Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) je strašák, který obchází české podnikatelské prostředí již od jara 2016, kdy vstoupilo jeho definitivní znění v platnost. Od té doby běží dvouletá přechodná doba končící v květnu roku 2018, během které mají všichni podnikatelé čas na to, aby se na plnění nových povinností řádně připravili. Momentálně zbývá do konce této doby zhruba půl roku a přípravy by již měly probíhat v plném proudu. Přesto jsou však jistě tací, kteří s přípravami otáleli a nyní neví, jak s nimi začít, nebo si nejsou jistí, na co se při přípravách zaměřit. Proto jsme pro vás připravili tuto sérii článků, která vám pomůže rychle se v problematice zorientovat, vhodně naplánovat projekt a pochopit nejdůležitější změny, které GDPR přináší.
Praktický průvodce přípravou na GDPR: Část III. Dopad některých povinností dle GDPR na činnost podnikatelů
Mgr.
Michal
Nulíček,
LL.M.,
CIPP/E
V prvním článku ze série (uveřejněném v DaP č. 11/2017 na s. 51) jsme se věnovali obecnému rozložení projektu, tedy tomu, jak by měl být projekt zahájen, jak by měl být rozdělen a čeho by měly jeho jednotlivé fáze docílit. V druhém článku (uveřejněném v DaP č. 12/2017 na s. 25) jsme se poté zaměřili na analytické fáze projektu, které hrají stěžejní úlohu v rámci celé přípravy a bez jejichž úspěšného zvládnutí není možné dojít ke zdárnému konci. Zároveň jsme se věnovali několika podstatným novým povinnostem, které je nutné mít již v těchto prvotních fázích na paměti, aby mohla být analýza správně vypracována. V tomto článku se věnujeme rozboru dalších významných povinností a institutů dle GDPR, které se podnikatelů citelně dotknou, a to konkrétně:
1.
pravidla pro zpracování zvláštní kategorie osobních údajů (citlivých osobních údajů),
2.
povinnost umožnit výkon práv subjektů,
3.
povinnost přijmout opatření pro zabezpečení zpracování,
4.
pověřenec pro ochranu osobních údajů.
Podrobně jsou tyto povinnosti a instituty rozebrány níže.
Zvláštní kategorie osobních údajů
Stejně jako současná právní úprava rozeznává GDPR zvláštní kategorie osobních údajů (v současném zákoně jsou označeny jako citlivé údaje), jimž je přiznána vyšší úroveň ochrany. Řadíme mezi ně ty osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a dále také genetické údaje, biometrické údaje (avšak pouze v případě, že jsou zpracovány za účelem jedinečné identifikace fyzické osoby) a nakonec údaje o zdravotním stavu a o sexuálním životě nebo sexuální orientaci fyzické osoby.
Zpracování těchto kategorií osobních údajů je obecně zakázáno a je možné pouze v případech, kdy správce splní některou z podmínek vypsaných v čl. 9 odst. 2 GDPR. Mezi tyto výjimky patří zejména výslovný souhlas subjektu údajů a dále potom dalších devět výjimek, které však adresují poměrně specifické situace, jako je zpracování na základě zvláštní povinnosti vyplývající z pracovního práva, zpracování osobních údajů ve specifických případech ve zdravotnictví či zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků. Všichni podnikatelé, kteří v rámci své činnosti přicházejí do styku se zvláštními kategoriemi osobních údajů, by tak měli pečlivě zvážit, jestli musí pro své zpracování získat výslovný souhlas, nebo jestli se mohou spoléhat na některou z dalších výjimek. V případě, že nezbyde jiná možnost než získat souhlas, je poté nutné mít na paměti, že výslovný souhlas musí splňovat všechny definiční znaky souhlasu dle čl. 4 bodu 11 GDPR a že musí být v každém případě získán v souladu s podmínkami dle čl. 7 GDPR.
Nad rámec výjimky dle čl. 9 GDPR musí správci disponovat také titulem pro zpracování osobních údajů dle čl. 6 GDPR. Je tedy možné, že titulem dle čl. 6 GDPR bude plnění smlouvy se subjektem, nicméně pro zpracování části údajů, které budou zvláštní kategorií dle čl. 9, bude správce muset získat výslovný souhlas (pokud zpracování nebude možno podřadit pod některou z dalších výjimek). Z důvodu, že čl. 6 a 9 GDPR se uplatní kumulativně, tak může být velmi náročné nastavit zpracování zvláštních kategorií osobních údajů právně správně a současně pro správce efektivně.
Zvláštní režim těchto osobních údajů se však neomezuje pouze na čl. 9 GDPR. V rámci celého GDPR se nachází další omezení a zpřísnění, která zajišťují, že bude subjektům údajů při zpracování těchto osobních údajů přiznána vyšší ochrana. Příkladem takového dodatečného omezení může být například omezení přípustných případů využití zvláštních kategorií osobních údajů při automatizovaném individuálním rozhodování dle čl. 22 odst. 4 GDPR. Rovněž je nutné mít na paměti, že zvláštní kategorie osobní údajů obsahují takové osobní údaje, jejichž zpracování představuje zvýšené riziko újmy pro subjekty údajů v případě, že by došlo k jejich zneužití. Z toho důvodu je nutné s tímto zvýšeným rizikem počítat v rámci posuzování obecného rizika zpracování dle čl. 24 GDPR, bezpečnostního rizika dle čl. 32 GDPR, rizika v případě bezpečnostních incidentů dle čl. 33 a 34 GDPR, posouzení vlivu dle čl. 35 GDPR a ustanovování pověřence dle čl. 37 GDPR.
Umožnění výkonu práv subjektů údajů
Již podle současné právní úpravy mají subjekty údajů při zpracování svých osobních údajů určitá práva, jejichž výkon jim musí správce umožnit. V GDPR se jednak rozšiřuje výčet práv, kterými subjekty údajů disponují, a jednak také zavádí určitá procesní pravidla, která budou správci muset při výkonu práv dodržovat. Kromě již dnes známých práv, jako je právo na přístup či opravu, dochází k jasnému zavedení široce definovaného práva na výmaz či k představení zcela nového práva na přenositelnost.
Správce osobních údajů je povinen subjektům údajů výkon jejich práv usnadňovat. To znamená, že by měl zajistit jednoduchou možnost či více možností uplatnění práv, které budou odpovídat charakteru zpracování. Pokud se například jedná o online službu, bude její provozovatel těžko obhajovat umožnění výkonu práv pouze prostřednictvím písemné žádosti zaslané poštou. Důležité je též nastavení procesů tak, aby odpovídaly lhůtám, které jsou pro vyřizování žádostí jasně stanoveny v čl. 12 odst. 3 a 4 GDPR.
Pravděpodobně nejpalčivější otázkou výkonu práv subjektů údajů je otázka ověření identity subjektů. Na jednu stranu nelze bezdůvodně odepírat výkon práv subjektům údajů, avšak na druhou stranu umožnění výkonu práv jiné osobě, než je právě subjekt údajů, jehož se osobní údaje týkají, může znamenat pro správce porušení zabezpečení osobních údajů se všemi právními následky z toho vyplývajícími. Správci by tedy měli zaujmout postoj, který odpovídá riziku, jež představuje zpracování osobních údajů v konkrétních případech. Pokud se tedy jedná například o multimediální online službu, která zpracovává osobní údaje o shlédnutých filmech, nebude nutné vyžadovat pro výkon práv nijak extrémní bezpečnostní opatření a z našeho pohledu postačí zcela jednoduše zaslat zprávu z předem ověřeného e-mailu, popřípadě zadat požadavek v uživatelském rozhraní služby přístupné po zadání přihlašovacích údajů. V případě, že by se však mělo jednat například o žádost o přístup k osobním údajům o zdravotním stavu, doporučujeme, aby bylo pro ztotožnění použito dodatečných bezpečnostních prvků, jako je například ověření pomocí kódu zaslaného na mobilní telefon, zaslání dopisu s úředně ověřeným podpisem, prokázání se na místě občanským průkazem apod. Současně však platí, že správce nemůže výkon práv bezdůvodně ztěžovat – pokud tak umožňuje uzavření smlouvy (a poskytnutí nezbytných údajů o subjektu) přes telefon, měl by přes telefon umožnit i výkon práv.
Zabezpečení zpracování
Zabezpečení zpracování je téma, které je momentálně v kontextu nejrůznějších bezpečnostních úniků skloňováno čím dál tím častěji. Proto není překvapením, že i GDPR se rozhodlo na tento problém reagovat. Základní koncept zabezpečení zpracování se oproti současné právní úpravě výrazně nemění. Každý správce je povinen provést posouzení rizika, které představuje v konkrétním případě zpracování osobních údajů (byť nemusí být povinen provést formální posouzení vlivu dle čl. 35 GDPR), a následně, s přihlédnutím ke stavu techniky (tedy bezpečnostního standardu na trhu) a nákladům na zavedení, přijmout bezpečnostní opatření s cílem zmírnění zjištěného rizika.
Posuzování rizika je komplexní a opakovaný proces, během něhož je nutné vzít do úvahy pravděpodobnost náhodného či protiprávního zničení, ztráty, pozměnění či neoprávněné zpřístupnění osobních údajů, zvážit možný dopad takových eventualit na subjekt údajů a následně zvážit celkové riziko, které zpracování osobních údajů představuje. Roli přitom bude hrát jednak povaha osobních údajů (jak je již zmíněno výše, zvláštní kategorie osobních údajů kupříkladu nesou vyšší riziko zpracování), tak i způsob jejich zpracování.
GDPR nabízí výčet skupin bezpečnostních opatření v čl. 32 odst. 1 písm. a)–d). Správcům není dána povinnost přijmout všechna tato bezpečnostní opatření, avšak v případě, že nebudou všechna opatření zavedena, by měl správce být schopen vysvětlit a písemně doložit, že potřeba zavedení tohoto bezpečnostního opatření na základě provedeného posouzení rizika nevyplývá, popřípadě že v daném případě nepřipadá v úvahu.
Institut pověřence pro ochranu osobních údajů
GDPR zavádí po vzoru národní úpravy v Německu novou funkci tzv. pověřence pro ochranu osobních údajů. Tento pověřenec má na starosti dohlížet na soulad zpracování osobních údajů v rámci organizace a zároveň má sloužit jako kontaktní místo pro subjekty údajů i pro dozorový úřad. Pověřenec by měl mít v rámci organizace odpovídající místo, musí mu být alokovány dostatečné zdroje odpovídající rozsahu zpracování osobních údajů, a především musí být zajištěno, že při výkonu jeho funkce nebude docházet ke střetu zájmů. Ohledně výkonu funkce mu nesmí být udělovány žádné pokyny a podléhat by měl přímo nejvyššímu orgánu společnosti.
Není neobvyklé, že zejména v menších společnostech vykonává funkci pověřence nějaký stávající zaměstnanec vedle své běžné pracovní náplně. V současné německé praxi se proto vymezily některé pozice, které jsou ze své povahy s výkonem funkce pověřence neslučitelné. Pověřencem tak nemůže být například člen představenstva, projektový manažer, správce IT systémů, HR manažer, ale také ani právník, který zajišťoval společnosti implementaci GDPR. Výkon funkce pověřence však může být zajišťován i externě prostřednictvím smlouvy o poskytování služeb. Tento způsob může být obzvláště výhodný pro malé podniky, které si nemohou dovolit přijmout zcela nového zaměstnance, avšak rozsah jejich zpracování neumožňuje, aby funkci vykonával nějaký stávající zaměstnanec.
Pověřence však nemusí jmenovat zdaleka každý podnikatel. Tato povinnost dopadne pouze na ty, jejichž hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, a na ty, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů dle čl. 9 GDPR či osobních údajů o trestných činech dle čl. 10 GDPR. Hlavní činnost je vykládána jako taková činnost, kterou musí správce činit k dosažení svých hlavních cílů. Co do hlavní činnosti naopak nepatří, jsou sekundární činnosti, které obvykle provádí obecně většina společností, jako je zpracování osobních údajů zaměstnanců pro různé HR a zákonné účely. Co se týče rozsáhlosti, tak tu lze určit pouze na základě posouzení více různých kritérií, jako je geografický rozsah, objem zpracovaných osobních údajů či počet zasažených lidí.
Povinnosti, které jsme uvedli v tomto článku, jsou jistě významné, nicméně to zdaleka není vše, na co by si měli dát podnikatelé pozor. Proto se budeme dalším důležitým povinnostem dle GDPR věnovat i v příštím, posledním článku této série. V tomto posledním článku vám také nabídneme jednoduchý přehled těch nejdůležitějších kroků, které musí přede dnem účinnosti GDPR provést opravdu každý podnikatel.
Předchozí části příspěvku:
Část I. Plánování projektu
Část II. Analytická část projektu
Pokračování příspěvku:
Část IV. Shrnutí nejdůležitějších povinností
Zdroj: Odborný portál DAUC.cz, 2018.