Kritický update: GDPR v roce 2021+
- Datum: 28.01.2021
- Autor: František Nonnemann
28. ledna si již řadu let připomínáme Mezinárodní den ochrany osobních údajů. I letos to jistě je vhodná příležitost na chvíli se zastavit a s odstupem zhodnotit aktuální vývoj praxe i právního výkladu GDPR a dalších předpisů. Neméně důležité je zamyslet se nad trendy, které se v ochraně osobních údajů projevují a které budou v následujících letech ovlivňovat celý trh.
Zaměření na detail
Výklad GDPR a souvisejících předpisů bude stále komplexnější a detailnější.
Jak jednotlivé dozorové úřady, tak Evropský sbor pro ochranu osobních údajů vydávají řadu metodik a výkladových stanovisek, které se příslušnými pravidly a postupy při zpracování dat zabývají ve velké míře detailu. Pro praxi tak může být obtížné udržet si celkový přehled, kam se výklad GDPR posouvá a jakým způsobem plnit požadavky dozorového úřadu a vyhnout se pokutě.
Jako příklady můžeme uvést podrobnou metodiku českého Úřadu pro ochranu osobních údajů k provádění dopadové analýzy, tzv. posouzení vlivu na ochranu osobních údajů, při přípravě nového nebo změně stávajícího zpracování dat.
Evropský sbor zase v nedávné době vydal výkladové stanovisko, jak řešit předávání osobních údajů mimo Evropskou unii po té, kdy Soudní dvůr EU zrušil tzv. Privacy Shield, nástroj pro bezpečné předávání dat do USA. Sbor se rovněž zabýval náležitostmi souhlasu podle GDPR nebo tím, jak posuzovat bezpečnostní incidenty, které z nich reportovat příslušným dozorovým úřadům a které oznamovat přímo dotčeným osobám.
Vysoké pokuty. Desítky milionů nejsou vyjímkou.
Řada evropských dozorových úřadů již začala využívat možnosti ukládat vysoké finanční sankce za porušení GDPR. Před dvěma měsíci jsme shrnuli ty nejznámější či nejdůležitější případy, ale evropské úřady nezahálely ani kolem Vánoc.
Dolnosaský dozorový úřad uložil výrobci elektroniky pokutu 10 a půl milionu euro za nepřiměřené a nedostatečně popsané a zdůvodněné sledování zaměstnanců ve skladu, švédský úřad zase vykonal kontrolu v osmi zdravotnických zařízeních a u sedmi z nich zjistil nedostatky při zpracování klientských dat. Celkem jim za to uložil pokuty ve výši 30 milionů švédských korun, v přepočtu zhruba 75 milionů českých korun.
Polský úřad uložil pokutu téměř půl milion euro za to, že místní telefonní operátor zabezpečení osobních údajů neřešil aktivně, sám neidentifikoval a neřídil rizika pro citlivé informace, ale pouze pasivně reagoval na zjištěné nedostatky.
Mezinárodní kontroly
GDPR úřadům pro ochranu dat z jednotlivých členských států umožňuje, aby při kontrole přeshraničního zpracování osobních údajů prováděly společné kontrolní aktivity a společně rovněž rozhodovaly o kontrolním nálezu a případné sankci.
Úřadům to chvíli trvalo, ale již i zde máme první vlaštovky: Irský úřad řešil pozdní ohlášení bezpečnostního incidentu společností Twitter. Pokuta, kterou irský úřad původně navrhl Twitteru uložit, byla na základě námitek regulátorů z dalších států, Německa, Francie, Rakouska, Španělska atd., zdvojnásobena na 450.000 euro.
A irský úřad nepolevuje: Před Vánoci dokončil kontrolu zpracování osobních údajů společnostní WhatsApp, která se týkala především informování uživatelů o zpracování jejich dat a získávání souhlasu. Irský komisař navrhuje konstatovat porušení GDPR a uložení pokuty v rozmezí 30-50 milionů euro, nicméně k jeho návrhu se budou opět vyjadřovat úřady z dalších členských zemí Evropské unie. Bude i tato pokuta nakonec uložena ve dvojnásobné výši?
Pro praxi z toho plyne především ten poznatek, že již nestačí znát jen praxi a výklad GDPR ze strany svého národního úřadu, protože jeho přístup může být při konkrétní kontrole či správním řízení ovlivněn či přímo změněn regulátory z dalších států.
Náklady na ochranu osobních údajů budou růst
Podle řady studií lze očekávat, že náklady na zajištění GDPR souladu a obecně ochrany informací budou celosvětově růst. Některé analýzy očekávají, že v následujících pěti letech se tyto náklady celosvětově vyšplhají přes 4 biliony amerických dolarů.
Důvodů pro tento růst je celá řada: Zvyšující se počet a úspěšnost kybernetických útoků, posilující regulace a aktivnější úřady, ale i zvyšující se povědomí klientů o tom, že jejich osobní data mají cenu a že se mohou u správců údajů efektivně domáhat svých práv.
Prostředky na compliance a řízení rizik budou pod tlakem
Jak nám historie ukázala, v případě ekonomického zakolísání či přímo krize jsou náklady na interní compliance a řízení rizik často pod tlakem. Tento tlak a snahu hledat úspory i při realizaci procesů pro zpracování osobních údajů můžeme s jistotou očekávat i v letošním roce a letech následujících.
Jak vyřešit protichůdné požadavky?
Shrňme si to: Výklad GDPR je stále složitější a komplexnější, pokuty vyšší a vyšší a o porušení GDPR a pokutě mohou rozhodovat i úřady, jejichž přístup moc neznáme. Z objektivních důvodů je nutné na ochranu dat vynakládat více prostředků, nicméně v praxi budeme dost často hledat úspory.
Jak z toho tedy ven?
Efektivním řešení může být využití některé z nástrojů od externího dodavatele, který se ochraně dat komplexně a dlouhodobě věnuje. Velkou výhodou je, pokud takový dodavatel má přesah i do dalších oblastí, jako je kybernetická bezpečnost, projektové řízení či ISO certifikace.
Jednat se může o následující produkty a služby:
Data Protection Officer (DPO), Data Protection Leader (DPL)
Řada organizací je povinna jmenovat Pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). GDPR správci i zpracovateli údajů ukládají povinnost zajistit, aby si DPO udržoval svoji kvalifikaci, znalost práva i praxe zpracování osobních údajů.
- Data Protection Officer (DPO)
- Data Protection Leader (DPL kurz pro absolventy DPO)
- Praktická příručka pro Pověřence ochrany osobních údajů
Pokud daná organizace provádí rozsáhlé zpracování dat, využívá citlivé údaje, např. o zdravotním stavu či biometriku, nebo se její činnost dotýká obyvatel více členských států Evropské unie, je vhodné pověřenci zajistit i hlubší znalosti řízení procesů spojených se zpracování osobních údajů, aktuální praxe úřadů z dalších států EU a výkladu soudů.
Pouze tak bude moci pověřenec skutečně důsledně plnit své úkoly a pomoci své organizaci k dosažení souladu s GDPR. A právě k tomu slouží nový kurz DPO Leader, ve kterém pověřenec, ale i další pracovníci zabývající se zpracováním či ochranou osobních údajů, získají větší vhled do celkového nastavení personal data governance, seznámení se s příklady best practice, ale i s tím, jak GDPR vykládají významné úřady z dalších zemí EU, v čem spatřují jeho porušení a jak tomu předcházet.
Obstojí vaše procesy při kontrole ÚOOÚ?
Na tom vám odpoví nové interaktivní semináře simulující kontrolu Úřadu pro ochranu osobních údajů. Při těchto seminářích budete muset bezprostředně reagovat na požadavky k doložení souladu s GDPR, rozhodovat o postupu, pokud některý dokument či proces neexistuje, diskutovat, jak pochybení rychle napravit a jako efektivně řídit celou kontrolu ÚOOÚ. Tyto poznatky je pak možné přenést i do dalších kontrolních aktivit, např. auditu od mateřské společnosti, due diligence atd.
V tuto chvíli jsou připraveny semináře na tři velmi aktuální témata:
Velký online obchod se náhle začal potýkat s velkým počet žádostí svých klientů o přístup k osobním údajům, o jejich výmaz či přenos jinam. Žádosti chodí poštou, elektronicky, řada klientů dorazí žádost podat osobně na výdejnu zboží.
Procesy nebyly nastaveny zcela ideálně, na některé žádosti je odpovídáno pozdě, na některé vůbec, a u dveří zvoní ÚOOÚ. Jak stav rychle napravit a v kontrole doložit, že k závažným systémovým pochybením nedošlo?
Ve středně velkém zdravotnické zařízení jednoho přestávají fungovat některé aplikace. Zanedlouho se ozývají média s tím, že nemocnice je údajně pod kybernetickým útokem a že klientská dat se již objevila na internetu.
Kdy a jak ohlásit tento bezpečnostní incident ÚOOÚ? Jaké další informace doplnit, jaká opatření přijmout, měla by nemocnice informovat i jednotlivé pacienty? To jsou přesně otázky, které je nutno vyřešit ještě před tím, než se na ně při zahájení kontroly zeptá sám ÚOOÚ.
Odpovědnost za dodržování GDPR v oblacích rozhodně nezmizí. A pokud se vaše společnost chlubí tím, že je zcela digitální a že cloudová řešení využívá prakticky ke všemu, nelze vyloučit, že se jí ÚOOÚ zeptá, jak se jí při tom daří dodržovat všechny povinnosti stanovené GDPR.
Ověřili jste dostatečně dodavatele cloudu? Byl s vámi ochotný uzavřít smlouvu, která odpovídá všem požadavkům GDPR? A neproudí náhodou vaše data mimo Evropskou unii? Přesně na to se vás ÚOOÚ bude ptát a vaše odpovědi budou opravdu důležité.
GDPR Accelerator Toolkit | UNLIMITED
Pro správné nastavení procesu k dosažení souladu GDPR, pro jejich ověření či dokumentaci i pro průběžnou kontrolu můžete využít řadu připravených a v praxi odladěných dokumentů, vzorů a šablon.
Dokumenty zahrnují všechny kroky nezbytné k dosažení, dokumentování a udržování požadovaného stavu. Zahrnují jak nástroj pro mapování rizik a pro vedení záznamů o zpracování, tak i šablony pro komunikaci se subjekty údajů či vzor smlouvy se zpracovatelem dat.
Kromě samotné dokumentace je však nově nabízena i online podpora! Dokumenty jsou sice připraveny tak, aby jejich implementace do prostředí konkrétní organizace byla snadná, praxe však může přinést některé specifické otázky, problémy či kritické okamžiky, kdy otázky související s pravidly a postupy pro zpracování dat dle GDPR efektivnější řešit individuálně.
Tato operativní podpora tak zahrnuje pomoc a poradenství jak s celkovým nastavením GDPR procesů, tak i při řešení nedostatků nebo slabin některých z nich, od doložení zákonnosti celkového zpracování, přes zajištění jeho transparentnosti včetně vyřizování podnětů subjektů údajů, proces řízení zpracovatelů osobních údajů, bezpečnostních incidentů a mnoho dalšího.