Je co slavit? Den ochrany osobních údajů, aneb rok a půl s GDPR
- Datum: 24.01.2020
- Autor: František Nonnemann
Každoročně si 28. ledna připomínáme mezinárodní Den ochrany osobních údajů. Toto datum bylo vybráno proto, že právě 28. ledna roku 1981 přijal Rada Evropy takzvanou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů. Jednalo se o první právně závazný dokument upravující pravidla pro zpracování osobních údajů na evropském kontinentě.
Osobním údajem je každá informace.... Skutečně?
Ač od přijetí zmíněné Úmluvy letos uplyne již téměř 40 let, definice a principy, na kterých se tehdejší Rada Evropy shodla, stále přetrvávají. Osobním údajem je každá informace, která se týká konkrétního, určeného či určitelného člověka.
A co všechno je považováno za zpracování osobních údajů?
Za zpracování se považuje systematická činnost prováděná s osobními údaji pro dosazení určitého cíle, a mezi základní principy stále patří např. zásada zákonnosti zpracování, omezeného rozsahu dat či transparentnosti vůči dotčeném osobám.
Nové nařízení GDPR jako strašák na pokuty?
V několika posledních letech se téma ochrany osobních údajů dostalo daleko více do hledáčku odborné i laické veřejnosti. Stalo se tak především díky novému právnímu předpisu přijatému na úrovni Evropské unie: Obecnému Nařízení o Ochraně Osobních Údajů, které je i v našich krajinách známé pod anglickou zkratkou GDPR (General Data Protection Regulation).
Toto nařízení působilo do jisté míry jako jistý strašák i proto, že velmi výrazně zvýšilo možnou pokutu za protiprávní zpracování osobních údajů.
Do účinnosti GDPR mohla být v České republice uložena za porušení pravidel pro zpracování dat pokuta do výše 10 milionů korun. GDPR ovšem tuto horní hranici posunulo až na 20 milionů euro nebo 4 % z celosvětového obratu skupiny podniků, podle toho, která částka je v případě konkrétní organizace vyšší.
GDPR začalo být účinné v květnu roku 2018. Při příležitosti Dne ochrany osobních údajů jistě stojí za to si připomenout, co nám GDPR přineslo nového, říci si, jak se projevuje v praxi a zda splňuje očekávání, či u některých snad i obavy, které s ním byly spojené.
GDPR a implementace v ČR
GDPR bylo ve všech členských státech Evropské unie přímo účinné od 25. května 2018. S ohledem na jeho rozsah však všechny členské státy přijaly národní adaptační legislativu, jejímž cílem bylo usnadnit výklad a použití GDPR v rámci domácích právních řádů a upřesnit některé specifické aspekty. V případě České republiky byl však adaptačního zákon, bohužel, přijat až v březnu 2019 s účinností k 24. dubnu téhož roku, takže až o téměř celý rok později, než GDPR začalo být závazné.
Český zákon o ochraně osobních údajů
Na druhé straně můžeme konstatovat, že český zákon o zpracování osobních údajů toho zase až tolik nového či upřesňujícího nepřinesl. Za zmínku stojí např. určení věku, od kdy může člověk v online prostředí vyjádřit souhlas se zpracováním svých osobních údajů.
GDPR ponechalo na národních státech, aby tuto hranici, i s ohledem na své další vnitrostátní předpisy, stanovily v rozmezí 13 – 16 let. Některé státy využily spodní hranici, takže například ve Velké Británii, Belgii nebo v Dánsku je možné vyjádřit souhlas se zpracováním osobních údajů při poskytování online služeb již ve 13 letech. Naopak v Německu, Nizozemsku nebo Polsku byla tato hranice stanovena na 16 let. Česká republika zvolila hranici 15 let, stejně jako třeba Francie a Řecko.
A již na tomto případě si můžeme ukázat, že jednoho z cílů GDPR, jímž měla být větší harmonizace pravidel pro zpracování osobních údajů, nebylo dosaženo. Poskytovatel digitální služby zaměřené i na mladší osoby, jehož služba je dostupná ve více státech EU, totiž musí zjistit, jaká je v jednotlivých státech hranice pro možné udělení souhlasu a svoji službu podle ní uzpůsobit, což mu zjevně způsobí vyšší náklady.
Další z upřesnění, které český zákon přinesl, byla výjimka z povinnosti posuzovat dopad nového zpracování do soukromí dotčených osob (tzv. Data Protection Impact Assessment, DPIA) a posuzování, zda je možné osobní údaje zpracovávat i pro jiný účel, než pro který byly původně shromážděny.
Tyto výjimky se uplatní tehdy, pokud je dané zpracování organizaci uloženo zákonem jako povinnost. Jinak řečeno, každý zaměstnavatel je povinen vést personální evidenci a každý poskytovatel spotřebitelského úvěru je povinen ověřovat úvěruschopnost zájemce o jeho produkt.Protože se ale jedná o zákonem přímo uložené povinnosti, nemusí dotčené organizace provádět některé poměrně náročné administrativní úkony, jako je právě DPIA.
Ve všech ostatních případech, kdy správce připravuje nové zpracování osobních údajů, které může mít významný dopad do práv dotčených osob, např. zpracování rozsáhlých souborů dat, citlivých údajů, biometriky, využití nových technologií, zpracování osobních údajů zranitelnějších osob atd., je povinen DPIA procesem projít:
České specifikum: úplné zrušení pokut? Jak komu.
Třetím ze specifik českého zákona, které v tomto kontextu zmíníme, je úplné zrušení pokut pro státní správu i samosprávu. Český zákonodárce poněkud nekoncepčně, a zřejmě do jisté míry pod vlivem různých mýtů a polopravd, které o GDPR kolovaly, omezil možnost Úřadu pro ochranu osobních údajů (ÚOOÚ) potrestat za nesprávné zpracování, nedostatečné zabezpečení či zneužití osobních údajů ministerstva, další ústřední správní úřady, ale i kraje a obce.
A první důsledky této výjimky se již projevily. ÚOOÚ v srpnu loňského roku informoval o tom, že již na základě nového zákona musel upustit od potrestání veřejných subjektů, které při zpracování osobních údajů porušily právní předpisy. Jedním z nich bylo kupříkladu ministerstvo vnitra, které nesprávným systémovým nastavením umožnilo několik desítek tisíc neoprávněných přístupů do základních registrů obyvatel.
Ještě před účinností nového zákona mu za to byla ÚOOÚ uložena pokuta ve výši 1,1 milionu korun. Proti ní se však ministerstvo odvolalo (podalo rozklad), a protože mezitím nabyl účinnosti nový zákon, který již ukládání finančních sankcí veřejným subjektům neumožňuje, byl ÚOOÚ nucen pokutu zrušit.
Dlužno ale dodat, že ministerstvům, krajům či obcím i nadále mohou být ze strany ÚOOÚ uložena opatření k nápravě, např. povinnost omezit rozsah zpracovávaných údajů, zastavit zpracování, posílit zabezpečení či dokonce shromážděné osobní údaje zlikvidovat. A pro soukromé společnosti, firmy, žádné výjimky neplatí, ty v případě porušení GDPR budou čelit pokutě až do výše 20 milionů euro nebo 4 % z ročního obratu celého koncernu.
Základní novinky a přístup dozorových úřadů k GDPR
GDPR samo o sobě nepředstavovalo úplnou revoluci v právním rámci pro zpracování osobních údajů. Do velké míry se jednalo jen o upřesnění či rozvedení práv a povinností, které obsahovala už předchozí právní úprava. Důvodem výrazně většího zájmu veřejnosti tak byly zejména již opakovaně zmíněné sankce, které by za zvlášť závažné porušení GDPR hrozily.
Nějaké novinky však GDPR přeci jenom přineslo a evropské dozorové úřady, i český ÚOOÚ, již kontrolují, jak jsou u jednotlivých správců a zpracovatelů osobních údajů všechna pravidla dodržována. Zkusme vybrat ty nejdůležitější nebo nejproblematičtější body:
- Bezpečnost osobních údajů
- Certifikace a kodexy chování
- Zpracování biometrických údajů
- Porušení zabezpečení osobních údajů
- Práva dotčených osob a transparentnost zpracování
- Povinnost prověřovat zpracovatele osobních údajů a uzavřít s ním detailní smlouvu
- Povinnost správce být schopen doložit, že zpracovává osobní údaje v souladu s GDPR
Nepostačí tedy pouhé tvrzení či právní analýza nasvědčující tomu, že jeho činnost je legální, správce musí být schopen dokumentovat, že požadavky GDPR v praxi zavedl a že má zpracování osobních údajů pod kontrolou.
ÚOOÚ tak kupříkladu udělil pokutu ve výši 80.000 Kč jedné z největších bank působících v České republice za to, že u ní došlo ke zneužití osobních údajů jednatele jednoho z klientů k založení běžného retailového účtu bez vědomí dotyčného. ÚOOÚ konstatoval právě i to, že správce neměl dostatečně nastaveny procesy a kontroly proto, aby k takovýmto excesům nedocházelo. Protože však zneužití osobních údajů bylo prokázáno jen v jednom případě, a daná banka své pochybení v průběhu kontroly napravila, byla uložena jen takto poměrně nízká sankce.
GDPR rovněž upřesnilo pravidla pro využívání biometrických údajů, tedy např. informací o otisku prstu či dlaně, snímku sítnice nebo využití hlasové biometrie k identifikaci konkrétních osob. Pro zpracování těchto údajů platí přísnější pravidla a lze je zpracovávat obvykle jen tehdy, pokud je to správci uloženo zvláštním zákonem, nebo se souhlasem dotyčného člověka.
ÚOOÚ na toto téma provedl např. kontrolu u jedné z největších českých stavebních společností, která na některých pracovištích využívá technologii automatického rozpoznávání osob, tzv. facial recognition, pro zamezení přístupu nepovolaných zaměstnanců.
Protože kontrolovaný subjekt byl schopen doložit, že ostatní opatření k zamezení přístupu neoprávněných osob nevedla ke stanovenému cíli, a že dokonce v důsledku toho v nedávné době došlo k vážným pracovním úrazům způsobeným tím, že některé kvalifikovanější práce prováděly osoby bez patřičného zaškolení, ÚOOÚ konstatoval jedná se v tomto případě o zpracování nezbytné k plnění povinností vyplývajících z pracovně právních předpisů.
Naproti tomu při kontrole další banky ÚOOÚ uvedl, že touto bankou nasazené tzv. biometrické podpisy nemají jasně stanovený účel, pro který je banka využívá, a jejich zpracování tudíž není legální. Proto bylo této bance nařízeno, aby tento způsob zpracování biometrických údajů zastavila a byla jí uložena sankce ve výši 250.000 Kč.
---
GDPR rovněž upravuje řadu práv osob, jejichž údaje jsou zpracovávány. Patří mezi ně zejména právo na přístup k osobním údajům, aby dotčená osoba věděla, jaká její data jsou zpracovávána a mohla se případně proti zpracování bránit, v některých případech právo na výmaz některých osobních údajů či právo na námitku. Souvisejícím tématem je povinnost správce aktivně informovat veškeré dotčené osoby o zpracování jejich dat, ať už údaje získá od nich či z jiného zdroje.
---
Pokuta 50 milionů € pro Google za porušení transparentnosti
A právě za porušené pravidel transparentnosti uložil francouzský úřad pro ochranu osobních údajů (Commission Nationale de l'Informatique et des Libertés , CNIL) již v lednu 2019 společnosti Google pokutu ve výši 50 milionů euro.
CNIL konstatoval, že informace pro uživatele služeb společnosti Google o tom, jak jsou jejich osobní údaje zpracovávány, za jakým účelem, zda dochází k jejich profilování a předávání dat dalším subjektům atd., jsou krajně nepřehledné, komplikované a uživatelé prakticky nemají možnost se k zásadním informacím dostat.
Polský dozorový úřad pak právě za nesplnění informační povinnosti uložil sankci v přepočtu ve výši 5 a půl milionu korun společnosti, která dále zpracovávala veřejně dostupná data o fyzických osobách, zejména živnostnících.
Na druhou stranu, i poskytování informací o zpracování osobních údajů, resp. vyřizování všech podnětů dotčených osob, má svoje pravidla a správci musí věnovat patřičnou pozornost tomu, aby nedošlo ke zpřístupnění informací neoprávněné osobě nebo k jinému zásahu do práv subjektu údajů. Svoje o tom ví německý telekomunikační operátor 1&1 Telecom GmbH, který měl procesy pro vyřizování žádostí svých klientů nastaveny špatně, osobní údaje poskytoval i neoprávněným osobám a od německého federálního úřadu pro ochranu dat za to dostal pokutu ve výši 9.550.000 euro, tedy téměř 240 milionů korun.
Pokud se organizace, tedy správce osobních údajů, rozhodne, že část zpracování pro ni bude provádět někdo jiný, např. poskytovatel cloudu, externí správce aplikace či databáze, účetní nebo společnost zajišťující zpracování dat, jejich archivaci či likvidaci, musí věnovat pozornost i dalším částem GDPR.
Správce totiž musí mít nastaven a dokumentován systém, kterým si své případné dodavatele ověřuje. S každým zpracovatelem je potom povinen uzavřít písemnou smlouvu, která musí obsahovat všechny náležitosti uvedené v GDPR, např. i povinnost zpracovatele využívat ke zpracování další dodavatele jen se souhlasem správce, podílet se na vyřizování podnětů subjektů údajů, informovat správce o bezpečnostních incidentech s možných dopadem na osobní údaje a umožnit správci audit celého zpracování, včetně kontroly na místě.
Neuzavření smlouvy se zpracovatelem vedlo například polský úřad pro ochranu osobních údajů k tomu, že jedné z polských veřejných institucí uložila pokutu ve výši zhruba 240.000 korun spolu s povinností do 60 dní dané pochybení napravit a uzavřít příslušnou smlouvu o zpracování osobních údajů.
Ověření dodavatele a vyjednání komplexní smlouvy sice může být časově náročnější
Ale znamená větší kontrolu nad prováděným zpracováním, posílení postavení správce údajů i zajištění souladu s GDPR. U některých subjektů se potom požadavky GDPR na ověření zpracovatele a na zpracovatelskou smlouvu do velké míry překrývají s požadavky specifické sektorové legislativy, například zákona o kybernetické bezpečnosti nebo požadavků na outsourcing ve finančním sektoru atd. V takovém případě správně nastavený proces ověření dodavatele a vhodně vyjednaná smlouvy mohou přispět k zajištění splnění požadavků více právních předpisů a zefektivnění činnosti povinného subjektu.
Velkým tématem je v poslední době zabezpečení osobních údajů, zejména v online světě
V České republice jsme byli nedávno svědky útoku na nemocnici v Benešově, který ji na řadu týdnů vyřadil z provozu. V zahraničí pak pozornost přitahují zejména velké úniky dat, za které mohou dostat skutečně vysoké pokuty, jako je případ letecké společnosti British Arways, které za masivní únik dat půl milionu klientů hrozí sankce až do výše 183 milionů britských liber (téměř pět a půl miliardy českých korun), nebo případ hotelového řetězce Marriott, které mu za neméně významný únik osobních údajů jeho klientů hrozí pokuta až 99 milionů liber (téměř tři miliardy korun).
V případě hotelů Marriott jsou velmi zajímavé i skutkové okolnosti: K předmětnému úniku dat došlo v důsledku toho, že řetězec Marriott koupil jinou hotelovou společnost (Starwood) a převzal i její online rezervační systém, který však měl vážné technické mezery. Právě v jejich důsledku pak došlo k úniku dat. Britský dozorový úřad, který celou věc vyšetřuje, konstatoval nedostatečné prověření (due diligence) kupované společnosti.
Zabezpečení se však netýká jen osobních údajů zpracovávaných pomocí informačních technologií, ale i klasických, papírových dokumentů.
Lékárně z jednoho londýnského předměstí již byla uložena pokuta ve výši 275.000 liber (cca 8 milionů korun) za to, že fyzickou dokumentaci svých klientů, která z podstaty věci obsahuje i citlivé údaje o jejich zdravotním stavu, uchovávala v nedostatečně zabezpečeném úložišti, přesněji řečeno v nezamčených skříních za lékárnou. Úniky dat či jiné případy jejich nedostatečného zabezpečení se však samozřejmě odehrávaly a odehrávají i jinde, než jenom ve Velké Británii.
Za všechny známější případy jmenujme portugalskou nemocnici, které byla již před více než rokem za nedostatečné zabezpečení osobních uložena pokuta 400 tisíc euro (zhruba 10 milionů korun), či případ nebankovního poskytovatele finančních služeb se sídlem v Litvě, který za nedostatečné zabezpečení osobních údajů a neoznámení bezpečnostního incidentu od tamního dozorového orgánu dostal pokutu ve výši v přepočtu zhruba ve výši 1,5 milionu korun. O co jde pojednává tento workshop:
GDPR všem správcům osobních údajů ukládá, aby interně nastavili pravidla pro zjišťování a řešení incidentů s dopadem na osobní údaje (jejich únik, neoprávněné zveřejnění, zničení, ztráta atd.). Každý incident musí být posouzen i s ohledem na rizika pro práva dotčených osob. Incidenty, kde toto riziko není nízké, pak musí daný správce do 72 hodin oznámit ÚOOÚ. V případě incidentu, který je pro dotčené osoby (klienty, zaměstnance atd.) vysoce rizikový, musí být vyrozuměny i ony spolu s doporučením, jak mají ochránit své zájmy, např. nastavit si nové heslo v dotčené aplikaci atd.
Je zajímavé, že počty oznámených případů porušení zabezpečení osobních údajů se v jednotlivých členských státech velmi liší.
Zřejmě z důvodu odlišné kultury a společenského vnímání této povinnosti tak například v Nizozemí bylo jen za prvních osm měsíců od účinnosti GDPR, tzn. května 2018 do ledna 2019, oznámeno celkově 15.400 incidentů, v Německu 12.600 a v Irsku 3.800. Naproti tomu v České republice bylo ve stejném období ÚOOÚ doručeno pouze 290 oznámení a v období od května 2018 do listopadu 2019 celkově 640 oznámení o bezpečnostním incidentu s dopadem na osobní údaje.
Snahou evropského zákonodárce bylo v oblasti ochrany osobních údajů posílit rovněž prvky seberegulace, jinak řečeno umožnit správcům i zpracovatelům, aby veřejně demonstrovali svůj soulad s GDPR a tím posílili svoji pozici jak vůči dotčeným osobám, jejichž údaje zpracovávají, tak vůči svým obchodním partnerům, klientům i dozorovým úřadů. Nástroji pro toto dobrovolné dokládání souladu mají být především certifikace systémů pro zpracování osobních údajů či jednotlivých produktů, a dále kodexy chování, které mají v jednotlivých sektorech, např. zdravotnictví, pojišťovnictví, energetice, u poskytovatelů cloudových služeb či bezpečnostních služeb, nastavit detailnější pravidla, jak GDPR v daném odvětví aplikovat.
Bohužel však tyto nástroje zatím v praxi nejsou příliš využívány. V České republice dosud nebyl schválen ani jeden kodex chování. V oblasti certifikace potom dosud ani nejsou jasně určená kritéria, kdo by mohl certifikaci udělovat, komu a za jakých podmínek. Tuto mezeru do jisté míry kompenzuje nová ISO norma ISO/IEC 27701, která byla zveřejněna v srpnu roku 2019. Tato norma je rozšířením ISO řady 27000, jež obecně upravuje systém řízení bezpečnosti informací (Information Security Management System, ISMS), a upřesňuje, jak pravidla pro ochranu informací uplatnit, pokud mají být chráněny i osobní údaje, např. v režimu GDPR.
Další poznatky z praxe
S blížící se účinností GDPR, zejména tedy v letech 2017 a na počátku roku 2018, byla veřejná diskuse o tomto novém předpisu v České republice místy poněkud nevěcná a hysterizující. Jistě si všichni vzpomeneme na případy zákazů vyvěšování školních výkresů na nástěnkách či zákazu podepisovat bačkůrky dětí ve školkách, protože „to zakazuje GDPR“.
Paradoxní je rovněž skutečnost, že ač GDPR umožňuje zpracovávat osobní údaje na základě řady právních titulů, kdy lze osobní údaje legálně zpracovávat, jako je plnění smlouvy, právní povinnost či oprávněný zájem správce, a souhlas do jisté míry upozaďuje, v českém odborné, či spíše neodborné diskusi a v části praxe se GDPR projevilo shromažďováním nových, velmi dlouhých, velmi detailních a často zcela zbytečných souhlasů.
Ale abychom nepodléhali sebemrskačství, poněkud přepjatý přístup k aplikaci GDPR můžeme sledovat i v některých dalších státech. Kupříkladu u našich jižních sousedů, v Rakousku, ba přímo v rakouské metropoli Vídni, došlo k tomu, že největší bytové družstvo vlastnící a spravující několik stovek tisíc bytů, nařídilo odstranit ze zvonků jednotlivých bytů jména jejich obyvatel, opět „kvůli GDPR“.
Pokud se však na zpracování osobních údajů a aplikaci GDPR podíváme věcněji, najdeme několik základních prvků, které je každá organizace povinna ve svém prostředí uplatnit, samozřejmě s ohledem na svoji velikost a na rizikovost zpracování osobních údajů, které provádí.
- Mít přehled o zpracování osobních údajů a nastavit celkovou kontrolu
- Dokumentovat postupy při zpracování osobních údajů
- Jmenovat pověřence pro ochranu osobních údajů
Jak je výše uvedeno, správce i zpracovatel osobních údajů musí být schopen doložit, že má zpracování osobních údajů pod kontrolou, ví, jaké osobní údaje zpracovává a za jakých účelem, ví a je schopen doložit, jak plní jednotlivé povinnosti upravené v GDPR a má nastaveny i přiměřené kontroly.
GDPR Dokumentace
Správce i zpracovatel osobních údajů musí svoje interní pravidla pro zpracování osobních údajů, např. dobu jejich uchování, postup pro jejich likvidaci, procesy pro vyřizování práv dotčených osob atd., také řádně dokumentovat. Dokumentace je totiž jedním z hlavních nástrojů, jak organizace může soulad s GDPR doložit.
Pověřenec ochrany osobních údajů
Povinnost jmenovat pověřence pro ochranu osobních údajů, tedy pracovníka, který kontroluje soulad činností správce či zpracovatel s požadavky GDPR a je kontaktním místem pro subjekty údajů i ÚOOÚ, nedopadá na všechny. Pověřence musí povinně jmenovat ti správci či zpracovatelé, kteří provádějí rozsáhlé zpracování dat, např. banky, pojišťovny, telekomunikační operátoři, provozovatelé monitorovacích či sledovacích systémů, online aplikací, marketingových nástrojů nebo cloudových řešení, dále ti, kteří provádějí rozsáhlé zpracování citlivých údajů, např. o zdravotním stavu nebo biometriky, a rovněž veřejné úřady a samospráva.
Nejmenování pověřence subjektem, který to má jako povinnost, může samo o sobě být důvodem pro uložení sankce. Za všechny případy jmenujme rakouský úřad, který uložil pokutu ve výši 55 tisíc euro (téměř 1.400.000 korun) správci působícímu ve zdravotnictví za to, že ani šest měsíců po účinnosti GDPR nejmenoval pověřence pro ochranu osobních údajů.
I pro ty správce či zpracovatele, kteří nejsou přímo povinni pověřence pro ochranu osobních údajů ve smyslu GDPR formálně jmenovat, lze jistě doporučit, aby určili pracovníka odpovědného za agendu ochrany osobních údajů. Jmenováním pověřence, či další osoby odpovědné za řádné zpracování osobních dat, však povinnosti správce nekončí. Je totiž jeho odpovědností, aby do pozice pověřence jmenoval takovou osobu, která k tomu má dostatečné kvalifikační předpoklady, tzn. především znalost práva i praxe týkající se zpracování osobních údajů, a aby pověřenci zajistil možnost dalšího profesního vzdělávání, sledování trendů a prohlubování jeho kvalifikace.
Institut pověřence pro ochranu osobních údajů je v českém prostředí, na rozdíl třeba od našich sousedů v Německu či na Slovensku, zcela nový. Je proto potěšitelné, že ti, kteří danou funkci zajišťují a musí mnohdy poměrně obtížně principy a pravidla GDPR v jednotlivých organizacích prosazovat, mohou být alespoň ve své odborné komunitě oceněni.
Spolek pro ochranu osobních údajů
Sdružuje profesionály zabývající se zpracováním dat a pověřence pro ochranu osobních údajů, v roce 2019 vyhlásil první ročník Pověřence pro ochranu osobních údajů roku. Za účasti české eurokomisařky Věry Jourové a předsedkyně ÚOOÚ Ivany Janů bylo oceněno několik pověřenců ze soukromého sektoru i z prostředí samosprávy. V tuto chvíli je otevřeně nominace na ocenění v druhém ročníku, za rok 2019, a probíhá až do 15. února letošního roku: https://www.dporoku.cz
Nastavení a dokumentování pravidel pro zpracování osobních údajů zajistí nejen možnost účinně doložit soulad s požadavky GDPR, ale může mít i řadu dalších pozitivních dopadů. Kromě zvýšení efektivity zpracování osobních údajů a narovnání některých procesů, může být klíčové i pro správné nastavení pravidel a doložení souladu v některých oblastech upravených dalšími právními požadavky.
Jako typický případ můžeme uvést specifická pravidla pro monitorování zaměstnanců se specifickou úpravou v zákoníku práce, jejichž dodržování monitoruje Státní úřad inspekce práce, či pravidla v oblasti kybernetické bezpečnosti. Doložení dodržování GDPR a dalších předpisů týkajících se zpracování osobních údajů je také významným tématem při obchodních jednáních o akvizici společnosti, tzv. due diligence.
Výhled do budoucna?
Rok a půl s GDPR je za námi, mnoho dalších naopak před námi. Proč mu však vůbec, po prasknutí oné GDPR bubliny, ještě věnovat pozornost? Řada společností do zavádění GDPR investovala nemalé částky, ale vysoká pokuta u nás dosud nepadla. Nejedná se tedy již o poněkud omšelé téma?
Domnívám se, že rozhodně ne, a to z několika důvodů.
Osobní údaje, resp. informace obecně, jsou velmi důležitou součástí současné ekonomiky i politiky. Jejich cena vzrůstá a s ní roste i počet pokusů o jejich zneužití. Správné nastavení pravidel pro zpracování osobních údajů a jejich zabezpečení tak není jenom způsobem, jak se vyhnout pokutě, žalobě či reputačnímu riziku, ale i způsobem, jak ochránit zásadní majetek každé společnosti a důvěru jejích klientů a zaměstnanců.
Je skutečností, že zatímco český ÚOOÚ k vysokým pokutám nesáhl, v dalších členských státech EU se tak již stalo, včetně některých našich sousedů. Dodejme, že GDPR mimo jiné zavádí společné kontroly dozorových úřadů, které se také musí společně dohodnout, jakou sankci a v jaké výši za případné porušení GDPR uloží.
Jestliže je určitý správce součástí mezinárodní skupiny, resp. podílí se na přeshraničním zpracování osobních údajů, není pro něj relevantní jen rozhodovací praxe českého úřadu, ale i úřadů z dalších zemí EU. A ty, jak jsme si ukázali výše, již po výrazně vyšších pokutách sáhly.
A neposledním z důvodů je skutečnost, že jak právní rámec pro zpracování osobních údajů, tak i jeho výklad se neustále vyvíjí. Na úrovni Evropské unie se již několik let připravuje nařízení o ochraně soukromí v elektronických komunikacích, které má mj. výrazně upravit pravidla pro využívání cookies a dalších online nástrojů.
Evropský sboru pro ochranu osobních údajů, který sdružuje úřady pro ochranu dat z jednotlivých členských států, vydává řadu stanovisek a vodítek, jak určité prvky z GDPR aplikovat. Vydal už například vodítka k místní působnosti GDPR, ke zpracování osobních údajů na základě smlouvy v online prostředí či ke zpracování dat prostřednictvím kamerových systémů.
A nezahálí ani Soudní dvůr Evropské unie a české soudy, které se k aplikaci předpisů pro zpracování osobních údajů vyjadřují sice v jednotlivých případech, ale obvykle s velkým dopadem na praxi.
Pokud si tudíž chceme být jistí, že jsou osobní údaje našich klientů i zaměstnanců v bezpečí a že se naše organizace nevystavuje riziku vysoké pokuty, věnujme tématu GDPR i nadále pozornost. Jde o téma tak dynamické, jak dynamický je vývoj technologie i celé naší společnosti.
František Nonnemann