S blížící se účinností nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“, která nastane dne 25. 5. 2018, se musí správci i zpracovatelé zamyslet nad tím, jakým způsobem toto Nařízení implementovat do svého prostředí a jak mu přizpůsobit zpracování, které u nich probíhá. Nařízení sice nepřináší mnoho zásadní změn a úplně nových povinností, ale některé dosavadní povinnosti rozšiřuje, nebo je mírně posouvá jiným směrem, a mění tak jejich výklad.
Analýza jako součást implementace GDPR*
JUDr.
Eva
Janečková
Prvním krokem k tomu, aby bylo možné Nařízení implementovat, je udělat si přehled o tom, jak zpracování probíhá v současné době, zda u správce (zpracovatele) existují nějaké dokumenty, které by se věnovaly oblasti ochrany osobních údajů, například směrnice, bezpečnostní dokumentace, a jaký je jejich obsah. Jinak řečeno, je nutné provést analýzu. Tato analýza by měla mít několik fází.
1) První fáze – zjištění a vyhodnocení základních parametrů
V první fázi bude nutné zjistit a vyhodnotit základní parametry zpracování osobních údajů a jejich soulad s Nařízením. Půjde zejména o zjištění a popis:
a)
Kategorií osobních údajů a rozsah zpracovávaných údajů
– podle Nařízení je osobním údajem jakákoli informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Osobním údajem je tedy jakákoli informace, kterou lze vztáhnout ke konkrétní fyzické osobě, včetně jména, příjmení a bydliště, které díky rozsáhlému používání často nebývají považovány za údaje, na něž se vztahuje ochrana Nařízení.b)
Účelů zpracování
– účelem zpracování je účel, pro jaký jsou osobní údaje zpracovávány. Obvykle jím bývá každá konkrétní agenda
, například evidence řidičů, vydávání služebních průkazů, agenda
střetu zájmů, veřejný opatrovník.c)
Zákonného důvodu
– pro zpracování osobních údajů je vždy nutné najít některý ze zákonných důvodů, jak je uvádí článek 6 Nařízení. Patří mezi ně: –
subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů,
–
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
–
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
–
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
–
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
–
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Není možné provádět zpracování, které se neopírá o některý z těchto důvodů.
d)
Kategorií subjektů údajů
– je nutné si uvědomit, čí údaje jsou zpracovávány, jakých kategorií osob. Například účastníci řízení, žadatelé, smluvní strany, zaměstnanci, oznamovatelé.e)
Kategorií příjemců
– příjemcem je myšlena fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření, se za příjemce nepovažují.f)
Předávání osobních údajů do třetí země nebo mezinárodní organizaci.
g)
Doby uchování
– doba určená skartačním řádem, zákony nebo potřebou správce či zpracovatele.h)
Zdroje
– při analýze je také třeba si uvědomit, odkud pochází zpracovávané osobní údaje, kde byly získány, například přímo od subjektu údajů, od jiného správce, z veřejného registru.i)
Prostředků zpracování osobních údajů
– tedy způsob, jakým jsou osobní údaje zpracovávány. Povinnost určit prostředky zpracování je jednou ze základních povinností správce. Rozlišení prostředků zpracování je důležité pro následné vyhodnocování způsobu zabezpečení osobních údajů.V praxi se pro evidování těchto procesů nejlépe osvědčila excelová tabulka.
2) Druhá fáze – postavení subjektu a určení vztahu
Také druhá fáze zahrnuje několik kroků. Je nezbytné rozklíčovat postavení subjektu v každém účelu zpracování, tedy zda se nachází v postavení správce či zpracovatele. Zároveň je třeba určit, v jakém vztahu se nachází vůči subjektům, kterým jsou osobní údaje předávány:
–
správce x správce,
–
správce x zpracovatel.
Nařízení klade na správce přísné požadavky v případě, že se rozhodne zpracováním pověřit zpracovatele. Článek 28 Nařízení říká, že pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto Nařízení a aby byla zajištěna ochrana práv subjektu údajů. Dále je nutné uzavřít písemnou smlouvu mezi správcem a zpracovatelem, která musí obsahovat následující záruky zpracovatele:
a)
zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci,
b)
zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
c)
přijme všechna opatření požadovaná Nařízením ve vztahu k zabezpečení osobních údajů,
d)
dodržuje podmínky pro zapojení dalšího zpracovatele,
e)
zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,
f)
je správci nápomocen při zajišťování souladu s povinnostmi, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici,
g)
v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů,
h)
poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Každý správce, který má zpracovatele, bude muset zrevidovat smlouvy uzavřené s těmito zpracovateli a případně uzavřít dodatky, které budou zahrnovat všechny požadavky Nařízení. Zároveň musí dojít k identifikaci případného řetězení zpracovatelů.
3) Třetí fáze – posouzení obsahu souhlasu
Třetí fází je posouzení obsahu souhlasu. Parametry tohoto úkonu byly změněny poměrně rozsáhle, resp. byly značně rozšířeny, proto musí být posouzen soulad dosavadního znění s novými požadavky.
4) Čtvrtá fáze – plnění informačních povinností
Totéž platí i pro plnění informační povinnosti, které zahrnuje čtvrtá fáze. Povinnost poskytnout subjektu údajů informace na počátku zpracování zůstala zachována, byla však rozšířena. Proto musí každý správce posoudit, zda dosavadní způsob plnění informační povinnosti je dostatečný. Plnění této povinnosti je zvlášť důležité, neboť Nařízení si klade za cíl posílit postavení a práva subjektu údajů, což není možné bez důsledného plnění informační povinnosti.
5) Pátá fáze – posouzení rozsahu a efektivity přijatých opatření
V páté fázi je třeba se zaměřit na posouzení rozsahu, efektivity a úrovně přijatých technických a organizačních opatření při zpracování osobních údajů s cílem vyhodnotit úroveň zajištění jejich důvěrnosti, integrity a dostupnosti. V rámci tohoto kroku by měla být ověřena:
a)
prokazatelnost a úroveň provedení analýzy rizik,
b)
opatření v oblasti počítačové, fyzické a objektové bezpečnosti,
c)
úroveň a rozsah realizace politiky uchování a mazání/likvidace dat, zpracovávaných automatizovaně i v listinné podobě,
d)
úrovně odpovědnosti v rámci personálního obsazení,
e)
úrovně a rozsahu kontrolní činnosti směrem k zaměstnancům správce, zpracovatelům a dodavatelům.
Součástí musí samozřejmě také být posouzení rozsahu a úrovně dosavadní bezpečnostní dokumentace k ochraně osobních údajů.
Po provedení těchto kroků bude zřejmé, kde jsou největší nedostatky a rozpory s Nařízením, které osobní údaje by měly být zlikvidovány, jaké dokumenty je třeba aktualizovat nebo zcela nově vytvořit, kde jsou využívány nadbytečné souhlasy apod.
* Nová právní úprava v podobě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), která nabývá účinnosti dne 25. 5. 2018.