GDPR A KRITICKÉ HLASY

Ivana Janů
Předsedkyně ÚOOÚ

S nárůstem intenzity mediální kampaně musím navzdory její délce (od jara loňského roku) konstatovat, že povědomí o podstatě, smyslu a obsahu ochrany osobních údajů je velmi malé. A co je nejsmutnější, je tomu tak i mezi těmi, kdo o Obecném nařízení (ON) píší - tedy zásadně jako o "GDPR", přednášejí a obesílají správce svými nabídkami na jakési zajištění přechodu ve smyslu splnění požadavků vyplývajících pro oslovené z obecného nařízení, často i za přemrštěné ceny.

Považuji za důležité věnovat pár vět spojování ochrany osobních údajů ztělesňované strašákem zvaným "GDPR", popř. "směrnice GDPR" s Bruselem a jím zase ztělesňovaným zlem. Nejenže tento názor ani náznakem nesdílím, jsem přesvědčena jako občan(ka) o nesporném a nezpochybnitelném přínosu (nesporné a nezpochybnitelné nutnosti) stávajícího modelu ochrany osobních údajů, včetně unijního rámce.

Ochranu osobních údajů České republice, a dokonce ani Československu nevnutila EU. Toto právo každého je zakotveno od počátku samostatné existence České republiky v jejím ústavním pořádku. Všechny zásady zpracování osobních údajů a většina základních zásad ochrany osobních údajů jsou obsaženy již v Úmluvě Rady Evropy č. 108 (z r. 1981). A k ní Česká republika přistoupila (v r. 2000) na výraz toho, že chce chránit osobní údaje nejen svých vlastních občanů.

Žijeme v digitálním věku rozvíjejících se komunikačních technologií. S každou pracovní silou a s každou individuální (soukromou ve všech významech) akcí putují v prostoru EU přes její vnitřní hranice osobní údaje. Při hodnotové orientaci EU zakotvené v její primární legislativě jako ochrana soukromí (čl. 7) a ochrana osobních údajů (čl. 8 Charty) je nemyslitelné, aby čtyři svobody - volný pohyb zboží, služeb, pracovních sil a kapitálu - nedoprovázela sjednocená pravidla pro pohyb informací, které volně se pohybujícího člověka provázejí. Osobní údaje se nejen neochrání samy, i když "samy", často i bez vědomí toho, o kom vypovídají, putují digitálním světem a zanechávají po sobě stopy, či dokonce své kopie. Osobní údaje si v naprosté většině případů účinně neochrání ani ten, komu jako subjektu do velké míry patří. K ochraně vede cesta jen přes pravidla a vymahatelné povinnosti těch, kdo s osobními údaji druhých nakládají - sbírají, spojují, pozměňují, využívají, dále předávají - prodávají a posléze snad i likvidují. Nicméně klíčovou roli v ochraně hraje zákonem zřízený nezávislý, odborně kompetentní a odpovídajícími pravomocemi vybavený dozorový úřad, který podporuje subjekty údajů s jejich nutně individuálním dosahem limitovanými právy. ON (GDPR) tohle vše prostě přináší a v tom spočívá jeho význam a přínos životu každého z nás v prostoru Evropské unie.

Evropské předpisy druhé generace do ochrany osobních údajů samozřejmě promítají technologický pokrok ztělesňovaný informačními a komunikačními technologiemi. Také do ní vnášejí novou dimenzi, která je zakotvena v zásadě sjednoceného dozoru. K provedení této zásady jsou určeny dva ze čtyř nových instrumentů, které ON zavádí: mechanismus jediného kontaktního místa a mechanismus jednotnosti; (dalšími jsou pověřenec pro ochranu osobních údajů a ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a též dotčeným subjektům údajů).

Sjednocený dozor je jednoznačně a logicky vázán na jednotný hospodářský prostor. Takto sjednocená pravidla ve své podstatě usnadní podnikatelské podmínky tím, že vyloučí 28 národních úprav a lze předpokládat, že povedou i k velkým úsporám.

Významnou platformou pro ladění a v řadě případů i vlastní provádění spolupráce při dozoru bude Evropský sbor jako subjekt unie s právní subjektivitou. Sbor je zřízen k dosahování jednotnosti v prosazování a vymáhání pravidel a tvoří ho vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů. Národní dozorové úřady spolupracují mezi sebou a ve vhodných případech s Komisí a ON jim k tomu určuje nástroje. Na nedávno skončené plenární schůzi v Bruselu tato skupina mj. schválila další dvojici metodických dokumentů určených nejen správcům, ale také národním dozorovým úřadům jako drobný vklad do sjednoceného přístupu k prosazování ochrany v souladu s ON (pozn. red. více v lednovém vydání měsíčníku Právní rádce).

S blížícím se datem nabytí účinnosti se ozývají kritické hlasy: některé obecně poukazují na nízké povědomí správců či jejich neznalost (za kterou případně obviňují stát i Úřad pro ochranu osobních údajů), jiné volají po pomoci a jednoduchých a srozumitelných návodech, případně spojují obavy s neznalostí využití zmocňujících klauzulí pro členské státy v naší vnitrostátní legislativě (řečeno terminologií EU). Budiž to řečeno jasně: Úřad pro ochranu osobních údajů není nositelem žádného z těchto úkolů. Úřad nemůže ovlivnit termín předložení a projednání adaptačního zákona a doprovodného změnového zákona, který podle posledních informací novelizuje více než dvě desítky dalších zákonů. Úřad nemůže vypracovávat žádné oborové (sektorové) metodiky, protože jejich implementaci bude posuzovat v rámci svých dozorových úkolů. Může však, a již to dělá, metodiky na žádost ministerstev nebo profesních sdružení s nimi odborně konzultovat. Kromě toho se dostupnými kapacitami podílíme na osvětě a edukaci. Přednost dáváme logicky spolupráci se svazy, asociacemi a komorami, neboť předpokládáme dramaticky vyšší účinnost.

Na druhé straně Úřad čekají i jiné změny než jen sjednocený dozor, který se promítne zejména v kontrolní činnosti a ve správním trestání. Po 25. květnu příštího roku bude jednou z našich povinností poskytovat konzultace pověřencům pro ochranu osobních údajů. Tomu uzpůsobíme organizační strukturu. Jen na okraj, i Úřad musí jmenovat pověřence - bude interní a bude to člověk, který již dnes Úřad a ochranu osobních údajů zná zevnitř. Stejně tak až po 25. květnu Úřad zveřejní seznamy zpracování, které vyžadují předběžné posouzení vlivu zamýšlených operací na ochranu osobních údajů (DPIA).

Očekávaný příchod GDPR působí paradoxně odchody - opouštějí nás kvalifikovaní a nadějní kolegové, přesunem za vyššími (až dvojnásobnými) platy.

Na druhé straně je přinejmenším zarážející, s jakou samozřejmostí je deklarována (úmyslně nespecifikuji kým) neznalost základních zásad ochrany osobních údajů, práv subjektů údajů a povinností správců a zpracovatelů podle platných zákonů, včetně zákona o ochraně osobních údajů, zákoníku práce a občanského zákoníku. Ti, kdo mají povinnost chránit při svém počínání ústavně zakotvené a docela specificky a nepřebujele provedené právo každého z nás, prostě nevědí. Volání po pomoci státu podepřené argumentací, že od 25. května příštího roku po mně budou subjekty údajů vyžadovat přístup k osobním údajům, což mě bude něco stát, je smutnou skutečností. Nenacházím - a ani raději nehledám - výraz kvalifikující takový postoj, neboť když už nic jiného, tak déle než 16 let tu platí zákon o ochraně osobních údajů, který do platonické ochrany zavedené v Československu v r. 1992 (zák. 256/1992 Sb.) zavedl odpovědnost správců a vynutitelnost zásad ochrany osobních údajů, práv subjektů údajů a povinností správců (podepřenou správními pokutami). Nemám k dispozici kvantifikaci změn v povinnostech správců a zpracovatelů, nicméně z korektních publikací, které již jsou v češtině na trhu a z osvětových dokumentů a metodických pomůcek vypracovaných naším Úřadem, je naprosto jasné, že mnohé už tu dávno (měřeno podnikatelskou či úřednickou časomírou) je.

AKTUÁLNĚ Z BRUSELU

Michal Nulíček
Rowan Legal

Rád bych vám představil aktuality z listopadové bruselské konference pořádané IAPP týkající se GDPR a toho, co se děje v ostatních evropských státech. Dobrou zprávou je, že v České republice v porovnání s jinými členskými státy nejsme, alespoň co se týká stavu implementace GDPR v soukromém sektoru, pozadu. Všude po Evropě v současnosti řeší stejné výkladové nejasnosti - jak napsat platný souhlas a kdy jej vyžadovat, jaké informace poskytovat subjektům údajů, jak připravit záznamy zpracování a tak dále. Všichni se snaží vypořádat s obecností GDPR.

Možná bych zdůraznil jednu věc, která byla hodně diskutována, a to je dopad GDPR na malé a střední podniky. Přístup založený na riziku, kdy dopad GDPR na každého správce závisí na zpracování dat, které provádí, je v zásadě správný. Nicméně současně znamená, že si všichni správci musí posoudit dopad celého nařízení na jejich činnost. Pro malé a střední podniky to může představovat zátěž, která může být neúměrná jejich činnosti a výnosům z ní.

V této souvislosti bych chtěl odkázat na stránky britského dozorového orgánu ICO, který zveřejňuje řadu metodik pro malé a střední podniky, pořádá pro ně bezplatné webináře a vydal i doporučení ohledně balíčku technicko-organizačních opatření, která by měly malé a střední podniky zvážit. ICO současně vydal i obecnou dopadovou analýzu na činnost každého správce, která obsahuje seznamy povinností, proti kterým je možné stav "compliance" zejména malých správců dat ověřit.

V Bruselu byla velmi diskutována i otázka mapování, což je první krok, který je třeba udělat předtím, než začneme zvažovat, které povinnosti je potřeba splnit a jak. Jde o to, podívat se, jaká data a o kom zpracováváte, odkud je získáváte, kde a jak je zpracováváte, komu je předáváte, jestli je na konci mažete a podobně. Přístupů mapování je víc, převažující je ten "shora", přes byznysové procesy. Inspirací do začátku, byť rozhodně ne vyčerpávající, mohou být i registrace správců u Úřadu pro ochranu osobních údajů (je potřeba si však uvědomit, že z povinnosti registrace existovaly rozsáhlé výjimky). Každopádně velmi doporučuji, abyste směřovali k výsledku, který je GDPR předvídán. To znamená, abyste mapování prováděli tak, aby vám poskytlo relevantní vstupy pro záznamy o zpracování - abyste pak pro tento účel nemuseli mapovací činnost opakovat. Zpracování je vhodné evidovat přes účely (nebo skupiny podobných účelů), což je stavební kámen GDPR a definující prvek každého zpracování. Účel zpracování totiž určuje i další aspekty zpracování - jeho titul, maximální dobu, rozsah osobních údajů, které můžete zpracovat, minimalizace atd. - účel je jednoduše klíč.

U záznamů ještě dodávám, že GDPR stanoví minimum jejich náležitostí a nic vám nebrání evidovat o vašich zpracováních více informací (byť u nich budete asi chtít zvážit, zda je nedržet oddělitelně pro případ jejich vyžádání dozorovým orgánem). Mezi ně mohou typicky patřit opatření, o kterých víte, že je do května 2018 nestihnete implementovat (spolu s plánem implementace), ale třeba i posouzená rizikovost zpracování a indikace nezbytnosti provést v budoucnu posouzení vlivu (DPIA).

Pro záznamy zpracování zveřejnil belgický dozorový orgán vzor - jednoduchou excelovou tabulku, kterou je možné se inspirovat.

Poslední hojně diskutované téma na konferenci IAPP je vztah správce a zpracovatele. GDPR chce po správcích v zásadě tři základní povinnosti, a to udělat před uzavřením smlouvy se zpracovatelem jakési "miniprověření" ohledně toho, jaký standard zpracovatel splňuje, jestli bude schopen asistovat s plněním vašich povinností GDPR. Musíte s ním uzavřít smlouvu podle článku 28 odstavce třetího nařízení a pak správce průběžně kontrolovat. Požadavky na smlouvu jsou v GDPR minimální. Nic vám jako správcům nebrání uzavřít přísnější smlouvy. Pokud jste z řad zpracovatelů, tak zase GDPR nezakazuje, abyste pro některé limity stanovili kritéria. Určitě mezi správci a zpracovateli bude diskutována otázka odpovědnosti zpracovatele, četnosti kontrol na místě, jejich zpoplatnění a tak dále.

GDPR V ČÍSLECH A SYNERGIE

Martin Hladík
KPMG

Rád bych se pokusil shrnout naše zkušenosti s GDPR do čísel. Zkoušeli jsme spočítat, kolik bude ve velkých firmách problémů, které řešíme, a dostali jsme se na 100 až 300 různých dílčích činností. Rád bych podotknul, že pokud se na to budete dívat perspektivou vedení těchto záznamů o činnostech zpracování, lze je určitým způsobem agregovat, nicméně pro potřeby analýzy je třeba se na ně dívat drobnohledem.

Když se na činnosti podíváme optikou GDPR požadavků, jsme schopni identifikovat několik set různých nesouladů, kterými se musíte zabývat. Když je přeložíme do řešení, je jich ještě více. Samozřejmě pokud byste si představili, že jste ve velké firmě a měli byste řekněme 800 dílčích úkolů, které musíte udělat, tak byste se zbláznili. Je potřeba přemýšlet, jak to uchopit. Myslíme si, že když budete rozumně prioritizovat nesoulady, dílčí řešení, dá se odbourat možná až 60 procent požadavků.

Další zajímavou oblastí, kde lze poměrně hodně ušetřit, jsou synergické oblasti. Pokud působíte ve společnosti, která má více business lines, tak řeší stále ty samé problémy. Na některé věci se vyplatí zaměřit současně, nemá cenu, aby se tím každé oddělení zabývalo zvlášť znovu a znovu. Je tu obrovský překryv řešení, zhruba polovina. Další oblastí je IT. Pokud jste z opravdu velkých firem, tak tam IT žije svým způsobem. Když kolegům z IT dáte "udičku" a řeknete "tady je GDPR", tak vymyslí spoustu fantastických řešení, která stojí obrovské peníze. Bude těžké to do května stihnout. I na tom lze tedy šetřit.

Poznali jsme za poslední rok spoustu zajímavých pohledů managementu. Když jsme začínali GDPR intenzivněji řešit, říkali manažeři, že je času dost a do května 2018 budou stoprocentně v souladu, protože si pořídí největší a nejlepší zabezpečení, které je třeba mít. To už také neplatí, protože když se seznámili s rozpočty, zjistili, že by bylo dobré je trochu ořezat. Nebo jsme naopak narazili na manažery, kteří říkali, že chtějí, aby je GDPR nestálo nic. To byl druhý názor, se kterým jsme bojovali, a už se naštěstí moc neobjevuje.

Naše doporučení, jak přistupovat ke GDPR, je skutečně detailně projít firmu a zmapovat si veškeré dílčí problémy. Myslíme si, že je to důležité proto, že ochrana osobních údajů není problém, který vyřešíte do května, ale kterým se budete zabývat i později. Má proto smysl vědět, kde všude máte "díry". To je důvod, proč děláme komplexní analýzu. Díky tomu máme ucelený seznam problémů, které potřebujete řešit. Poté je zapotřebí provést prioritizaci a současně zvážit různé překryvy, jež pomohou najít v řešení efektivnější cestu.

 

Článek byl publikován v měsíčníku Právní rádce.