Změny v zabezpečení osobních údajů v GDPR

V tomto příspěvku se budeme zabývat zejména novou právní úpravou GDPR.¹⁾

Povinnost zajistit bezpečnost osobních údajů patří nepochybně mezi základní a podstatné povinnosti, které je třeba důsledně plnit při zpracování osobních údajů. Důraz na tuto povinnost dává i zákon o ochraně osobních údajů.

Povinnost zabezpečit osobní údaje vyplývá z § 13 zákona o ochraně osobních údajů. Tento paragraf je prvním z bloku, jenž nese název „Povinnosti osob při zabezpečení osobních údajů“. Účelem tohoto bloku (zahrnuje § 13–15) je zabezpečení jakéhokoli nakládání s osobními údaji. Bezpečné zpracování osobních údajů má pak nutně za následek jednak bezpečnost dat samých, především však zajišťuje ochranu subjektu těchto údajů, resp. jejich soukromí, tzn. primární účel právní úpravy.

Ustanovením § 13 zákona o ochraně osobních údajů je stanovena obecná povinnost správců a zpracovatelů osobních údajů chránit osobní údaje, a to jak před úmyslným jednáním, tak i nedbalostním, stejně tak jako proti působení přírodních a jiných událostí (povodně, požáry, zemětřesení apod.), které by mohlo způsobit zneužití osobních údajů. Protože povinnost je stanovena absolutně, je možno přijmout závěr, že ochrana osobních údajů je podmínkou pro jejich zpracování. Povinnost platí nejen po dobu zpracování osobních údajů, ale i po jejím ukončení, v zákoně o ochraně osobních údajů není stanovena žádná časová hranice.

Rámec pro řádné plnění povinnosti přijmout bezpečnostní opatření je určován především prostředky a způsobem zpracování osobních údajů. Ty zpravidla určuje z vlastního rozhodnutí sám správce. Jeho rozhodnutí, které vychází z jeho vlastních lidských, finančních, prostorových atd. možností, tak vytváří základní prostor pro bezpečnostní opatření. Bezpečnostní opatření při zpracování osobních údajů musí zajistit, s ohledem na odbornou úroveň a náklady na jejich provedení, odpovídající úroveň bezpečnosti v souvislosti s riziky vyplývajícími ze zpracování údajů a z povahy údajů, které mají být chráněny. Bezpečnostní opatření mají být přiměřená charakteru zpracovávaných osobních údajů. Přijímaná bezpečnostní opatření musí být účinná jak vůči úmyslnému nebo nedbalostnímu jednání, tak i vůči působení dalších činitelů.²⁾

Protože zákon o ochraně osobních údajů předpokládá při ochraně osobních údajů jistou komplexnost a prevenci, musí každý, kdo pracuje s osobními údaji, vyhodnotit rizika i v širších rámcích.

Správce a zpracovatel osobních údajů tedy odpovídají podle zákona o ochraně osobních údajů za provedení náležitých opatření vylučujících rizika spojená s předmětným zpracováním osobních údajů, přičemž tato jejich odpovědnost je odpovědností objektivní, tedy odpovědností za následek jednání či opominutí (za protiprávní stav). Součástí této prevence je také to, že je třeba chránit nejen osobní údaje jako takové, ale i jejich nosiče a technologie, na nichž jsou zpracovávány. Je nutné dodat, že vhodná opatření pro zabezpečení ochrany osobních údajů je nezbytné přijmout nejen ve vztahu k běžným činnostem správce či zpracovatele osobních údajů, ale také zvláště pro každou ojedinělou operaci s osobními údaji, resp. s jejich nosiči, která vybočuje z běžného rámce zpracovávání těchto údajů, jako je např. skartace písemností uchovávaných v archivu.³⁾

Za tímto účelem je správce osobních údajů povinen, a to v podstatě ještě před započetím zpracování osobních údajů, vyhodnotit všechna rizika zamýšleného zpracování a přijmout a následně i v praxi provést jim odpovídající opatření. Při výběru typu bezpečnostního opatření je nutné zohlednit způsob zpracování osobních údajů a prostředků zpracování, i objem a charakter zpracovávaných údajů. Správce a zpracovatel tak mají do jisté míry volnost v tom, jaký způsob, podoba, forma atd. ochrany jsou podle nich adekvátní.

Zákon o ochraně osobních údajů současně stanoví obecnou povinnost zpracování a dokumentování bezpečnostních opatření a provedených technickoorganizačních opatření k zajištění ochrany osobních údajů. Nejběžnější pravděpodobně bude použití vnitřní řídicí nebo organizační normy, popř. speciální bezpečnostní normy vztahující se obecně k ochraně informací nebo osobních údajů. Tyto normy však mohou být větším či menším způsobem specializovány. Dohromady však vždy musí činit uzavřený komplex a samozřejmě musí platit, že jsou závazné, a také by mělo být prokazatelné, že s nimi příslušné osoby byly seznámeny.

Nová právní úprava ochrany osobních údajů obsažená v nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které nabude účinnosti 25. května 2018, dosavadní úpravu popsanou výše obsahuje také, ale značným způsobem ji rozšiřuje.

Povinnost zabezpečit osobní údaje je obsažena už v základních zásadách. Týkají se jí především zásada integrity a důvěrnosti a zásada odpovědnosti. Podle článku 5 odst. 1 písm. f) nařízení musí být osobní data zpracovávána způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

Podle článku 5 odst. 2 nařízení správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“). Odpovědnost správce je pak dále zpřesněna v článcích 24 a 25. Podle těchto ustanovení má správce povinnost zavést s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace,⁴⁾ jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů. Správce má dále zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.⁵⁾

Nařízení tedy obsahuje zcela stejnou povinnost jako zákon o ochraně osobních údajů v § 13. Tuto povinnost však zpřesňuje a rozšiřuje, a klade tak na správce větší nároky. Správce osobních údajů má nejen zavést odpovídající technická a organizační opatření, ale je také povinen tato opatření pravidelně kontrolovat, aktualizovat a revidovat. Tuto činnost by měl být schopen doložit. Důraz je tak kladen na větší aktivitu ze strany správce a důkazní břemeno a splnění těchto povinností bude během případné kontroly ležet především na něm.

Technická a organizační opatření mají zajistit nejen bezpečnost zpracování samotných údajů, ale také dodržování dalších povinností, jako je např. minimalizace osobních údajů.⁶⁾ To vyplývá mimo jiné i z recitálu 78, podle něhož je pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky.

Podle recitálu 39 by osobní údaje měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití. K zabezpečení se dále vyslovuje recitál 83, podle něhož by v zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, např. šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

Zabezpečení osobních údajů je upraveno v článku 32, který uvádí, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

Nařízení tedy jednoznačně stanoví to, co bylo u zákona o ochraně osobních údajů pouze dovozováno. A to, že při výběru typu bezpečnostního opatření je nutné zohlednit způsob zpracování osobních údajů a prostředky zpracování, i objem a charakter zpracovávaných údajů.

Nařízení zároveň uvádí příklad toho, co považuje za nejbezpečnější a nejvhodnější opatření.

Obecné nařízení však neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Naopak, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje se nařízení výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povahy, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Šifrování je uvedeno jako jedno z vhodných opatření („případně včetně /…/ šifrování osobních údajů“). Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.⁷⁾

Kroky uvedené v nařízení jsou bezpečnostním prvkem, který v některých případech může správci zlepšit jeho postavení v případě úniků údajů, jelikož v takovém případě se na něj nemusí (v závislosti na případu, neznamená to, že pokaždé) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp. jej oznamovat subjektu údajů.⁸⁾

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými nařízením, je dodržování schváleného kodexu chování nebo uplatňování schváleného mechanismu pro vydávání osvědčení. Správce a zpracovatel také musí přijmout opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

Je vhodné dodat, že „porušením zabezpečení osobních údajů“ nařízení chápe porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Porušením zabezpečení je tedy jak nahodilé jednání, tak úmyslné, stejně tak jako tomu je v zákoně o ochraně osobních údajů.

Úplnou novinku přinášejí články 33 a 34 nařízení. Jedná se o povinnost ohlašovat případy porušení zabezpečení osobních údajů (tzv. ). Tato myšlenka pochází z USA, ale ani v České republice není neznámá. Tato povinnost je již obsažena v zákoně č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.⁹⁾

První povinnost při vzniku bezpečnostního incidentu vzniká směrem k Úřadu pro ochranu osobních údajů jakožto dozorovému úřadu. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci. Nařízení také stanoví minimální obsah ohlášení. Musí přinejmenším obsahovat:

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. Správce musí dokumentovat veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.

V případě, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, musí správce bezpečnostní incident nahlásit nejen dozorovému úřadu, ale také ­přímo subjektu údajů.

V oznámení určeném subjektu údajů se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené výše pod písm. b), c) a d).

Oznámení subjektu údajů se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví).

Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku. Porušení zabezpečení se tak musí provést komplexně, nikoli izolovaně, a vyšlé riziko následně určí eventuální povinnost oznámit porušení zabezpečení Úřadu pro ochranu osobních údajů nebo i oznámit vše subjektu údajů.¹⁰⁾

Recitály 85 a 86 toto dále upřesňují, když konstatují, že není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako jsou ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (např. donucovacích orgánů). Např. v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta.

Z výše uvedeného je zřejmé, že povinnost zabezpečit osobní údaje není žádnou novinkou. Nařízení v mnoha ohledech kopíruje směrnici 95/46/ES a zákon o ochraně osobních údajů. Stanoví však tuto povinnost šířeji a precizněji, popisuje jednotlivé součásti této povinnosti hlouběji a vyžaduje od správce osobních údajů větší aktivitu.