranu údajů, včetně důkladného chápání obecného nařízení o ochraně osobních údajů,
- porozumění prováděným operacím zpracování,
- porozumění informačním technologiím a zabezpečení osobních údajů,
- znalost podnikatelského odvětví a organizace,
- schopnost prosazovat v rámci organizace kulturu ochrany osobních údajů.“
Z uvedené citace zřejmé, že funkci DPO nebude moci vykonávat člověk bez odpovídajícího vzdělání a znalostí. Zároveň však chybí jednotný předpis, který by konkrétně tyto znalosti, případně vzdělání, vyjmenoval.
Chybí centrální certifikace
Současně řada firem nabízí „školení DPO“, často v rozsahu 8 až 12 hodin. Školení je zakončeno certifikační zkouškou. A takový certifikát pak má doložit způsobilost absolventa poskytovat služby DPO. Může ovšem někdo po několikahodinovém školení skutečně získat potřebné znalosti a praxi ve smyslu citovaného článku 37?
„Jsem přesvědčen o tom, že jednodenní kurz nemůže nikomu poskytnout dostatečnou průpravu pro vykonávání tak důležité činnosti, jakou je pověřenec. Tím spíš, že pro takové kurzy neexistuje oficiální centrální metodika, ani další předpisy určující jejich obsah a kvalitu,“ upozorňuje Jan Tauš.
Situace s kvalitou pověřenců však může být ještě komplikovanější.
„Z požadavků na pověřence DPO vyplývá, že by měl být nejen odborníkem v oblasti práva, ale také odborníkem na procesní řízení, odborníkem na informační technologie a na kybernetickou bezpečnost. Ale nejen to, měl by se uvedeným oblastem věnovat na denní bázi, protože co platí a funguje dnes, nemusí platit za měsíc. A to opravdu účast na nějakém školení nemůže člověku dát,“ upozorňuje kriticky ředitel společnosti MCS Consulting Lukáš Vejman.
„Nic z toho ovšem naprostá většina představitelů obcí netuší. A podobná situace je i u malých a středních firem,“ dodává ředitel.
Chybějící specifikace nároků na znalosti DPO může mít o to horší následky, že odpovědnost za porušení pravidel GDPR nenese pověřenec, ale sama obec či firma, respektive její vedení. Určením odpovědnosti se zabývá článek 39 nařízení o GDPR, který uvádí:
„Pověřenci pro ochranu osobních údajů nenesou osobní odpovědnost za nedodržení požadavků na ochranu osobních údajů. Je to správce nebo zpracovatel, kdo musí zajistit a být schopen doložit, že zpracování bylo prováděno v souladu s ustanoveními tohoto nařízení. Dodržování požadavků na ochranu údajů je odpovědností správce nebo zpracovatele.“
Co hrozí obcím?
Obce, stejně jako většina firem a OSVČ, nemají jasno v tom, co všechno by v souvislosti se zaváděním GDPR měly dělat.
- Firmy často předkládají obcím nabídky, ze kterých není zřejmé, čeho přesně se vlastně týkají. Některé nabízejí vlastně jen poradenství, jiné zužují GDPR na záležitosti IT.
- Z neznalosti problematiky můžou obce snadno uzavřít smlouvy, které pro ně budou nevýhodné a navíc jim nevyřeší samotné zavedení GDPR.
- Protože není centrální certifikace DPO, mohou obce uzavřít smlouvu s pověřencem, který nemá odpovídající znalosti, což jim může přivodit problémy s dodržováním nařízení GDPR a následně problémy s osobní odpovědností vedení, jež vyplývá z porušení uvedené směrnice.
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: komerční tisková zpráva
