V dubnu 2016 bylo přijato obecné nařízení o ochraně osobních údajů (2016/679), kterému málokdo řekne jinak než GDPR. Používaná zkratka pochází z anglického názvu General Data Protection Regulation. Protože se jedná o nařízení a ne směrnici, je automaticky platné pro všechny členské země EU. Zároveň se toto nařízení může za určitých okolností vztahovat i na firmy mimo EU, pokud nabízejí své zboží či služby na území EU nebo v těchto státech monitorují chování svých zákazníků. Účinné bude od 25. května 2018 Ochrana osobních údajů není novinkou posledních let. Je zakotvena i v dnes platné legislativě. Organizace, které dodržují stávající zákony a předpisy, mohou na těchto základech stavět a zavedení souladu s GDPR by pro ně nemělo být revolučním krokem. GDPR totiž nevytváří, ale posouvá ochranu dat na další úroveň. Posiluje možnosti kontroly nad osobními údaji, dává evropským občanům větší kontrolu nad tím, co se s jejich daty děje – možnost požadovat opravu, omezení zpracování, případně vyžadovat, aby byla data prokazatelně odstraněna. V neposlední řadě zaručuje, že osobní údaje budou zpracovány jen za určitým, předem výslovně vyjádřeným a legitimním účelem. Problematika GDPR na sebe v současnosti poutá čím dál tím větší pozornost, neboť se vztahuje v podstatě na každou společnost či instituci, která pracuje s osobními údaji. Je jedno, zda se jedná o údaje klientů, nebo zaměstnanců. Jedná se tak téměř o všechny firmy, protože většina firem uchovává minimálně data o svých zaměstnancích, zákaznících nebo dodavatelích. Aby zacházení s osobními daty nebylo bráno na lehkou váhu, zavádí nařízení až extrémně vysoké pokuty: až do 20 mil. eur nebo 4 % z celosvětového obratu. Zároveň však uvádí, že pokuty mají být účinné, přiměřené a odrazující. Co je to zpracování osobních údajů? GDPR staví na principech, jako je zákonnost, omezení účelem, minimalizace údajů a omezení uložení, přesnost, férovost, transparentnost, integrita a důvěrnost. Správce musí celé zpracování provádět v souladu s těmito zásadami, přičemž za jejich zpracování nejenže odpovídá, ale soulad musí být také schopen doložit. K tomu mohou pomoci i kodexy, osvědčení a záznamy o činnostech zpracování. Co je to zpracování osobních údajů? V podstatě jakákoli operace s osobními údaji – nahlédnutí, zaznamenávání, použití, šíření, uložení, pozměnění, vyhledávání, a dokonce i výmaz. Osobní údaj je jakákoli informace o fyzické osobě, pokud lze tuto osobu identifikovat. Mezi tyto údaje řadíme jméno, pohlaví, věk, e-mail, telefon, adresu, fotografii, ale také IP adresu, cookies, uživatelské jméno a jiné. Speciální pozornost je věnována zvláštní kategorii osobních údajů (údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení, genetické a biometrické údaje – např. snímek obličeje). Tyto údaje mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Zpracování těchto citlivých údajů podléhá přísnějšímu režimu, než je tomu u obecných osobních údajů. Základní pojmy Subjekt údajů je člověk, jehož osobní údaje jsou zpracovávány. Správce je subjekt určující účel a způsob zpracování osobních údajů. Zpracováním může pověřit třetí osobu. Zpracovatel je subjekt, který zpracovává osobní údaje jménem správce. Souhlas subjektu údajů či jiný právní základ pro zpracování, což je trochu komplexnější pojem. Každé zpracování musí mít právní základ, na jehož základě je možné osobní údaje zpracovávat. Například právním základem se rozumí, pokud je zpracování osobních údajů nezbytné pro plnění či uzavření smlouvy, dále pro splnění právní povinnosti, která se na správce vztahuje (zákon o účetnictví, zákoník práce…), a v neposlední řadě také pro účely oprávněných zájmů správce či třetí strany za předpokladu, že před těmito zájmy nemají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. Veřejný zájem či výkon veřejné moci nebo životně důležitý zájem jsou další právní základy, kdy souhlas není potřeba. Souhlas se zpracováním osobních údajů musí být: svobodný (není podmínkou pro uzavření smlouvy); konkrétní (jasný účel a správce zpracování); informovaný (srozumitelný, lze posoudit důsledky zpracování, jaký je účel zpracování a kdo je správce); jednoznačný (jednoznačné jednání, jasně odlišitelné od jiných prohlášení – např. zaškrtnutím políčka při návštěvě internetové stránky; mlčení či předem zaškrtnutá políčka za souhlas považovat nelze). Subjekt údajů má právo souhlas kdykoliv odvolat, přičemž o možnosti odvolat souhlas musí být subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej udělit. Důležité je si uvědomit, že po 25. květnu 2018 budou platné pouze souhlasy v souladu s GDPR. Práva subjektů na jedné straně se stávají na straně druhé povinnostmi pro správce/zpracovatele. Organizace budou muset přizpůsobit své IT prostředí a zavést odpovídají organizační a procesní opatření za účelem prokázání shody s GDPR. Čím více osobních údajů bude firma o svých zákaznících shromažďovat, tím větším nárokům na systém, monitorování dat a rizikům se bude vystavovat. Práva subjektů údajů Právo na přístup Právo na opravu Právo na přenositelnost údajů Právo vznést námitku Právo na výmaz („být zapomenut“) Je třeba zdůraznit, že právo na výmaz není absolutním právem. Příkladem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu. Jinými slovy právo na výmaz není absolutní, kvůli zákonům a oprávněnému zájmu spoustu dat držíte i bez souhlasu. Povinnost likvidace osobních údajů nastane až v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů. Firmy budou v souvislosti s GDPR řešit tři základní oblasti: Právní: zajištění souhlasů, ošetření právních základů zpracovaní dat, revize smluv IT: mapování, sledování, výmaz dat v systému Procesní: nastavení řízení ochrany soukromí Tipy na závěr Prvním krokem pro každou firmu by mělo být seznámení se s nařízením. V dnešní době je si „něco“ o GDPR přečíst, případně navštívit nějaký workshop či konferenci velmi snadné a užitečné. Po inventuře dat (jak a kde jsou osobní data uložena, kdo k nim má přístup, procesy zpracování atd.) bude následovat implementace změn (změny v procesech, změny v ICT, změny ve smlouvách). Pro každé zpracování by měl být jasně definován účel a posléze právem uznaný důvod, na základě kterého je zpracování prováděno. Při definování toho, co všechno je předmětem úpravy GDPR, je dobré začít odshora, zapojit do procesu všechna oddělení bez rozdílu (nějaká data konzumuje každý) a nezacházet příliš do detailů. Nařízení umožňuje dozorovým orgánům členských států (v České republice Úřad pro ochranu osobních údajů – ÚOOU) vydávat, resp. pověřit třetí subjekt vydáváním tzv. osvědčení o ochraně osobních údajů (certifikátem). Společnost TÜV SÜD Czech měla možnost podílet se na připomínkování kritérií pro vydávání osvědčení o ochraně osobních údajů ve spolupráci s ÚOOU. V současné době se finalizuje formalizace požadavků a celý systém prověřování a vydávání osvědčení – i zde TÜV SÜD Czech plánuje být aktivním spolupracujícím partnerem. Na implementaci zbývá zhruba půl roku. Vzhledem k tomu, že se jedná o velmi komplexní záležitost, pracuje čas proti firmám. Dosažení souladu s GDPR není jednoduchý, rychle proveditelný proces. Potřebná opatření nelze vyřešit ze dne na den. Důležitým prvkem bude také proškolení zaměstnanců. GDPR se týká chodu celé firmy, tedy i informovanosti a povědomí zaměstnanců. Seznámení s problematikou GDPR může proběhnout například pomocí našich dvou e-learningových programů. První z nich je určen pro manažery, druhý pro zaměstnance společnosti. Dostupné jsou na našich internetových stránkách v sekci General Data Protection Regulation – GDPR. Eva Kolářová, projektový manažer
