1.6
GDPR – moderní právní nástroj ochrany údajů
Mgr. David Burian, Mgr. Zuzana Radičová
V dalším z řady článků o novém nařízení – GDPR, bychom se chtěli věnovat tématu nových právních nástrojů ochrany osobních údajů, které nové nařízení přináší a s kterými se bude muset každý, kdo přichází do styku s osobními údaji a provádí zpracování, dříve či později nejen podrobněji seznámit, ale především je i aplikovat v praxi.
Důvody vzniku nových nařízení
Důležité je hned na začátku objasnit důvody, proč evropští zákonodárci zavádějí do praxe nové nástroje ochrany údajů. V souvislosti s novými technologiemi a digitalizací společnosti je dnes možné zpracovávat větší objemy dat, rychle a snadno je přenášet a provádět sofistikovanější zpracovatelské operace (profilování, cloudová řešení apod.), než tomu bylo ještě v nedávné minulosti. Svět se vlivem digitalizace mění, digitální technologie zásadním způsobem mění ekonomiku i život společnosti na celém světě. Tyto, řekněme celospolečenské změny se samozřejmě významným způsobem dotýkají i ochrany osobních údajů a zcela přirozeně se tak zvyšují nároky na jejich zabezpečení proti úniku, zneužití apod.
Úkolem reformy ochrany osobních údajů, která nabývá účinnosti dne 25. 5. 2018, je především zajistit v dnešní digitální éře vysokou úroveň ochrany osobních údajů a současně umožnit volný pohyb těchto údajů v rámci Unie. K naplnění tohoto nelehkého úkolu mají přispět i nové instrumenty ochrany údajů, které si zde představíme.
Zásada odpovědnosti
Princip odpovědnosti (angl. accountibility) se stává novým, a řekněme i klíčovým principem ochrany osobních údajů explicitně v nařízení vyjádřený.
Obecně stále platí, že správce musí celé zpracování provádět v souladu se základními zásadami ochrany osobních údajů, kterými jsou:
Správce musí nejen zajistit soulad provádění svých činnosti s těmito zásadami, ale navíc musí být schopen tento soulad proaktivně prokazovat.
V praxi to bude znamenat, že správce bude muset vést poměrně rozsáhlou dokumentaci, která bude dokumentovat všechny činnosti související se zpracováním:
-
stanovení vnitřních postupů,
-
stanovení písemných a závazných politik v oblasti ochrany údajů,
-
vedení záznamů o činnostech zpracování,
-
odborná příprava a vzdělávaní pracovníků,
-
stanovení postupů pro správu žádostí k výkonu práv subjektů údajů,
-
jmenování odpovědné osoby/osob,
-
vytvoření mechanizmů pro vyřizování stížností,
-
stanovení vnitřních postupů pro účinné zvládání porušení zabezpečení osobních údajů.
Přístup založený na riziku
Aby správce naplnil obsah nového principu, tedy soulad s nařízením a schopnost soulad také prokázat, bude muset provádět komplexní posouzení každého zpracování s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.
Tím se dostáváme k další velmi výrazné změně, kterou nařízení přináší, a tou je zavedení přístupu založeném na riziku. Správci osobních údajů tak budou muset podle nového nařízení přijmout přiměřená bezpečnostní opatření odpovídající míře rizika prováděných zpracovatelských operací a tato opatření navíc dle potřeby revidovat a aktualizovat. Tzn. ve větší míře, než tomu bylo doposud, zvažovat míru pravděpodobnosti a závažnosti definovaného rizika.
Zohlednění rizik se pak pro správce stane klíčem k nastavování povinností. Pokud bude riziko více pravděpodobné a závažné, tzn., pokud se bude jednat o riziko vysoké, bude muset správce přijmout nejen odpovídající technickoorganizační opatření, ale povinně aplikovat i některý z nových nástrojů ochrany údajů (např. pokud bude správce provádět zpracování založené na profilování, bude muset nejdříve vypracovat posouzení vlivu na ochranu osobních údajů, jehož součástí by měl být i popis přijatých opatření, kterým se riziko minimalizuje. Za určitých okolností bude muset rovněž žádat o předchozí konzultaci Úřad).
Určování rizikovosti zpracování osobních údajů
Výsledné určení rizikovosti zpracování je nezbytným krokem pro plnění následujících povinností:
Povinnost vést záznamy o činnostech zpracování
Jedná se o novou povinnost, která defacto nahrazuje stávající oznamovací (registrační) povinnost. Po obsahové stránce jsou záznamy podobné oznamovací povinnosti a při přípravě dokumentace se tak lze inspirovat současným registračním formulářem. Tato povinnost dopadá jak na správce, tak na zpracovatele. Nařízení uvádí seznam položek, které musí takový záznam obsahovat, přičemž není vyloučeno, aby obsahoval i další údaje (např. vyhodnocení rizikovosti daného zpracování, ke kterému se záznam vztahuje).
V tuto chvíli nebyl v ČR vydán žádný vzor či šablona takového záznamu. Ani WP 29 doposud nezveřejnila informaci o tom, že by uvažovala o nějaké specifické úpravě či jednotné šabloně. Bude pravděpodobně na jednotlivých dozorových úřadech, zda vydají či nevydají např. metodický pokyn, který by specifikoval náležitosti a podobu záznamů tak, aby záznamy byly vedeny jednotně všemi správci nebo alespoň jednotlivými odvětvími průmyslu. Lze tak konstatovat, že záleží primárně na uvážení samotného správce, jakou formu zvolí pro vedení záznamů. V každém případě by však správcem zvolený způsob vedení záznamů měl být přehledný a srozumitelný nejen pro samotného správce, ale i pro dozorový úřad, kterému je správce povinen záznamy na vyžádání předložit.
V prvním kroku by si tak správce měl definovat seznam jednotlivých záznamů, který bude jeho interní "registr záznamů o činnostech zpracování" obsahovat. Registr záznamů by také měl obsahovat identifikaci správce. Při vyplňování jednotlivých záznamů by pak bylo vhodné v úvodu uvést:
-
název záznamu,
-
stručný popis zpracování,
-
případně referenční číslo záznamů,
-
datum vytvoření (a případné aktualizace)
-
a jméno útvaru/pracovníka, který je za dané zpracování odpovědný.
Dále je nutné uvést účel/y zpracování a kategorie zpracovávaných osobních údajů (lze vycházet ze stávající praxe zavedené při plnění oznamovací povinnosti, tedy se například může jednat o základní identifikační údaje, údaje finančního rázu, lokalizační údaje, citlivé údaje, apod. Nicméně není ani vyloučeno, že i jednotlivé kategorie budou dále specifikovány, např. kategorie citlivých údajů bude zahrnovat údaje odhalující rasový původ, příslušnost k odborům, biometrické údaje apod.).
Dále je možné pokračovat kategoriemi subjektů údajů (klient, zaměstnanec, obchodní zástupce, přičemž zase může být konkretizováno), dále kategorie příjemců, kterým mohou být osobní údaje zpřístupněny a informace o případných předáních údajů do třetích zemí. V neposlední řadě musí záznam obsahovat seznam technických a organizačních opatření (v tomto případě by měla postačovat jen stručná informace s odkazem na další dokumentaci, kterou se předpokládá, že správce k přijatým technickoorganizačním opatřením bude mít. Bylo by tedy zbytečné je opisovat do samotného záznamu).
Povinnost vedení záznamů o činnostech zpracování u…