Univerzitám, které nestihnou včas zavést GDPR, zatím tvrdé sankce nehrozí

Evropské nařízení o ochraně osobních údajů (GDPR) začalo platit 25. května a řídit se jím musí všechny univerzity a vysoké školy. Miroslav Bartošek má na Masarykově univerzitě (MU) na starosti společný projekt vysokých škol, který jim pomáhá nová pravidla zavést. „Řadu věcí řešíme, současně ale potřebujeme čas a zkušenosti k tomu, aby se to v praxi usadilo,“ říká Bartošek, který zároveň působí jako vedoucí Divize kyberbezpečnosti a správy dat v Ústavu výpočetní techniky MU.

Jsou nová pravidla nakládání s osobními údaji z pohledu univerzit krok správným směrem, nebo jen zbytečná byrokracie a zátěž navíc?
S rozvojem digitálních technologií se osobní údaje stávají čím dál cennější komoditou, kterou je třeba chránit, protože ji lze velmi snadno zneužít. Takže určitá regulace je na místě. Evropa k tomuto přistupuje tradičně paternalisticky. Snaží se chránit shora a plošně. Neřeší, že jedním z hlavních problémů jsou lidé, kteří nakládají se svými daty velmi lehkomyslně a rozdávají je komukoliv na potkání. Ani nerozlišuje, jestli jste škola, která dělá svou běžnou činnost a k tomu potřebuje mimo jiné přirozeně také zpracovávat nějaké osobní údaje, anebo jste někdo, kdo cíleně sbírá kvanta osobních údajů, aby je využil pro své podnikání. Nařízení GDPR je velmi obecné a plošné. A to je z pohledu univerzit docela problém. Univerzity mají obrovský rozsah aktivit, ve kterých se vždy nějaké osobní údaje vyskytují. A v této chvíli není moc jasné, jak moc se budeme muset všemi těmito jednotlivými aktivitami s ohledem na GDPR zabývat. Ano, řadu věcí řešíme, současně ale potřebujeme čas a zkušenosti k tomu, aby se to v praxi usadilo. Aby se sjednotil pohled a výklad toho, co je skutečně podstatné, na co je třeba soustředit pozornost, a co jsou naopak takříkajíc prkotiny, které nemá cenu řešit a ztrácet jimi čas. Nepochybně ale bude ochrana osobních údajů znamenat pro univerzity velkou zátěž a trvalý úkol. Teď do toho vstupuje ještě panika, která se kolem GDPR v Česku šíří.

Jak konkrétně se nové nařízení dotkne vysokých škol a univerzit?
Výrazně. Často se uvádí, že GDPR není žádná revoluce, že jenom upřesňuje a doplňuje to, co tady máme již dlouho, v podobě zákona o ochraně osobních údajů. Problém však je, že tento zákon v minulosti nikdo nebral moc vážně a ani stát jeho dodržování nijak zásadně nevynucoval. To neznamená, že by školy dříve osobní údaje nechránily, ale nevěnovaly se tomu systematicky a důsledně. Obvykle měly po technické stránce zabezpečeny své hlavní informační systémy, ale už tolik neřešily ty stovky a tisíce drobných operací s osobními údaji po všech koutech univerzity. Neměly zpracovány obecné postupy a metodiky, nezabývaly se například tím, že nepotřebných osobních údajů je třeba se také zbavovat.

Nařízení GDPR je v těchto věcech mnohem detailnější a přísnější. S čím musela každá univerzita začít, je inventura – vytvořit přehled všech činností zpracování osobních údajů, které kdokoliv na univerzitě provádí. V dalším kroku provést posouzení jednotlivých činností: proč, za jakým účelem a na základě jakého právního titulu se tato činnost provádí, které osobní údaje jsou zpracovávané a zda jich není pro daný účel zbytečně moc. Dále jak jsou údaje zabezpečeny proti ztrátě, poškození, úniku nebo zneužití a jak dlouho budou uchovávány. A hlavně, jaké riziko dané zpracování představuje pro zasažené lidi. Výsledkem posouzení může být návrh technických či organizačních opatření, která rizika odstraní nebo alespoň sníží.

Přináší GDPR něco zcela nového, co tu dosud nebylo?
Klade důraz na oblast, která byla u nás dosud opomíjena – povinnost správce dat, tedy školy, zajistit práva lidí, jejichž údaje jsou zpracovávány. Těchto práv je hodně: od práva být informován, že osobní údaje osoby jsou zpracovávány, přes právo na přístup ke svým osobním údajům, přenositelnost údajů k jinému správci až třeba po právo na zapomnění. Tedy člověk má právo vyžadovat smazání osobních údajů. To samozřejmě lze provést jen tam, kde to neodporuje zákonným či jiným důvodům k uchování. Kromě toho musí správce provést také revize a případně úpravy, jak dříve poskytnutých souhlasů ke zpracování osobních údajů, aby vyhověly přísnějším požadavkům GDPR, tak smluv uzavřených s externími zpracovateli údajů. Všechno to musí správce zdokumentovat, aby mohl kdykoliv doložit dozorovému úřadu, jak plní povinnosti vyplývající z nařízení.

Stíhají to školy všechno do konce května udělat?
Těch věcí, které se musí provést, je skutečně hodně. Troufám si tvrdit, že málokdo, pokud vůbec někdo, bude k datu účinnosti GDPR 25. května s nařízením plně v souladu. Důležité je to ale nepodcenit a začít ty věci řešit.

Univerzity prý budou muset stanovit zmocněnce pro GDPR. Tento zmocněnec bude z řad jejich zaměstnanců?
Ano, každá univerzita již zřídila nebo bude zřizovat funkci pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). Je to jakýsi datový ombudsman. Člověk pověřený tím, aby dohlížel na celý systém ochrany osobních údajů a komunikoval s lidmi, jichž se data týkají, na straně jedné a s dozorovým úřadem na straně druhé. Pověřenec by měl řešit požadavky či stížnosti lidí, radit pracovníkům správce dat, sledovat nastavení systému, řešit vzniklé incidenty a hlásit je úřadu. Aby se posílila jeho nezávislost a pozice, musí být podřízen přímo vedení univerzity.

Jaké musí mít vzdělání a kvalifikaci?
Odborná kvalifikace pověřence není přesně stanovena. Požadovány jsou obecně jen odborné znalosti práva a praxe v oblasti ochrany osobních údajů a schopnost plnit úkoly stanovené nařízením. Vzhledem k počtu míst pověřenců, které je třeba v Česku obsadit, je zřejmé, že na trhu práce žádní dostupní hotoví pověřenci nejsou. Takže školy si je musí sehnat a vychovat samy. Podle informací, které mám z vysokých škol, se pověřenci rekrutují nejčastěji z řad zkušených zaměstnanců. Je to do značné míry i přirozené, protože znalost akademického prostředí bude jedním z důležitých předpokladů dobrého pověřence.

Jak na novou povinnost reagují univerzity a vysoké školy? Nestěžují si třeba, že je to pro ně zátěž navíc?
S přípravou na GDPR zápasí a stěžují si všichni. Rozsah problému je obrovský, práce s tím spojené je moc, vyčleněné kapacity jsou omezené. Některé školy nebo alespoň jejich části začaly s přípravou již dříve a mají alespoň základní prvky již připravené – interní směrnici, pověřence, zmapování hlavních činností, úpravy alespoň těch klíčových informačních systémů. Ale velká část škol začala teprve nedávno.

Co univerzitám dělá největší problémy a jak se je daří řešit?
Jde to ztuha. Hlavním problémem je bezbřehost problematiky a to, že při hledání cest se není moc o co opřít. To vše bývá ještě umocněno alibistickým přístupem některých důležitých hráčů a rozdílnými, často až protichůdnými názory na řešení. Někdy do toho zasahuje i tlak komerční sféry, která chce přirozeně využít paniku a prodat cokoliv pod hlavičkou GDPR. Je velmi těžké uchovat si za této situace zdravý rozum a najít správný balanc – co vše ještě řešit a co je již nepodstatné. Paradoxně to může být snazší na menší škole, kde je na přípravu GDPR vyčleněn jeden člověk, který si vše řeší po svém, než na velkých univerzitách, kde těch hráčů je velké množství a bývá o to složitější a časově náročnější dosáhnout shody.

Vy osobně na Masarykově univerzitě organizujete projekt, který má vysokým školám a univerzitám pomoci. V čem spočívá a mohou školy získat i nějakou dotaci?
Jedná se o centralizovaný rozvojový projekt ministerstva školství s názvem Komplexní řešení ochrany osobních údajů v prostředí vysokých škol. Do řešení tohoto projektu se už zapojilo všech 26 veřejných vysokých škol a jeho koordinátorem je Masarykova univerzita. Cílem je spojit síly a pomoci vysokým školám s implementací GDPR v různých oblastech. Projekt získal finanční podporu ministerstva – větší část z ní jde jako příspěvek školám na podporu jejich přípravných prací, další financuje společnou část projektu – činnost pracovních skupin, které připravují návrhy řešení. Těch skupin je osm, každá zaměřená na jinou oblast, třeba právo, IT, vzdělávání lidí a podobně. Ve všech těchto oblastech se snažíme analyzovat požadavky GDPR a navrhovat řešení, která by vysoké školy mohly převzít nebo se jimi aspoň inspirovat. Projekt jsme podali v říjnu 2017, ministerstvo ho schválilo v únoru. Na řešení ale pracujeme již od začátku prosince, tlačí nás čas.

Jak se změní nakládání s materiály propagujícími vysoké školy? Bude se třeba více řešit focení na univerzitních akcích, zveřejňování fotek na sociálních sítích, newslettery a tak dále?
Zrovna toto se až tak moc nezmění. Vysoké školy se chovaly v oblasti propagace seriózně a souhlasy s distribucí propagačních materiálů se používaly již dříve. Určitá nervozita a nejistota panuje kolem pořizování a uchovávání foto a videodokumentace z běžných akcí. Ale na druhou stranu univerzity jsou dlouhodobé ctihodné instituce, které musí dbát i na zdokumentování své historie. Naštěstí se objevují poměrně vstřícné právní názory opírající se o využití reportážní licence, takže snad nebude nutné dosavadní postupy zásadně měnit a omezovat.

Jak nová pravidla GDPR pocítí v běžném životě studenti, jak profesoři, jak techničtí pracovníci univerzit?
Studenti zřejmě nová pravidla příliš nepocítí, tedy pokud zrovna nepracují na diplomce či jiné práci, která sbírá a zpracovává osobní data. Na profesory to dolehne více. Jednak pracují s osobními daty poměrně často, nejen ve výuce, ale i ve výzkumu a projektech – tam všude budou muset respektovat přísnější pravidla a leccos bude pracnější než dříve. Současně to ale pocítí i při využívání informačních systémů školy, které budou méně komfortní než dnes. Například nemusí mít k dispozici v rámci studijního systému údaje o svých bývalých studentech, protože škola je bude po uplynutí retenční doby mazat. Může to vést k tomu, že si profesoři budou tyto údaje uchovávat raději ve svých záznamech, což bude paradoxně mnohem méně bezpečné, než když jsou teď uchovávány v poměrně dobře chráněných centrálních systémech. Největší dopad má GDPR samozřejmě na tvůrce, provozovatele, správce a metodiky informačních systémů. Někdy to může znamenat i poměrně zásadní změny systémů a procesů. A takovýchto systémů používá každá univerzita velké množství.

Jaké sankce školám hrozí, pokud nová pravidla včas nezavedou?
To je spíše spekulativní otázka. Je pravda, že nařízení GDPR se dostalo do širokého povědomí právě kvůli hrozbě drakonických sankcí. V tomto duchu plní sankce pozitivní preventivní roli již teď. Na druhou stranu Úřad na ochranu osobních údajů vydal několik stanovisek v tom duchu, že jeho cílem nebude hned trestat, ale spíše upozorňovat a poskytnout čas na nápravu. Případné pokuty, pokud na ně již dojde, musí být sice účinné a odrazující, současně ale i přiměřené provinění. Nadměrné sankce v oblasti veřejné správy by měl také omezit nový zákon o ochraně osobních údajů, jehož návrh poslala vláda nedávno do poslanecké sněmovny. Osobně se domnívám, že pokud se škola nařízením GDPR seriózně zabývá a bude schopna to prokázat, pak k samotnému datu 25.5. se toho pro ni moc nezmění. A to i v případě, že nestihne do daného data úplně vše, co si naplánuje. Chci zdůraznit, že GDPR je velmi obecná norma. Říká co, nikoliv jak. Takže neexistuje žádný jediný správný názor na to, jak má ochrana osobních údajů v té či oné oblasti konkrétně vypadat. Řešení může být vždy vícero.

Autorka je redaktorkou Hospodářských novin.

Rozhovor byl připraven před účinností GDPR v dubnu 2018.