1. 3. 2018 6 min

Českem obchází strašák GDPR

Obecné nařízení o ochraně osobních údajů bude účinné od 25. května 2018. Jak moc se ho máme bát? Nové nařízení Evropského parlamentu a Rady (EU) s číslem 2016/679 se týká ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů; vžila se pro něj zkratka GDPR (z anglického označení General Data Protection Regulation). Platit bude v celé EU a také v Norsku, Lichtenštejnsku a na Islandu. České republice nahradí současný zákon o ochraně osobních údajů (101/2000 Sb.) a stane se tak automaticky, bez ohledu na činnost, resp. nečinnost českých legislativců. Jako dozorový orgán zůstává Úřad pro ochranu osobních údajů (ÚOOÚ).

Revoluce se nekoná

Přestože je GDPR je označováno jako „revoluční změna“, jde spíše o evoluci předchozí evropské právní úpravy z roku 1995. Když se podíváme na náš velmi pokročilý zákon 101/2000, tak shledáme, že sice některé nové povinnosti přibyly, ale podstatné prvky zůstaly zachovány. Především se prakticky nezměnilo ani vymezení pojmu toho, co je osobní údaj, ani to, co se rozumí zpracováním osobních údajů. Stejně tak zůstalo beze změny vymezení správce a zpracovatele osobních údajů.

Proč je tedy GDPR takovým strašákem? Především je to proto, že direktiva obsahuje ustanovení o horní hranici sankce, která může být až 4 % celosvětového (!) obratu firmy. Obava ze sankce se zvyšuje také v případech, kdy si firmy a organizace uvědomují, že jim nestačí vyhovět novým povinnostem, ale že otázku ochrany osobních údajů v minulosti zanedbaly a že si nejsou jisty, zda jejich procesy jsou vůbec v souladu i se současnou právní úpravou. A takových určitě není málo.

Dvouleté období před začátkem účinnosti direktivy měli správci využit k tomu, aby uvedli zpracování osobních údajů do souladu s GDPR. Bohužel u nás neproběhla žádná větší informační kampaň, a tak většina organizací start zaspala. Naštěstí technologické firmy start GDPR nezaspaly a začaly rychle pracovat na tom, aby jejich aplikace a informační systémy byly s novým nařízením v souladu. Nové produkty s označením „GDPR-ready“ nebo „GDPR-compliant“ jsou pro ně novou obchodní příležitostí. To je samozřejmě v pořádku, jen musíme dávat při výběru dodavatele pozor, abychom nesedli na lep někomu, kdo pracuje systémem „vyděsit a pak vyfakturovat“.

Nařízení si konkrétně všímá také telekomunikační infrastruktury, datových center a cloudových služeb, které s osobními údaji pracují. O přechodu na cloudové služby může řada firem především ze SMB sektoru uvažovat jako o vhodném řešení právě v případě, kdy hledají cesty pro zajištění ochrany osobních dat. Přední poskytovatelé navíc již nyní zaručují soulad s novou direktivou. Jako příklad uveďme „GDPR-compliant“ CRA Business Cloud, který je nepřetržitě monitorován, je zabezpečen proti DoS i DDoS útoky i před útoky, jež se snaží prolomit ochranu na úrovni infrastruktury a aplikací, a kde při incidentech neprodleně zasáhne CSIRT tým. Zajistit stejnou úroveň spolehlivosti a bezpečnosti v datovém centru provozovaném vlastními silami je pro menší a střední firmy prakticky nerealizovatelné nebo finančně nedostupné. Cloudové řešení poskytnuté jako služba tak pro ně může být ekonomicky nejvhodnější variantou.

V souvislosti s novou direktivou panuje také řada mýtů, které se snaží vyvracet samotný ÚOOÚ. Především je to výše sankce, jejíž hranice je v GDPR vymezena podílem z celosvětového obratu. ÚOOÚ má horní hranici správních pokut ve výši 10 milionů korun a navíc se hodlá držet principu, který je v direktivě rovněž uveden, že ta má být odrazující, účinná a především přiměřená. Na různých veřejných vystoupeních zástupci ÚOOÚ zdůraznili, že na výši sankce bude mít vliv především to, zda a jak správci doloží technická a organizační opatření, která vynaložili na to, aby porušení GDPR předešli. Rovněž není nutné mít pro každé zpracování osobních údajů explicitní souhlas dotčeného subjektu; souhlas je jen jedním z právních důvodů pro zpracování osobních údajů. Naopak není možné dát generální souhlas se zpracováním – souhlas může být poskytnut vždy jen k určitému účelu. Nejasnosti panují také v tom, zda je potřeba mít pověřence pro ochranu osobních údajů. GDPR jej vyžaduje jen v případě, pokud se jedná o orgán veřejné moci nebo veřejný subjekt (mimo běžné činnosti soudů), nebo pokud správce systematicky a pravidelně monitoruje subjekty údajů a konečně pokud je hlavní činností rozsáhlé zpracování určitých citlivých údajů; v ostatních případech je jmenování pověřence dobrovolné.

Nové povinnosti

Mezi povinnosti, které GDPR přináší nově, tedy ty, které nevyžadoval zákon 101/2000 Sb., patří především povinnost vést v některých případech záznamy o činnostech zpracování a také ustanovení pověřence v případech, které jsme zmínili výše. Dále je nových několik dalších povinností, které se uplatní v případě rizika nebo zvýšeného rizika pro práva a svobody dotčených osob. Mezi ně patří posouzení vlivu na ochranu osobních údajů, které se uplatní především při systematickém nebo rozsáhlém zpracování osobních údajů, popř. i následná konzultace s ÚOOÚ. Pokud dojde ke zneužití nebo úniku osobních údajů, musí správce tuto skutečnost ohlásit jak dotčeným subjektům, tak i dozorovému úřadu, tedy ÚOOÚ, a to ve lhůtě 72 hodin.

Správci se také budou muset technicky vypořádat s právy dotčených subjektů, mezi něž patří možnost vyžádat si informaci, jaké osobní údaje správce zpracovává. Subjekty mají právo na jejich opravu, pokud jsou nepřesné, a také mají právo být zapomenuty, tedy mohou požadovat výmaz osobních údajů, pokud správce nemá jiný právní důvod pro jejich zpracování. Zcela nové je právo na přenositelnost, tedy možnost přenést data ve strukturovaném strojově čitelném formátu od jednoho správce k druhému; uplatnění tohoto práva bude ale prakticky možné až po zajištění technické proveditelnosti takového přenosu.

Kdy a jak začít?

Začít je třeba bezodkladně, zajištění plného souladu může ve firmách trvat i déle než rok. I když všechno nestihnete, nevadí, v případě sporu s ÚOOÚ se každý krok počítá, a tak neopomeňte přijatá opatření a nastavené procesy zdokumentovat. Může to mít vliv na výši případné sankce.

Udělejte si inventuru osobních údajů, které zpracováváte a ověřte, zda pro každý typ zpracování máte právní důvod. Pokud je jediným právním důvodem předchozí souhlas subjektu, pak ověřte, že je i nadále platný – musí být svobodný, informovaný a udělený pro konkrétní účely. Pokud tomu tak není, vyžádejte si souhlas nový.

Zkontrolujte, zda se zpracování osobních údajů děje v souladu s právním důvodem. Protože mezi zpracování patří i prohlížení záznamů, dbejte na to, aby každý pracovník měl přístup jen k údajům, které potřebuje, např. systémem různých přístupových práv k datům. Dávejte pozor na data, která jsou nesprávně uložena, např. věk nebo rodné číslo v textové poznámce. Nedovolte, aby pracovníci ukládali citlivé údaje do tabulek nebo dokumentů mimo informační systém, aby takové soubory umisťovali mimo určené a zabezpečené úložiště, nebo aby dokonce takové soubory zálohovali a sdíleli na veřejných službách typu Ulož.to. Pro některé typy zpracování (např. pro sledování statistik) není nutné pracovat s původními daty, ale je možno je předem agregovat nebo anonymizovat.

Nakonec se zamyslete i nad infrastrukturou, na níž vaše aplikace běží. Jde především o problémy funkčnosti, spolehlivosti a hlavně bezpečnosti. Tyto otázky bude patrně řešit ve spolupráci s externími dodavateli a je na místě od nich již dnes požadovat, aby produkty a služby, které vám nabídnou, byly v souladu s požadavky GDPR.

Autor: Alexander Lichý