K poskytování služeb, analýze návštěvnosti a personalizaci reklamy se využívají soubory cookie. Informace o použití webu mohou být sdíleny s dalšími partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním tohoto webu s tím souhlasíte. Další informace

Praktické aspekty GDPR

Datum: 29. 3. 2018, zdroj: VSOL 1/2018, rubrika: Veřejná správa online

Ochrana osobních údajů je v České republice upravena zákonem již od roku 2000. Co nového tedy přináší Nařízení Evropského parlamentu a Rady EU 2016/679 (obecné nařízení o ochraně osobních údajů, dále jen GDPR)? Jakým způsobem se mohou obce a města na účinnost nařízení připravit?

General Data Protection Regulation

Téměř 18 let platí v ČR zákon č. 101/2000 Sb., o ochraně osobních údajů. Nutnost dodržovat při zpracování osobních údajů určitá pravidla je všeobecně podporována a organizace pracující s osobními údaji požadavky zákona vesměs dodržují. Otázkou však může být, v jaké míře různé organizace skutečně splňují veškerá ustanovení zákona. Už jenom letmý pohled do Veřejného registru zpracování osobních údajů vedeného ÚOOÚ ukazuje, že v této oblasti existují určité nejasnosti. Omezíme-li vyhledávání na obce a města, zjistíme, že počet registrovaných subjektů zdaleka nedosahuje počtu obcí v ČR. A při detailním pohledu na účely zpracování osobních údajů uvedené v registracích zjistíme, že jednotlivé obce a města se značně odlišují. To je dost překvapivé, protože by se nabízelo, že veřejná správa, byť na úrovni místní samosprávy, vykonává své činnosti do jisté míry unifikovaně napříč celou zemí. Je vidět, že přístup k ochraně osobních údajů se může v různých organizací stejného typu lišit, a to zejména po formální stránce. Dosavadní zkušenosti ukazují, že ochrana osobních údajů je zejména v menších organizacích chápána spíše intuitivně – tedy, že s osobními údaji je třeba nakládat obezřetně, nějakým způsobem se musí chránit, ale příslušná pravidla nejsou stanovena formálně, ve formě interních směrnic apod.

Uvádí se, že GDPR je velmi podobné naší současné právní úpravě a že kdo splňuje požadavky kladené stávajících zákonem, bude z velké části splňovat i požadavky GDPR. Vzhledem k tomu, že GDPR klade velký důraz právě na formální stránku věci, je možné, že organizace přistupující k ochraně osobních údajů na výše zmíněné intuitivní úrovni budou mít problémy doložit soulad s GDPR právě po stránce formální.

Pokud se ve sdělovacích prostředcích objevují informace o GDPR, zpravidla to bývá v souvislosti s obcemi nebo školami a jako nejvýraznější změna bývá kromě hrozících astronomických pokut uváděna nutnost zřízení pověřence na ochranu osobních údajů. Z těchto zpráv lze získat dojem, že GPDR se týká pouze veřejné správy a školství. Skutečností však je, že GDPR se týká všech organizací pracujících s osobními údaji, tedy údajů o zaměstnancích, klientech, členech a podobně. Přípravu na GDPR tak kromě výše zmíněných obcí a škol budou muset řešit téměř všechny firmy, spolky, PO, SVJ, OSVČ a další. Počet dotčených organizací lze jen těžko odhadnout, protože mnoho registrovaných firem nevyvíjí ve skutečnosti žádnou činnost. Odhady vycházející z údajů ve veřejných registrech se pohybují v řádu stovek tisíc organizací. Zejména OSVČ – například řemeslníci – mohou mít s plněním GDPR značné problémy, tedy pokud o této nové povinnosti vůbec vědí. Obce naopak mají určitou výhodu, protože jsou to organizace z podstaty „úřednické“ a uvedená problematika by jim neměla být úplně cizí, na rozdíl třeba právě od zmiňovaných řemeslníků.

Do účinnosti GDPR zbývají 4 měsíce. Jak tedy připravit svoji organizaci – např. obec? V prvé řadě si uvědomit, že příprava na GPDR vyžaduje vykonání určitého objemu práce. Její přesné množství bude záviset na velikosti organizace (počet zaměstnanců, počet klientů, …) a na činnostech, při kterých dochází ke zpracování osobních údajů. Stejně jako v jiných případech, i zde je třeba zvážit, kdo tuto práci udělá, a tedy se rozhodnout mezi objednáním na klíč, nebo pořízení vlastními silami, případně kombinací uvedených způsobů. V současnosti panuje ve veřejné správě značná averze vůči nabídkám komerčních firem, ministerstvo vnitra je popisuje jako „vystrašit a vyfakturovat“. Je zajímavé, že podobná averze nepanuje vůči jiným činnostem, které si obce již roky objednávají od svých dodavatelů – ať už se jedná o právní služby, správu informačního systému nebo třeba o služby instalatéra. I v případě služeb souvisejících s GDPR je třeba stejně jako v jiných případech rozumně vyhodnotit, zda je obec schopna tyto činnosti zajistit sama (či s asistencí) z hlediska odborného, časového i finančního.

Ať už bude rozhodnutí o způsobu přípravy na GDPR jakékoliv, je třeba si uvědomit, že zajištění souladu s GDPR je dlouhodobý proces. V první fázi se provede posouzení stávajícího stavu – analýza zpracovávaných osobních údajů, zákonných důvodů a účelů zpracování. Budou určeny osoby, které mají k osobním údajům přístup. Budou určeny technické prostředky, pomocí nichž zpracování osobních údajů probíhá. Bude vyhodnoceno, jakým způsobem jsou osobní údaje chráněny před neoprávněným přístupem, změnami či zničením. Většina organizací zpracovává osobní údaje ze dvou kategorií – vlastní zaměstnanci a obchodní partneři. Veřejná správa pak ještě navíc v rámci výkonu své činnosti osobní údaje občanů. Zkušenosti ukazují, že typická organizace bude mít desítky činností zpracování osobních údajů, v závislosti na tom, jak podrobně budou jednotlivé činnosti popsány.

Při zpracování analýzy je pochopitelně dobré, pokud ji provádí někdo se zkušenostmi z podobných případů. Z tohoto pohledu se tedy vypracování analýzy externím dodavatelem jeví jako výhodné – je téměř jisté, že výsledný produkt bude mít určitou úroveň kvality a bude dodán v akceptovatelném termínu. Je pochopitelné, že dodavatel si tomto případě nechá svoje know-how zaplatit a kromě času stráveného přímo prací na analýze konkrétního zákazníka bude v ceně nějakým způsobem zahrnuta (mnohdy i několikaměsíční) příprava obecných pracovních postupů. Realizace vlastními silami je samozřejmě možná, cena bude jistě nižší, ale je třeba velmi dobře zvážit, zda je obec skutečně schopna toto provést, zejména po stránce odborné. Nabídky na zpracování analýzy dodavatelem se mohou velmi lišit v závislosti na očekávané formě součinnosti ze strany obce. Někteří dodavatelé mohou provést sběr podkladů pro analýzu vlastními silami formou dotazování zaměstnanců obce, jiní dodavatelé budou požadovat vyplnění různých tabulek samostatně ze strany obce. Součástí podkladů pro analýzu jsou i informace týkající se fyzického zabezpečení budov, kartoték či výpočetní techniky. Poskytnutí těchto odborných informací může být pro zaměstnance obcí bez další asistence velmi obtížné. Je tedy pochopitelné, že způsob shromáždění podkladů bude mít vliv na cenu analýzy.

Cílem analýzy není jednoduchý výrok „vyhovuje – nevyhovuje“, ale spíš celkové popsání způsobu zpracování osobních údajů v organizaci, odhalení slabých míst a návrhy na jejich odstranění. Zpracovaná analýza tak není nějakou zprávou k “uložení do skříně“, ale je startovním bodem k dalším krokům. Ačkoliv se analýza může zdát jako další z řady zbytečných dokumentů, ve skutečnosti může opravdu organizaci pomoci s úpravou některých procesů na odpovídající úroveň.

Z kvalitně provedené analýzy by měla organizace získat několik věcí. Za prvé, záznamy o činnostech zpracování. Jedná se o jeden z požadavků GDPR. Jsou to „katalogové listy“ jednotlivých činností, při kterých se zpracovávají osobní údaje. Tyto záznamy nahrazují stávající povinnost registrace zpracování osobních údajů na ÚOOÚ. Organizace pomocí nich získá a bude udržovat přehled o zpracovávaných údajích, což velmi pomůže například při výkonu práv subjektů údajů. Pro obce platí, že zpracování osobních údajů se ve značné míře odvíjí od spisového a skartačního řádu. Tato směrnice je zcela zásadní pro popsání procesu nakládání s dokumenty listinnými i elektronickými, stanovení osob majících k dokumentům přístup a zejména pro určení lhůty pro zpracování osobních údajů. Je téměř jisté, že bez kvalitního spisového a skartačního řádu není možné splnit podmínky vyžadované GPDR, a proto je jedním z doporučení provést při této příležitosti revizi tohoto základního dokumentu.

Další věcí, která by měla z analýzy vyplynout, je seznam dokumentů, které je nutné upravit do souladu s GDPR. Bude se jednat především o pracovní smlouvy, pracovní a organizační řády, smlouvy s dodavateli. Úpravy v těchto případech nemusejí být příliš složité, budou mít formu „GDPR dodatku“ a na základě vzoru si je provede organizace sama. Organizace zároveň musí splnit svoje povinnosti k subjektům údajů – typicky občanům – připravit nové formulace souhlasu se zpracováním osobních údajů a zveřejnit informace o zpracování osobních údajů. Je velice důležité, aby veškeré směrnice, včetně spisového a skartačního řádu, odpovídaly skutečnému fungování organizace. Pokud by se při případné kontrole ze strany dozorového orgánu zjistilo, že směrnice jsou pouze formální, jsou hromadně porušovány a management organizace toto toleruje, bude situace takové organizace poměrně obtížná.

Poslední věcí je pak seznam nalezených rizik a doporučení, jak zlepšit úroveň ochrany osobních údajů v organizaci. Doporučení mohou mít povahu organizačních změn (směrnice, pracovní postupy) nebo technických opatření (například vylepšení zálohování, zlepšení zabezpečení budovy a spisovny). Organizace by pak měla rozhodnout, jakou část těchto doporučení a v jakém čase provede – vždy s ohledem na své personální, časové i finanční možnosti. Důležité je, že s výjimkou zcela zásadních nesouladů s principy GDPR mohou být zjištěná rizika snižována průběžně i po datu účinnosti nařízení, popřípadě mohou být vyhodnocena jako akceptovatelná, neboť náklady vynaložené na jejich snížení by byly neefektivní.

Existuje však jedna oblast, kterou je třeba mít zmapovanou již k datu účinnosti GDPR. Počínaje dnem 25. května 2018 totiž mohou subjekty údajů – tedy občané – žádat o výkon svých práv. Mezi důležitá práva patří právo přístupu (získání kopie zpracovávaných osobních údajů občana včetně dalších informací), právo vznést námitku proti zpracování a právo na výmaz údajů po ukončení zpracování.

Obce mají zkušenosti s vyřizováním žádostí dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Kromě žádostí oprávněných, kterých je většina, se obce setkávají i se žádostmi zjevně šikanózními, kde je patrné, že skutečným účelem není získat informace, ale donutit obec, aby udělala při zpracování žádosti formální chybu a následně se soudně domáhat nápravy a náhrady újmy.

Bohužel lze očekávat, že GDPR přinese v této oblasti zcela novou úroveň. Nařízení stanovuje, že organizace musí poskytnout výkon práv subjektu údajů bezplatně, usnadnit ho a vše vyřídit do 30 dnů. Tato lhůta je jedním z mála zcela konkrétních ustanovení GDPR a její překročení patrně bude mít za následek stížnost občana k dozorovému orgánu. Organizace může sice v určitých případech odmítnout výkon práv subjektu údajů, případně jej zpoplatnit skutečnými náklady, ale tato možnost se bez dostatečné praxe zatím jeví jako značně obtížná.

Prvním problémem při výkonu práv subjektu údajů bude ověření totožnosti žadatele, aby nedošlo k neoprávněnému poskytnutí osobních údajů jiné osobě. Dále je třeba využít zmiňované záznamy o činnostech zpracování a podle nich vyhledat, kde se mohou osobní údaje žadatele vyskytovat. Je třeba upozornit, že se jedná data v informačních systémech a dále dokumenty elektronické i listinné. Vyhledání některých informací může být skutečně náročné a v některých případech nemusí být ani zřejmé, zda se určité osobní údaje vztahují k žadateli (například pokud je v evidenci emailová adresa, nemusí být jisté, které osobě patří). V každém případě je velmi užitečné ještě před datem účinnosti GPDR si tento proces vyzkoušet a zjistit tak jeho reálnou náročnost. Celá oblast výkonu práv subjektů údajů bude zcela jistě pro organizace velkou výzvou a nyní nelze úplně odhadnout veškeré důsledky.

Jak je vidět, datum 25. května 2018 bude velice důležité, byť ne přelomové. Neznamená to, že tento den všechny organizace pracující s osobními údaji úplně změní svůj styl práce. Bude však nutné se při práci s osobními údaji více zamýšlet nad jednotlivými procesy a tyto postupně popsat a standardizovat. Velký objem práce je třeba udělat ještě před datem účinnosti GDPR, proces ochrany osobních údajů je však nikdy nekončící. Pokud bude GDPR v platnosti, bude nutné se jím stále řídit a pravidelně ověřovat, zda se skutečná činnost organizace neodchyluje od nastavených pravidel. Je pravděpodobné, že se postupem času objeví poznatky a zkušenosti, které povedou ve svém důsledku k dalším úpravám, ať již postupů zajištění souladu s GDPR nebo i GDPR samotného. Celé GDPR je založeno na principu určení a řízení rizik a nalezení efektivních nástrojů k jejich snížení. Zcela jiný přístup bude muset zaujmout OSVČ s maximálně stovkami zákazníků, o kterých eviduje pouze kontaktní informace, nebo nemocnice s desítkami tisíc pacientů a jejich zdravotních záznamů v evidenci. Určitě žádné organizaci neublíží, pokud bude mít lepší přehled o zpracování osobních údajů, je ale třeba najít rovnováhu mezi skutečně hrozícími riziky pro osobní údaje osob, prostředky vloženými do ochrany a výsledným efektem.

Mgr. Jan Brychta, Triada, spol. s. r. o.

TOPlist
TOPlist