Novou pracovní pozici takzvaných ombudsmanů pro ochranu osobních dat budou muset obsadit všichni, kdo shromažďují nebo zpracovávají osobní údaje. Ať už jde o soukromé firmy, nebo orgány veřejné moci, jako jsou ministerstva a obecní úřady. Tuto povinnost zavádí nové evropské nařízení, nazývané GDPR.

Datoví ombudsmani budou radit zaměstnancům podniku i jeho vedení, jak v oblasti zabezpečení citlivých údajů nejlépe postupovat. Musí proto dobře znát prostředí podniku. "Kdybych tuto roli ve společnosti obsazoval, hledal bych někoho, kdo má schopnosti projektového manažera, který má povědomí o tom, jak funguje firma a její byznys. Zákon je jen knížka, kterou se naučí. Pokud bude umět propojovat lidi a informace mezi sebou, s dalšími odbornými znalostmi mu poradí experti z jiných týmů," vysvětluje Nikolay Chernomorsky, ředitel v poradenském týmu agentury Deloitte, která se na GDPR zaměřuje.

Úplně nová role

Podle Mileny Jabůrkové, viceprezidentky Svazu průmyslu a dopravy, která se touto oblastí zabývá, se bez ombudsmana neobejdou například podniky, které monitorují své zaměstnance a shromažďují data o jejich poloze, pohybu nebo pracovním výkonu. "Potřebovat je budou také všude, kde dochází k rozsáhlému zpracování citlivých údajů nebo třeba informací o trestních rozsudcích," vysvětluje v rozhovoru pro HN. Teprve praxe ukáže, jak lze postavení pověřence chápat. Legislativa přesně nepopisuje, zda má jít o jedinou osobu, nebo někoho, kdo stojí v čele týmu odborníků.

Co je GDPR?

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR) je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.

"Je to úplně nová role. Tento člověk musí pochopit tok osobních údajů ve společnosti, aby posoudil, k čemu je firma potřebuje, a pomohl jejich množství minimalizovat, spolu s tím zmizí také rizika jejich úniku," vysvětluje Chernomorsky přínos nové pozice. Podle něj nelze na pověřence pohlížet jako na kontrolory nebo auditory. "Jedná se o vedoucí pracovníky, kteří budou plnit hlavně úlohu poradců," říká.

Hodiny tikají

Přestože nařízení platí až od května příštího roku, příprava bude složitá a všemu předchází analýza rozsahu a velikosti rizik souvisejících se shromažďovanými daty. Nový zaměstnanec navíc musí mít odborné znalosti v oblasti judikatury a GDPR, je tedy důležité ho proškolit. Zároveň musí rozumět všem procesům v organizaci, aby jeho doporučení byla vhodná.

Seriál HN k ochraně dat GDPR

◼ 4. 10.
Inspirace ze zahraničí
◼ 11. 10.
Jak na souhlasy
◼ 18. 10.
GDPR
a marketing

Z tohoto důvodu už některé podniky, ale i česká ministerstva s přípravou na novou povinnost začaly. "V současné době vybíráme nejvhodnější variantu, jak funkci poradce pro ochranu osobních údajů zajistit. Předpokládáme, že tato pozice bude přímo řízena státním tajemníkem ministerstva," popisuje průběh příprav například Petr Sulek, tiskový mluvčí ministerstva průmyslu a obchodu.

Některá další už dokonce tuto pozici zřídila. "Pověřenec pro ochranu osobních údajů byl jmenován z našich vlastních zaměstnanců. Má již odborné předpoklady pro výkon této pozice a bude se dál v této problematice vzdělávat," popisuje Markéta Ježková, tisková mluvčí ministerstva zemědělství.

Vedení jde do rizika

Výběr vhodného pracovníka není radno podceňovat už z toho důvodu, že za jeho pochybení odpovídá společnost jako celek, osobně ho nelze postihovat. Pokud tedy správně nerozumí technologickému zákulisí firmy nebo si není vědom všech právních povinností, nemusí třeba správně vyhodnotit riziko zpracování citlivých údajů. Když udělá chybu a data uniknou, společnost pravděpodobně bude platit vysoké pokuty, které mohou jít až do milionů eur.

"Podobné je to u pracovních úrazů, tam také za chybu platí společnost, nikoliv bezpečnostní technik. Je to o tom, jak jsou nastavené pracovní procesy, ochrana dat v organizaci nikdy nezáleží na jednom konkrétním člověku," myslí si Jabůrková.

Pozor na střet zájmů

Pověřenci se stanou hlavním komunikátorem mezi osobami, o jejichž údaje jde, vedením organizace a Úřadem pro ochranu osobních údajů. Pokud dojde k pochybení nebo úniku informací, musí to úřadu nahlásit. Z tohoto důvodu potřebují (a podle nařízení také musí) být absolutně nezávislí.

Pokud se tedy firma do této pozice rozhodne dosadit někoho ze současných pracovníků, musí se vyvarovat střetu zájmů. "Není to jen tak nějaký zaměstnanec, má specifické nezávislé postavení, proto ho nikdo v oblasti práce pověřence nemůže ovlivňovat. Nesmí dostávat příkazy, které se týkají jeho výkonu jako pověřence. Zároveň nemůže rozhodovat o tom, jak bude firma údaje zpracovávat nebo používat," doplňuje Jabůrková.

Kde je vyčarovat

Podle odhadů společnosti Deloitte bude Česká republika potřebovat desítky tisíc těchto pracovníků. To může být problém při současné situaci na pracovním trhu, kdy je bez práce necelých tři sta tisíc lidí a nezaměstnanost je nejnižší od roku 1998. "Nemohou to být lidé krátce po škole, potřebují roky zkušeností. Řešení? Vzít někoho ze současných zaměstnanců a přiřadit mu tuto novou roli nebo využít externí firmy," radí Chernomorsky z Deloittu. Zároveň dodává, že je potřeba počítat s náklady na plat těchto zaměstnanců, který se může vyšplhat až na statisíce korun měsíčně. "Záleží na tom, jak rozsáhlá služba bude a kolik poradců bude pověřenec potřebovat jako podporu," říká.

 

Anketa HN (odpovídají mluvčí)

◼ Jak dalece jste připraveni na zřízení této nové pracovní pozice?

◼ Kde pověřence na ochranu osobních údajů vezmete?

◼ S jakými náklady počítáte na zřízení této pozice?

Nemocnice Motol

◼ Na zřízení této pozice intenzivně pracujeme.

◼ Proškolíme některého z našich současných zaměstnanců, který bude podřízený přímo řediteli nemocnice s podobnými kompetencemi, jako má projektový manažer nebo ombudsman nemocnice.

◼ Počítáme s náklady na proškolení, plat pověřence a jeho asistenta.

T-Mobile

◼ Pozice v naší společnosti již dlouhodobě funguje.

◼ Vzhledem k tomu, že ochranou dat se zabýváme kontinuálně, nebylo personální obsazení ani začlenění do organizační struktury tak náročné jako ve společnostech, které s ochranou dat teprve začínají systematicky pracovat.

◼ bez odpovědi

Ministerstvo kultury

◼ MK požádalo v návrhu systemizace na rok 2018 o zřízení této pozice (bude se jednat o služební, nikoli pracovní místo). Požadavek byl prozatím zamítnut s tím, že o způsobu řešení této problematiky bude rozhodnuto na úrovni vlády ČR.

◼ Pokud bude požadavek ministerstva kultury akceptován, přijmeme nového zaměstnance. Pokud nebude, budeme muset najít náhradní řešení, nejspíše formou outsourcingu.

◼ V případě obsazení státním zaměstnancem počítáme s náklady na plat ve výši cca 481 000 korun plus povinné odvody ve výši cca 169 000. V případě outsourcingu by musela být vypsána veřejná zakázka.

Související