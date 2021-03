GDPR nařizuje českým firmám, aby aktivně chránily data. Ani nejlepší šifrovací a antivirový program však nepomůže ochránit cenná data, pokud zaměstnanci nedodržují zásady k jejich ochraně. K zlepšení povědomí by mělo přispět školení na toto téma, které firmám nabízí společnost TÜV SÜD Czech.

Jméno, rodné číslo, telefonní číslo, IP adresa… to všechno jsou osobní údaje, které je třeba chránit. V Česku za tímto účelem platí již třetím rokem zákon o ochraně osobních údajů známý spíše pod zkratkou GDPR, který se týká všech podniků a organizací, které při své činnosti zpracovávají osobní údaje. Nařízení tedy dopadá na jakéhokoli podnikatele, který má alespoň jednoho zaměstnance či má mezi svými klienty soukromé osoby. „Firmy se chovají obezřetněji než před zavedením GDPR a dbají na zabezpečení. Osobní údaj už není položka jako každá jiná,“ říká projektová specialistka společnosti TÜV SÜD Czech Eva Kolářová.



Eva Kolářová, projektová specialistka TÜV SÜD Czech.

Současně však upozorňuje, že jsou tu nadále značné mezery v dodržování GDPR. Společnost TÜV SÜD Czech proto nejen firmám, ale i jedincům nabízí on-line e-learning, který všem poskytne potřebné informace a také ověří, že zaměstnanci kurz absolvovali.



GDPR vešlo v Česku v účinnost před téměř třemi lety, 25. května 2018. Jak se s ním podle vás za tu dobu Češi naučili pracovat?

Vidím to tak, že v roce 2018 bylo toto téma velmi těžké minout, protože na nás číhalo denně z novin, probíhaly různé akce, diskuse a tak dále. I přesto na něj, ještě pár týdnů před jeho účinností, nebyla řada firem vůbec připravená. Firmy si postupně nastavily způsob, jak s osobními údaji budou nakládat a jak se k nim budou stavět. Když přeskočím do současnosti, řekla bych, že se dodržování GDPR ze strany firem výrazně zlepšilo. Nicméně správné využívání tohoto nařízení je pro firmy pořád ještě problém. Stále se lze setkat s podnikateli, kteří GDPR nepochopili, nebo ho ignorují, uplatňují pouze některá pravidla při zpracování osobních údajů, případně je uplatňují špatně nebo nedostatečně. Celkově bych však řekla, že si podnikatelé uvědomují důležitost nakládání s osobními údaji a začali se v souvislosti s nimi chovat určitě zodpovědněji. Uvědomují si to, řekla bych, i díky medializaci. Protože, když dojde ke kybernetickému útoku nebo úniku dat, je toto téma často medializováno.

Sama jste naznačila, že se uplatňování GDPR v prostředí firem za ty takřka tři roky výrazně zlepšilo, přesto mají se správným dodržováním tohoto nařízení EU firmy v Česku stále ještě problémy. Shodují se na tom i odborníci. Čím si to vysvětlujete?

Myslím, že je rozdíl mezi tím, jestli je firma velká nebo malá. Když je firma větší, má tendenci řešit GDPR zodpovědněji především proto, že mají oddělení nebo osobu, která má ochranu osobních údajů na starosti v rámci své pracovní náplně. Zavedení ochrany osobních údajů není jednorázová akce, proto už dnes mívají firmy někoho, kdo se tomu neustále může věnovat. Zároveň platí, že za nakládání s osobními údaji je zodpovědná organizace, ale ten, kdo s nimi nakládá, je právě zaměstnanec.

Jakou roli obecně hraje GDPR v životě lidí?

Je důležité si uvědomit, že osobní údaje jsou naše údaje, a proto máme tu moc o nich rozhodovat. Od té doby, co je účinné GDPR, máme možnost říct, že nechceme, aby se šířilo třeba naše telefonní číslo, že nechceme, aby reklamní agentury prodávaly o nás už získané údaje. Navíc máme možnost odvolat již udělený souhlas, což znamená, že pokud jsem dřív souhlasila s nějakými podmínkami, tak je teď můžu odvolat.

Vaše společnost TÜV SÜD Czech nabízí proškolení zaměstnanců on-line v oblasti GDPR. V čem může takové školení pomoci?

Odpověď je snadná. Může pomoci v potřebě zvyšování povědomí zaměstnanců. Ani nejlepší šifrovací program totiž nepomůže ochránit data, pokud necháte počítač bez dozoru nebo na něj kupříkladu pouštíte ostatní lidi. Nejslabším místem v ochraně dat je lidská chyba. Když zaměstnanec nastoupí do zaměstnání, důkladně ho seznámíme s pracovištěm, sdělíme mu potřebné informace. Jenže co bude za rok, za dva… Každý jedinec zapomíná, dochází ke změnám, lidé mohou mít tendenci polevovat z daných zásad. Proto je dobré jim nabídnout školení a po určité době ho zopakovat.

Co konkrétně e-learning GDPR nabízí?

Zahrnuje 4 moduly a je zakončen testem. Po jeho úspěšném absolvování si účastník může stáhnout osvědčení, které lze použít jako jeden z důkazů o naplnění organizačních opatření k ochraně osobních údajů. Rovněž s ním lze doložit pravidelné proškolení zaměstnanců. Samotné školení pokrývá problematiku GDPR pro osoby, které se dostávají do kontaktu s jakýmkoli druhem, množstvím nebo málem osobních údajů, a to ať už s nimi pracují na každodenní bázi, nebo jen zřídka. Obsahuje konkrétní případy, na kterých jsou dané situace vysvětleny. V našem e-learningu se lidé konkrétně dozví, jaké jsou role v GDPR, kdo je to pověřenec pro ochranu osobních údajů, co jsou to osobní údaje, jaké jsou důsledky nedodržování ochrany osobních údajů, co je to zpracování dat, jaká jsou práva a povinnosti pro toho, kdo data zpracovává, jaká jsou práva dotčené osoby, které patří osobní údaje, jak se zpracovávají osobní údaje na základě pověření správcem nebo zpracovatelem, jak zaručit bezpečnost ve zpracování osobních údajů, jaká jsou rizika a nejčastější chyby i to, jaké kroky zvolit při porušení zabezpečení osobních údajů. Kdyby se chtěl kdokoli podívat, jak takové školení vypadá, máme na našich stránkách produktové video.

Každá firma má své fungování nastavené jinak, někde o sobě lidé zadávají více údajů, jinde méně. Děláte kurzy firmám na míru?

Samotný kurz lze využít tak, jak je připravený. Zároveň je možné ho upravit a připravit tak, aby odpovídal specifickým pravidlům ochrany osobních údajů v dané organizaci. Tak, aby se k zaměstnancům dostaly ty informace, které firma potřebuje, například konkrétní postup při ztrátě notebooku. A to opravdu konkrétní a upravený na míru firmě, takže v něm například najdete, komu konkrétně volat, případně konkrétní vyžadovaný postup.

Jak často by mělo školení zaměstnanců probíhat?

Udržet si přehled je obtížné, protože toto téma, pokud se v něm úplně nepohybujete, není až tak lidské a momentálně není až tak často v novinách. Může se stát, že se zaměstnanci postupně odchylují od zavedených zásad a postupů, které mají v rámci firmy pro GDPR nastavené. Platí zde, jak se říká, opakování je matka moudrosti. Proto je vhodné ho zařadit do periodického vzdělávání zaměstnanců a absolvovat ho jednou ročně k udržení povědomí o aktuální situaci.

Je absolvování kurzu vázáno přítomností v kanceláři nebo na nějakém konkrétním místě?

Kurz je on-line, takže lze absolvovat odkudkoli, člověk pouze potřebuje tablet, chytrý telefon, notebook… Postup, jak se ke kurzu dostat, je snadný. Na našich stránkách je k dispozici formulář, po jeho vyplnění získáte přístupové údaje, které později používáte pro přihlášení do e-learningu. Vstup do e-learningu je také umístěn na našich stránkách. Výhodou je, že účastník nemusí kurz projít najednou. Může si školení zastavit, přerušit ho nebo si ho třeba projít víckrát. Tempo i rytmus i řídí sám účastník. Samotné školení pak zabere zhruba 30 až 40 minut.

K zlepšení povědomí o GDPR by mělo přispět školení, které firmám i jedincům nabízí společnost TÜV SÜD Czech.

Co když někdo test neabsolvuje, může ho opakovat?

Ano, to může. Firma si dokonce může zvolit procento úspěšnosti. Někdo může chtít stoprocentní úspěšnost, někomu bude stačit devadesátiprocentní úspěšnost.

Jaká rizika firmě vznikají při úniku osobních údajů?

Je to velmi dobře známá pokuta, která byla především v roce 2018 velmi zdůrazňovaná. Dosahuje skutečně horentních výšek. Může to být až 20 milionů euro, nebo 4 % z celkového ročního obratu společnosti. Záleží však na řadě faktorů, jako je například míra závažnosti, délka porušování, počet poškozených a tak dále. Ovšem vedle finančního postihu tu hrozí také reputační riziko a špatné PR.

Řekneme-li to obecně, jaké jsou nejčastější chyby a kde dochází k únikům osobních údajů?

Únik osobních údajů neznamená nutně jen hackerský útok nebo krádež dat. K úniku může dojít i díky neopatrnosti například chybným rozesláním emailů s osobními údaji, kdy se zvolí špatný adresát, nebo ztrátou notebooku s přístupem do firemní databáze, ztrátou flashdisku, který obsahuje smlouvy lidí.

Když už se něco takového stane, jaké při úniku osobních údajů postupovat?

Riziko nejde bohužel úplně eliminovat. Klíčové je v takových případech reagovat rychle a mít předem nastavené postupy. O těchto postupech by měli být proškoleni všichni zaměstnanci, a právě tohle by mělo být součástí školení.