Praktický průvodce přípravou na GDPR: Část II. Analytická část projektu

GAP analýza slouží ke zjištění rozdílu mezi aktuálním stavem souladu s GDPR a tím stavem, jehož dosažení je dle GDPR nezbytné. V rámci dopadové analýzy jsou poté navržena opatření, která bude nutné přijmout za účelem odstranění rozdílů zjištěných v rámci GAP analýzy (viz níže).

Podstatou GAP analýzy je posoudit soulad současného stavu, který byl zjištěn v rámci mapování, s požadavky dle GDPR. Pravidelně je v analýze uváděn jak rozdíl mezi aktuálním stavem a nepodkročitelným minimem, tak rozdíl mezi aktuálním stavem a doporučovaným, právně bezpečným (nikoli však nadmíru zatěžujícím) stavem.

Nejčastějším důvodem nedostatečných GAP analýz je přitom právě nedostatečné zvládnutí předchozí fáze mapování. Obzvláště pokud se jedná o velké správce s velkým rozsahem zpracování, je náročnost mapování značná. Vzhledem ke složitosti fungování celého subjektu je přitom časté, že mapování provádí určená analytická společnost, zatímco GAP analýzu má posléze na starosti právní poradce. Problémem poté nejčastěji bývá to, že analytici nevědí, co přesně potřebuje právní poradce za informace k tomu, aby mohl provést komplexní a úplné posouzení souladu. Z tohoto důvodu je naprosto klíčové, aby byla analytická a právní část týmu kvalitně zkoordinovaná. Pokud je mapování provedeno kvalitně a podle požadavků právní části týmu, tak by se dalo říci, že polovina úspěchu je zaručena.

Další okolností, která může vést k neuspokojivým závěrům GAP analýz, je nedostatečné pochopení potřeb správce a mechanický přístup ke GAP analýze. Pravidelně například bude zjištěno, že získané souhlasy neodpovídají požadavkům GDPR. Při mechanickém přístupu ke GAP analýze může být správci jako GAP pouze indikována nedostatečnost souhlasů, jejíž řešení by následně (dle závěrů Dopadové analýzy) vyžadovalo, aby správce souhlasy upravil a získal znovu (tzv. přesouhlasil). Pokud však poradce detailně porozumí prováděnému zpracování, potřebám správce a implikacím vyplývajícím z GDPR, může v GAP analýze kromě nedostatečnosti souhlasů identifikovat i jejich nadbytečnost. Následně může poradce v dopadové analýze např. navrhnout, že namísto souhlasů lze užít titulu plnění smlouvy či oprávněného zájmu správce, čímž správci ušetří jak značné množství prostředků, které by jinak vynaložil na tzv. přesouhlasení, tak následné komplikace vyplývající z nadbytečného vyžadování souhlasů (souhlas „navíc“ není bezpečnější, naopak se jedná o porušení GDPR, za které lze uložit sankci). I zde tedy platí, že GAP analýze je nezbytné věnovat náležitou pozornost, jelikož její nesprávné provedení může vést (často zbytečně) k řádově náročnější implementaci.

Vzápětí po vytvoření GAP analýzy by měla být vytvořena tzv. dopadová analýza. Pravidelně je prováděna společně s GAP analýzou, nicméně pro účely jednoduššího porozumění jejímu obsahu ji zde uvádíme zvlášť. Cílem dopadové analýzy je navržení opatření, kterými budou odstraněny nedostatky zjištěné v GAP analýze, a identifikace jejich dopadů. Pokud užijeme příkladu uvedeného výše, pokud bude v GAP analýze indikována nadbytečnost souhlasu, měla by dopadová analýza jako návrh opatření uvést užití jiného právního titulu pro zpracování a jako konkrétní dopady vymezit například nutnost úpravy podmínek zpracování osobních údajů, interních procesů apod. Naopak pokud bude indikována nutnost , mělo by být v dopadové analýze uvedeno, jakým způsobem by měl být souhlas upraven, jak naložit se stávajícími údaji, jakým způsobem budou stávající zákazníci osloveni s požadavkem na obnovení souhlasu podle nových nároků dle GDPR apod.

V rámci přípravy na GDPR bude nutná také rozsáhlá úprava různé klientské dokumentace. Upraveny budou muset být nejrůznější obchodní podmínky, formuláře, prostřednictvím nichž jsou získávány osobní údaje, žádosti o aktualizaci osobních údajů, podmínky zpracování osobních údajů apod. V rámci dopadové analýzy by mělo být indikováno, co je potřeba změnit a jak.

Mělo by dojít také k posouzení, zda pro organizaci existuje povinnost jmenovat pověřence pro ochranu osobních údajů. k tomu, jak určit, jestli povinnost existuje, či nikoliv, vydala Pracovní skupina podle článku 29 a jejich český překlad lze nalézt na webových stránkách Úřadu pro ochranu osobních údajů (ÚOOÚ) v záložce „GDPR“. Pokud je v rámci tohoto posouzení zjištěno, že je pověřence nutné jmenovat, je potřeba v organizaci vytvořit tuto pozici, a to s ohledem na všechny nároky, které klade GDPR a také s ohledem na to, jaké by měl mít v organizaci pověřenec alokované prostředky. V ideálním případě by měl být v organizaci pověřenec přítomen již v této fázi, aby mohl posoudit, zda jsou navržená opatření s ohledem na soulad s GDPR dostatečná, či nikoliv.

Při sestavování dopadové analýzy je důležité mít na paměti některé nezbytné povinnosti, bez jejichž správného uplatnění již v této fázi by nebylo možné projekt úspěšně dokončit. První takovou povinností, jíž je možné označit za alfu a omegu souladu s GDPR, je na vhodné právní tituly, o kterých bylo krátce hovořeno již výše. Účel zpracování je základním pojmem, se kterým se pojí plnění mnoha dalších povinností dle GDPR. Vyjadřuje jednoduše to, proč jsou osobní údaje zpracovány. Jednotlivé účely je nutné definovat a následně o nich informovat subjekty osobních údajů. Na základě definovaného účelu je poté možné provádět takové operace zpracování, které jsou nezbytné pro jeho dosažení a které zároveň subjekt údajů na základě jemu sdělených informací může rozumně očekávat. Účel však nelze definovat vágně, jako například „nabízení produktů a služeb“ či „marketingové účely“. Ideální je naopak takovéto vymezení doplnit o podrobnější informace o konkrétních cílech konkrétního zpracování. Pokud bude sděleno subjektu údajů, že se jedná o „nabízení produktů a služeb“ a nic dalšího, je poměrně nepravděpodobné, že by pro takto definovaný účel mohly být prováděny pokročilé analytické činnosti prováděné např. s cílem personalizace nabídek. Pokud však bude tato definice rozšířena o další popis, ve kterém bude vysvětleno, že zpracování bude probíhat i z důvodů personalizace nabídek, využití účelu se tímto rozšíří.

Každý účel zpracování musí být následně . Nařízení umožňuje zpracování osobních údajů na základě vícera právních titulů, avšak ve většině případů je vhodné zpracovávat pro určitý účel osobní údaje na základě právě jednoho z nich.

Toto zpracování není prováděno pro plnění právní povinnosti, není ním chráněn životně důležitý zájem lidí na záznamu, ani se nejedná o zpracování v rámci plnění úkolu prováděného ve veřejném zájmu. Logicky tedy zbývá pouze možnost využití oprávněného zájmu.

Největší pochybnost v případě určování správných právních titulů pro zpracování může nastat mezi tím, jestli zvolit nebo jestli je nutné spoléhat na souhlas. je vzhledem k nárokům na jeho získání a k možnosti jeho odvolání při zpracování pro správce tou nejhorší volbou a spoléhat na něj by se mělo až tehdy, když je jasné, že žádného jiného právního titulu nelze využít. V případě, že není jasné, zda využít souhlasu, nebo oprávněného zájmu by tedy mělo dojít nejprve k provedení posouzení oprávněného zájmu a teprve pokud v rámci tohoto posouzení vyplyne, že oprávněný zájem převáží zájmy a základní práva a svobody subjektů údajů, by měl být zvolen souhlas se zpracováním. Výsledky tohoto „právního cvičení“ mohou být správci nuceni následně předložit na vyžádání ÚOOÚ, při jeho přípravě je tak vhodné obrátit se na zkušené poradce, kteří ze své praxe ví, co ještě lze oprávněným zájmem odůvodnit a co již nikoli.

Další velmi důležitou povinností, kterou je nutné vzít do úvahy v rámci dopadové analýzy, je . Dle této zásady je správce osobních údajů odpovědný za to, že zpracovává osobní údajů v souladu se základními zásadami pro zpracování, a zároveň je povinen být schopen doložit, že tomu tak skutečně je. Právě povinnost prokazovat soulad s GDPR je po administrativní stránce velmi náročná, obzvláště potom pro velké organizace či organizace závislé na vytěžování dat, jejichž zpracování bývají velmi rozsáhlá a různorodá.

Povinnost prokazovat soulad v případě kontroly ÚOOÚ znamená povinnost dokumentace všech relevantních procesů, které se dotýkají plnění některých povinností dle GDPR (i proto je řádné zmapování těchto procesů klíčové). Ilustrovat to lze na příkladu oprávněného zájmu, o kterém se již zmiňujeme výše. Na základě oprávněného zájmu lze zpracovávat osobní údaje pouze v případě, že nad tímto oprávněným zájmem nepřeváží zájmy a základní práva a svobody subjektů údajů. Pokud tedy přijde kontrola z ÚOOÚ, tak bude chtít, aby správce dokázal, že tyto oprávněné zájmy skutečně nepřevažují. Doložit to bude přitom možné pouze výše zmíněným , které by mělo být z praktických důvodů uchováno v . Tato zdánlivě nenápadná povinnost si proto bude vyžadovat komplexní dokumentaci všech opatření přijatých pro soulad s GDPR, všech posouzení (např. posouzení rizika zpracování), která je nutné dle GDPR provádět, ale např. také všech souhlasů se zpracováním, sdělovaných informací subjektům údajů a jejich verzích v čase apod.

Již v rámci dopadové analýzy by tedy mělo být u každého návrhu opatření pamatováno na to, že jeho provádění musí být řádně dokumentováno. V rámci tvorby compliance mechanismu je tak současně nezbytné navrhnout opatření, která zajistí, že potřebná dokumentace bude produkována i v rámci běžného chodu organizace.

Po dokončení GAP analýzy a dopadové analýzy je velký kus práce za vámi. Nyní vás čeká příprava konkrétních změn a jejich implementace.

V následujícím čísle rozebereme dopad specifických ustanovení GDPR na činnost podnikatelů. Věnovat se zde tak budeme např. zpracování zvláštních kategorií osobních údajů (citlivé údaje), problematice zabezpečení zpracování, institutu pověřence pro ochranu osobních údajů či předávání osobních údajů mimo Evropskou unii.

Předchozí část příspěvku:

Část I. Plánování projektu

Pokračování příspěvku:

Část III. Dopad některých povinností dle GDPR na činnost podnikatelů

Část IV. Shrnutí nejdůležitějších povinností

Zdroj: Odborný portál DAUC.cz, 2017.