6 minute read
Pr\u016Fvodce GDPR v roce 2019
O nařízení GDPR se začalo hojně debatovat v roce 2017 (schváleno však bylo už v dubnu roku 2016) a účinnosti nabylo v květnu loňského roku. Od té doby se mnohdy vyhrocená situace, kterou vyvolaly zejména obavy společností z likvidačních pokut za nedodržování stanov nařízení, uklidnila. Není to však důsledek toho, že by se všem podařilo být „GDPR compliant“, ale jde o stav, kdy se velká část firem rozhodla, že bude GDPR řešit spíše formálně, ostatně podobně jako někdejší zákon č. 101/2000 Sb. nebo svého času obávaný zákon č. 181/2014 Sb., o kybernetické bezpečnosti.
Primárním cílem GDPR bylo nahradit stávající nevyhovující legislativu napříč státy Evropské unie a poskytnout občanům EU větší právní ochranu proti neoprávněnému zacházení s jejich daty, a to včetně osobních údajů. Potřebu nové regulace vyvolalo zejména to, že se evropská legislativa řídila zákony na ochranu osobních údajů z 90. let, tedy z doby, kdy neexistovaly sociální sítě, cloudová úložiště ani řada dalších technologií, které dnes uživatelé naprosto běžně využívají. Obecné nařízení na ochranu osobních údajů GDPR už tyto oblasti řeší a týká se všech společností, organizací, institucí, ale i jednotlivců, kteří nějakým způsobem zpracovávají údaje evropských uživatelů (zaměstnanců, zákazníků, klientů či dodavatelů). A jelikož už „humbuk“ okolo GDPR a jeho medializace ustaly, je načase zopakovat si některé základy, neboť nařízení nikam nezmizelo, stále platí a jeho nedodržování by mohlo vést k nepříjemnému popotahování či pokutě.
Nutno však podotknout, že obávané GDPR rezonuje nejen napříč Evropou. Deset zemí mimo EU včetně Austrálie, Argentiny a Brazílie se rozhodlo zavést podobná pravidla. V případě zemí s vyspělou ekonomikou bude aktualizace jejich právních předpisů
poměrně přímočará, asi nikoho nepřekvapí, že nezřídka tyto země kopírují GDPR téměř slovo od slova.
Význam GDPR a sedm klíčových principů GDPR zohledňuje význam osobních údajů v digitální éře, které chápe jako plnohodnotnou součást identity jedince, přičemž tato data se pro firmy stávají stále cennější komoditou. Shromažďování osobních údajů a jakékoliv nakládání s nimi se proto v současné době musí řídit jasnými pravidly, která GDPR formuluje.
GDPR stanovuje sedm klíčových principů zpracovávání dat: zákonnost, omezení účelem, minimalizace údajů, přesnost, korektnost a transparentnost, integrita a důvěrnost, odpovědnost. Tyto uvedené body nejsou samy o sobě pravidly, ale jde o zásady, které by se měly dodržovat při vytváření dobré praxe v oblasti ochrany osobních údajů. Pokud tedy ještě rok po nabytí účinnosti GDPR nemáte jasno v tom, co všechno toto nařízení řeší, zkuste si ještě jednou projít alespoň uvedené principy. Nedodržování těchto zásad nebo jejich přímé porušování by mohlo společnost vyjít draho – ostatně jedna z mála věcí, kterou si každý v souvislosti s GDPR bezpečně vybaví, jsou pokuty – ty mohou dosáhnout výše 20 milionů eur nebo 4 % celkového ročního obratu společnosti.
Správce a zpracovatel GDPR přineslo také řadu pojmů, ve kterých se firmy začaly ztrácet. Jedním z nejdůležitějších je rozlišení role správce a zpracovatele údajů. Kdo je tedy kdo a co má na starost? V souvislosti se zpracováním osobních údajů může být subjekt označen jako „správce“ nebo „zpracovatel“ osobních údajů. Jaký je mezi nimi stěžejní rozdíl?
Správce podle definice Úřadu pro ochranu osobních údajů (ÚOOÚ) odpovídá za dodržování povinností kladených obecným nařízením.
Zcela stěžejní je dodržování zásad zpracování, jejichž jiné, je dvakrát dodržování zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadá, zejména pokud jde o nové povinnosti založené na přístupu k riziku (např. může to být povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů).
ÚOOÚ dále uvádí, že každého správce se obecné nařízení dotýká jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. Každý správce by si měl proto udělat vlastní analýzu zpracování, které provádí, čímž zjistí, které eventuální povinnosti se na něj vztahují. Součástí analýzy je i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, musí provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti obecného nařízení). Důležité též je nezapomenout na osvětu zaměstnanců, aby především věděli, co se rozumí osobním údajem, a byli si vědomi povinností, které musejí dodržovat. Též je vhodné zmínit povinnost mlčenlivosti.
Zpracovatel údajů, jak už název napovídá, zpracovává osobní údaje, a to pouze jménem správce. Zpracovatel údajů je obvykle třetí strana nezávislá na společnosti. Nicméně v případě skupiny podniků může jeden podnik působit jako zpracovatel údajů pro jiný podnik.
Povinnosti zpracovatele vůči správci musejí být konkretizovány ve smlouvě nebo jiném právním aktu. Smlouva musí například uvádět, co se s osobními údaji stane po ukončení smlouvy. Typickou činností zpracovatelů je nabídka IT řešení včetně cloudového úložiště. Zpracovatel údajů může část svého úkolu předat jinému zpracovateli jakožto subdodávku nebo jmenovat společného zpracovatele, pouze pokud od správce údajů obdržel předchozí povolení. Je možná varianta, kdy je určitý subjekt správcem údajů nebo zpracovatelem údajů nebo plní obě role.
Pověřenec pro ochranu osobních údajů Podniky, které ve velkém měřítku monitorují (pravidelně a systematicky), získávají a zpracovávají osobní údaje, tedy provádějí rozsáhlé zpracování, mají povinnost mít tzv. data protection officera (DPO), tedy pověřence pro ochranu osobních údajů. Rozsáhlým zpracováním se rozumí zpracování osobních údajů pacientů nemocnic (nikoliv však zpracování osobních údajů jednotlivým lékařem), zpracování osobních údajů zákazníků pojišťovnou nebo bankou či zpracování osobních údajů za účelem personalizování obsahu a cílení reklamy na základě chování při používání vyhledávacích nástrojů. Pravidelné a systematické monitorování zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy.
Úloha tohoto úředníka, který může být jak zaměstnanec správce, tak externě spolupracující osobou nebo organizací, spočívá v tom, že by dotyčná osoba měla zajistit, aby společnost dodržovala GDPR. Jakékoli dotazy nebo dotazy týkající se ochrany údajů by měly být směrovány na ně, současně by DPO měl komunikovat s patřičnými úřady, tedy spolupracuje s dozorovým úřadem a působí jako kontaktní místo pro dozorový úřad, tedy v případě České republiky jde o Úřad pro ochranu osobních údajů. Správce může pověřit DPO i jinými činnostmi. Žádná z těchto činností nesmí vést ke střetu zájmu na straně pověřence. Nařízení upravuje několik úkolů a povinností pověřence. Pověřenec má například
za povinnost sledovat soulad vnitřní praxe podniku s právní úpravou ochrany osobních údajů a současně by měl sbírat informace k preciznímu rozpoznání a vymezení zpracovávání osobních údajů, měl by analyzovat a kontrolovat shodu vnitřní praxe zpracovávání s právní úpravou či informovat, radit a vydávat doporučení pro správce nebo zpracovatele osobních údajů. Podle čl. 35 odst. 1 má pověřenec poradní funkci při provádění posouzení vlivu na ochranu osobních údajů.
Ohlašování bezpečnostních incidentů Velice důležitou obecně platnou povinností, kterou GDPR přineslo, je ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ podle čl. 33 GDPR, a to do 72 hodin od zjištění takového incidentu. Hlásit je třeba incidenty s předpokládanými závažnými důsledky, tedy nejde o případy, kdy se špatně založí papír s údaji zaměstnance do jiného šuplíku. Řeč je o závažných bezpečnostních incidentech, jako jsou v posledních letech stále častější úniky dat, které se nevyhýbají ani velkým korporacím, jako jsou například banky, pojišťovny, zdravotnická zařízení a podobně.
Záchytné body pro malé firmy I po roce, kdy je GDPR v účinnosti, je stále celé nařízení poněkud matoucí, a to zejména pro malé společnosti, které nemají vlastní právní oddělení věnující se důkladnému porozumění a výkladu veškerých (často dost nekonkrétních a obecných) ustanovení. Proto není od věci projít si následující kontrolní seznam, který zjednodušeně ukazuje, co od GDPR očekávat a co se v souvislosti s nařízením očekává. V případě malých firem by pro soulad s GDPR mělo být stěžejních několik následujících bodů, které si nyní v závěru připomeneme.
1) Pochopení vlastních dat V první řadě je nutné porozumět, jaký typ osobních údajů společnost zpracovává a uchovává. Může jít o jména, adresy, IP adresy, bankovní údaje, ale i o tzv. citlivé údaje, jako jsou informace o víře, etniku nebo zdravotní záznamy. V souladu s GDPR
musí společnost prokázat, že rozumí povaze těchto dat, ví, odkud pocházejí, a také má oprávněný důvod tato data používat.
2) Pozor na souhlas Ke zpracování osobních údajů je zapotřebí získat souhlas fyzické osoby, subjektu údajů. Souhlas se zpracováním musí být podle GDPR zcela jasný a subjekt údajů musí přesně vědět, k čemu jej uděluje. Podle GDPR také nesmí být souhlas vynucován, to znamená, že nelze například podmiňovat zpřístupnění určité služby, musí být tedy udělen svobodně, dobrovolně a být konkrétní. Souhlas musí být správce schopen doložit a subjektu údajů může být umožněno souhlas kdykoliv odvolat.
3) Nutná bezpečnostní opatření Interní bezpečnostní opatření a politiky musejí být v souvislosti s GDPR revidovány. Samozřejmě že řada firem nemusela kvůli GDPR provádět žádné rozsáhlé změny, jelikož důsledně dodržovala předchozí legislativou určená opatření. Nicméně najdou se i tací, kteří bezpečnost zanedbali, a ti se nyní musejí zaměřit na mnohem specifičtější bezpečnostní požadavky související se zpracováváním osobních údajů i jejich uchováváním. Šifrování by mělo být prvním krokem.
4) Právo na přístup k informacím Fyzické osoby mají právo na přístup ke svým osobním údajům. Je proto zapotřebí zajistit, aby společnost mohla tyto informace v krátkém čase poskytnout. Fyzické osoby mohou požadovat aktualizaci svých údajů, ale také jejich vymazání. Všechny tyto požadavky mají být odbaveny do jednoho měsíce.
5) Účel zpracování Součástí GDPR je také to, že společnost, která je správcem dat, musí být schopná doložit fyzickým osobám, proč jejich data sbírá a k jakému účelu je používá. Společnosti, které data zpracovávají řádně, by neměly mít s tímto požadavkem žádný problém a měly by být schopny kdykoliv obhájit účel zpracování.
6) Proškolení zaměstnanci Zaměstnanci společnosti by měli být v oblasti zpracovávání osobních údajů proškoleni. Měli by chápat, co jsou osobní údaje, a znát postupy, jak předcházet jakýmkoliv incidentům, jako jsou úniky osobních údajů či jejich zneužití. Zaměstnanci by také měli vědět, na koho se mají v souvislosti s GDPR obracet. Přestože malé firmy nemají povinnost mít DPO, není od věci, je-li ve firmě jedna osoba zodpovědná za vše s GDPR související.
