Společnost UPC musela před dvěma lety provozně sloučit českou a slovenskou pobočku. Právní tým pod vedením Terezy Rychtaříkové, která je zároveň jednatelkou firmy, tak stál před nelehkým úkolem. "Jeden právník, ať už sídlící v Česku, nebo na Slovensku, musel mít nově na starosti určitou právní oblast pro obě země zároveň," popisuje Rychtaříková. Její kolegové si tak museli osvojit kromě současné agendy i pravidla podle "sousedního" právního řádu. Tereza a její tým za tento přesah získaly ocenění Podnikový právní tým v rámci galavečera Podnikový právník 2018.
Mezi klíčové oblasti, které mají právníci v UPC na starosti, patří příprava na nová pravidla ochrany osobních údajů. Od 25. května začne platit na území celé Evropské unie nařízení GDPR, které zvyšuje práva občanů proti neoprávněnému zacházení s jejich daty a osobními údaji.
HN: Jak moc vaše oddělení aktuálně vytěžují přípravy na GDPR?
I když se GDPR věnujeme už od roku 2016, je práce na jeho zavedení stále v plném proudu. Naplno se mu věnují dva právníci a samozřejmě spolupracujeme s externisty. Jak hodně náročná bude následná aplikační praxe, to uvidíme v krátké době.
Absolventka Právnické fakulty Univerzity Karlovy v Praze začínala jako podniková právnička ve společnosti O2. Již osm let je v UPC, kde má nyní na starosti český a slovenský trh.
HN: Podnikoví právníci jsou v tomto ohledu v "první linii". S čím jste měli největší problémy?
Vůbec nejtěžší bylo provedení tzv. GAP analýzy, to znamená zmapování, jakým způsobem se v rámci společnosti zachází s osobními údaji.
HN: Jak náročné to bylo?
Vzhledem k velikosti naší společnosti, historii akvizic a fúzí v minulosti a zaměření našeho byznysu na rezidentní segment se jednalo o velmi náročný proces. Hlavně co se týče jeho zdokumentování. Napříč celou společností jsme prověřovali a zaznamenávali, kdo konkrétně a jak přichází do styku s jednotlivými osobními údaji, ať už se týkají zákazníků, nebo zaměstnanců.
HN: Proč jste si na to někoho nenajali?
Bylo naopak přínosné, že se analýze věnovali interní právníci, kteří znají detailně společnost a kolegy na dotčených odděleních.
HN: Pomohlo vám intenzivní zaměření na kvalitnější ochranu osobních údajů v nějaké oblasti?
Sektor elektronických komunikací měl přísná pravidla nakládání s údaji již před zavedením GDPR. Pro představu, například provozní údaje domácího internetového připojení uchováváme šest měsíců a následně je musíme smazat. Z tohoto pohledu já osobně nevnímám rozšíření povinností dle GDPR jako nápomocné v jiné oblasti.
HN: Kolem GDPR je zároveň stále dost nevyřešených otázek…
Jak už z názvu GDPR (General Data Protection Regulation, pozn. red.) vyplývá, jedná se o obecné nařízení, a tak ve svém textu používá řadu obecných pojmů. Pojmy jako například "transparentnost" nebo "oprávněný zájem" bez bližšího výkladu bylo a bude možné interpretovat různě. Pracovní skupinu WP29, která působí jako nezávislý evropský poradní orgán a je složena z vedoucích zástupců dozorových úřadů členských zemí unie, považuji za dobrý nástroj ke sjednocení výkladu těchto pojmů.
HN: Jdou přípravy na evropské půdě podle plánu?
To ne. Evropská komise v této oblasti zaspala a měla výkladová stanoviska vydat již daleko dříve. Všichni víme, že zavádění GDPR není záležitost posledního měsíce. Pomohlo by nám tedy, pokud bychom alespoň před rokem měli stanoviska k dispozici. Umožnilo by nám to zavádět a následně aplikovat GDPR tak, jak bylo zamýšleno.
HN: A co do 25. května upravit nestihnete?
Asi nečekáte, že bych prozradila, že v některé oblasti budeme k 25. květnu pokulhávat. Naší snahou je být k tomuto datu plně v souladu se všemi požadavky GDPR.
HN: A to jak v Česku, tak na Slovensku. Jak moc odlišný je přístup k GDPR u našich sousedů?
GDPR je nařízení, jehož cílem bylo mimo jiné sjednotit legislativu v oblasti ochrany osobních údajů. Pokud můžu hodnotit, vidím Slovensko daleko dříve legislativně připravené.
HN: V čem?
Slovenský zákon o ochraně osobních údajů už ve svém předchozím znění z roku 2017 přebral více méně úpravu GDPR a novelizace z ledna 2018 již naprosto plně nařízení odpovídá. U nás je tento zákon stále v legislativním procesu. Na druhou stranu, v Česku si cením minimalistického přístupu zákonodárce, neboť zákon nekopíruje ustanovení GDPR, pouze upravuje záležitosti nad rámec nařízení.
HN: A je pro vás český zákon klíčový?
Řeknu-li to laicky, řídíme se GDPR, je přímo vykonatelné.
HN: V rámci Unie podnikových právníků se setkáváte s kolegy z jiných firem. Jak jsou připraveni?
Někdy mám pocit, že jsme napřed my, jindy zas propadám panice, že jsme oproti ostatním pozadu. Asi tak shrnu pocity ostatních, všichni jsme na stejné lodi a snažíme se neztroskotat.
HN: A nenaletět na poplašné zprávy?
Skoro bych řekla, že většina poplašných zpráv je pravdivá…
HN: Jak to myslíte?
Obecně si myslím, že regulace by měla být rozumná. Pokud budeme vykládat GDPR extrémně přísně, dojdeme k absurdním případům, kdy se vyžaduje např. souhlas s každou jednotlivou fotkou z teambuildingové akce zveřejněnou na intranetu společnosti. Představte si například hromadnou fotku velké skupiny zaměstnanců u táborového ohně. Takovou fotku už zaměstnanci na intranetu neuvidí, protože získat souhlas každého jednoho bude prakticky neproveditelné.
HN: Panuje vlastně mezi běžnými zaměstnanci o téma vůbec zájem?
S přibližující se účinností a mediálním zviditelněním nařízení bych řekla, že se zaměstnanci o GDPR zajímají.
HN: O co se zajímají?
Ptají se hlavně na to, jak se nařízení dotkne konkrétně jejich práce. Ale vlastně také dost vyzvídají, co přinese nová úprava v jejich soukromém životě. Nedávno se mě kolega ptal, jestli je pravda, že obrázek namalovaný jeho malou dcerkou ve školce opravdu nemůže viset na nástěnce i s její jmenovkou.