Pravidla a zásady sběru, zpracování, uchovávání a výměny osobních údajů obyvatel Evropské unie bude od května 2018 určovat obecné nařízení o ochraně osobních údajů, které je známé pod zkratkou GDPR - General Data Protection Regulation. Evropský parlament jej po více než třech letech vyjednávání schválil 14. dubna 2016. GDPR jakožto nařízení nebude třeba transponovat do národní legislativy členských států. Nahradí směrnici 95/46/ES, která v současnosti upravuje ochranu osobních údajů na unijní úrovni. V případě České republiky rozhodne o nové podobě zákona č. 101/2000 Sb., o ochraně osobních údajů.

Evropská unie se oblasti digitální ekonomiky a zejména zabezpečení jejích transakcí nevěnuje pouze nařízením GDPR. Do května 2018 musí členské státy do svých národních legislativ zapracovat také požadavky směrnice EP a Rady EU č. 2016/1148, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v unii. Dokument známý pod zkratkou NIS nabyl platnosti vloni v srpnu. V České republice dojde v této souvislosti k novelizaci zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Další změnu do světa elektronických transakcí vneslo nařízení EP a Rady EU č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93 ES. Dokument nabyl účinnosti v červenci 2016. V tuzemské legislativě unijní nařízení vyřadilo ze hry zákon č. 227/2000 Sb., o elektronickém podpisu.

 

Všeobjímající GDPR

Nařízení GDPR ve zjednodušeném pojetí ošetřuje pět základních oblastí. Jde o zásady zpracování osobních údajů, práva tzv. subjektů údajů (identifikovaných či identifikovatelných fyzických osob), povinnosti správců a zpracovatelů osobních údajů (technická a organizační opatření), dozorovou činnost a spolupráci dozorových orgánů a o právní ochranu, odpovědnost a sankce.

Požadavkům nařízení GDPR se budou muset přizpůsobit všechny subjekty, které zpracovávají osobní údaje spotřebitelů z Evropské unie v souvislosti s nabídkou zboží nebo služeb. Jeho působnost se tedy neomezuje pouze na lokální správce a zpracovatele, ale na všechny společnosti, jež svou nabídkou zboží nebo služeb cílí na unijní spotřebitele. Pozornost by nařízení GDPR měly věnovat všechny subjekty, které aktivně pracují s osobními údaji fyzických osob.

"Nařízení je specifické především v tom, v jaké šíři na správce a zpracovatele osobních údajů dopadá. Bude nutné nejen upravit právní dokumentaci, tj. znění souhlasů, smlouvy o zpracování, vnitřní směrnice a pravidla zpracování osobních údajů apod., ale především kompletně zrevidovat a nově nastavit vnitřní procesy a IT infrastrukturu," říká Viktor Dušek, advokát společnosti KPMG Legal.

Údaje, souhlas, zpracování

Nařízení pracuje s rozšířenou definicí osobních a citlivých údajů. Reflektuje rozvoj informačních a komunikačních technologií, jež starší legislativa nepodchytila. Za osobní údaj GDPR považuje také informaci o poloze uživatele, jeho IP adresu, informace o využívaných zařízeních, metainformace o dřívějším chování při využívání služeb apod. Rozšířená definice tedy do jisté míry ošetřuje známou problematiku tzv. cookies. Mezi citlivými údaji figurují mimo jiné genetická a biometrická data, údaje o zdravotním stavu nebo o sexuálním životě fyzické osoby.

Subjekty údajů, tj. fyzické osoby, nově získávají mediálně propagované právo být zapomenut. Povinností správce bude bez odkladu vymazat veškeré osobní údaje, které o žadateli vede, pokud neexistuje právní důvod pro jejich držení.

Zpracování osobních údajů, ať už manuální, nebo automatizované, musí být podmíněno zákonným důvodem nebo explicitně daným souhlasem subjektu údajů, tj. samotné fyzické osoby. Ta má právo udělený souhlas kdykoliv odvolat. Obecně platí, že udělení souhlasu musí být svobodné, určité, informované a jednoznačné.

 

Povinnosti správců a zpracovatelů

Pro správce a zpracovatele, vedle subjektu údajů a dozorového orgánu údajů dvě z hlavních rolí v GDPR, vzniká povinnost zavedení řady technických a organizačních opatření. V obecné rovině jde stále o známou mantru důvěrnosti, integrity a dostupnosti, nově doplněnou o odolnost systémů. Zavedení a schopnost dodržování technických a organizačních opatření, tj. záměrnou ochranu osobních údajů (by design) musí být správce schopen kdykoliv doložit. Stejně tak musí deklarovat dozorovým orgánům, a to již v době záměru či návrhu zpracování osobních údajů, konkrétní účel zpracování a posouzení vlivu na ochranu údajů.

28

Aktuálně v rámci Evropské unie existuje 28 různých zákonů o ochraně osobních údajů.

"Vzhledem k tomu, že šetření a posuzování dopadu budou vždy specifické ke konkrétnímu zpracování osobních údajů, předpokládáme v nejbližší době vznik šablon a příruček k rychlejšímu zvládnutí analýzy a přípravy popisu zpracování," dodává k tématu předběžného šetření Petr Žikeš, výkonný ředitel firmy Safetica.

Správci a zpracovatelé osobních údajů musí mimo jiné pravidelně testovat, posuzovat a hodnotit účinnost zavedených opatření. K nim patří na technické úrovni povinnost pseudonymizace, kryptografické ochrany nebo zálohování a obnovení osobních údajů v případě havárie. První uvedený termín popisuje způsob zpracování, resp. úpravy osobních údajů, který zajistí, že je nelze bez dodatečných informací přiřadit konkrétnímu subjektu údajů. Pseudonymizované údaje lze zpracovávat nad rámec původně definovaného účelu.

Na správce a zpracovatele se vztahuje také bezodkladná ohlašovací povinnost pro případ porušení zabezpečení osobních údajů. Zpracovatel má ohlašovací povinnost vůči správci, správce vůči dozorovému orgánu, případně dotčené fyzické osobě. Všechny případy narušení musí být dokumentovány.

"Je nutné si uvědomit, že metody zpracování a související rizika se budou neustále vyvíjet, a s tím musí počítat také nástroje a postupy dokumentace," říká Ivan Svoboda, manažer rozvoje obchodu společnosti Anect.

Agendu sběru, zpracování, uchovávání a výměny osobních údajů u správce nebo zpracovatele má podle obligatorních požadavků GDPR, jež se ovšem netýkají každého subjektu, zastřešovat tzv. pověřenec pro ochranu osobních údajů neboli DPO - data protection officer. Jmenovaná osoba se může rekrutovat z interních zaměstnanců dotčených subjektů, případně lze pro tuto roli najmout externího poskytovatele služeb.

Problematiku pověřenců komentuje Viktor Dušek ze společnosti KPMG Legal: "Podle odhadu mezinárodní asociace IAPP bude v rámci Evropské unie potřeba ustanovit přibližně 28 000 pověřenců. Přesnější odhady konkrétně pro Českou republiku nejsou ještě známy, nicméně je zřejmé, že velká část pověřenců bude činná ve veřejném sektoru, kde bude tato funkce bez výjimky povinná."

Nařízení GDPR doprovází také nebývale vysoké náhrady a sankce za jeho porušení. Každý, kdo utrpí újmu, a to i nemajetkovou, v důsledku jeho nedodržení, má právo na náhradu. Za samotné porušení základních zásad hrozí správní pokuta ve výši až 20 milionů eur, případně čtyř procent z celosvětového obratu podniku.

 

Průvodce přípravou na GDPR

Jak se na účinnost GDPR připravit? V prvé řadě je třeba zdůraznit, že rozhodně nejde o ryzí IT záležitost.

"Příprava na GDPR vyžaduje komplexní přístup k implementaci nařízení a zapojení odborníků s různými specializacemi a zkušenostmi, zejména v oblasti práva, řízení rizik, IT a bezpečnosti. Proces přípravy na GDPR se napříč trhem liší a je do značné míry odvislý od velikosti organizace a míry zpracování osobních údajů," říká Viktor Dušek ze společnosti KPMG Legal.

Konzultační a bezpečnostní firmy i nejrůznější oborové organizace nabízejí vedle asistence vlastních specialistů také kontrolní seznamy, s jejichž pomocí lze podnik, jeho technologie a procesy s požadavky nařízení sladit. V organizační rovině jde především o relevantní nastavení procesů a vyhodnocení jejich souladu s legislativou. O přibližující se účinnosti GDPR by měli být zevrubně zpraveni manažeři s rozhodovací pravomocí. Následně si organizace musí zmapovat, jaká data sbírá, ukládá, spravuje, sdílí a odkud pocházejí.

"Pro tento krok je ideální zrealizovat tzv. datovou inventuru," jak dodává Ivan Svoboda ze společnosti Anect.

V dalším kroku si organizace zkontroluje, jak dokáže plnit požadavky nařízení, jež se vztahují k individuálním právům. Konkrétně jde o schopnost bezodkladného smazání osobních dat a o možnost jejich poskytnutí v elektronické podobě a ve standardním formátu. Současně je třeba aktualizovat procedury, které ke splnění individuálních požadavků subjektů osobních informací vedou.

Právníci organizace by měli nad výsledky informačního auditu zjistit, zda sběr a zpracování osobních údajů vyhovují legislativním požadavkům. Tento krok musí zdokumentovat, neboť účel zpracování spadá mezi povinně prokazované informace. Stejným procesem validace musí projít také postup získávání a zaznamenávání souhlasu subjektů osobních informací se zpracováním. Specifickou problematiku představují požadavky nařízení GDPR na tzv. záměrnou ochranu osobních dat, resp. data protection by design. Ta do značné míry souvisí s technickými prostředky a jejich nastavením. Záměrná ochrana osobních údajů reprezentuje přístup, který zajišťuje, aby záruky týkající se ochrany údajů byly začleněny do relevantních systémů již v okamžiku jejich vývoje.

Tuto ideu potvrzují i slova Petra Žikeše ze společnosti Safetica: "Mnohem větší důraz bude kladen na bezpečnost už při samotném návrhu a výběru systémů pro zpracování osobních dat. Systémy CRM nebo ERP, ale i docházka, finance, ty všechny budou muset chránit data před útočníky zevnitř i zvenčí."

Tímto způsobem, tj. záměrnou ochranou, lze do jisté míry eliminovat nedostatky a problémy vzniklé či potenciálně vznikající na straně organizačního zajištění. Nutno podotknout, že toto pojetí představuje ideální stav či přístup. "Lze také předpokládat, že IT systémy, které nebudou dostatečně vyhovovat nové regulaci, budou postupně nahrazeny," dodává Martin Hladík ze společnosti KPMG Česká republika.

 

Článek byl publikován v ICT revue 1-2/2017.