Co je GDPR?

Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.

Obecné informace

Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (odtud zkratka „GDPR“), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018. České republice nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním smyslem tohoto předpisu je vyšší harmonizace úpravy ochrany osobních údajů a posílení práv subjektů údajů, a tedy i kvalitnější kontrola nakládání s osobními daty lidí. Rovněž dochází k přesnějšímu stanovení povinností správců a zvýšení sankcí za jejich porušení.

Práva subjektů údajů

GDPR výrazně posiluje práva fyzických osob neboli subjektů údajů. Mezi tato práva patří zejména právo na přístup, opravu, výmaz, právo na omezení zpracování, přenositelnost údajů a právo vznést námitku. Každý subjekt má právo ke všem údajům, které má o něm k dispozici podnik, který zpracovává osobní údaje, tzn. i k nestrukturovaným údajům, které mohou tvořit přílohy e-mailů, nebo které jsou uloženy na různých interních a externích úložištích.

Osoby mají právo na přístup, tedy možnost ověřit si zákonnost zpracování jejich údajů. Toto právo lze omezit v zájmu národní nebo veřejné bezpečnosti, obrany a soudních řízení. Osoby mohou získat přístup k informacím o svém zdravotním stavu, k údajům ve své zdravotní dokumentaci.

GDPR také obsahuje právo být informován o tom, za jakým účelem se osobní údaje dané osoby zpracovávají nebo na jak dlouhou dobu jsou uchovávány, nemělo by se to ovšem dotknout obchodního tajemství nebo duševního vlastnictví.

V případě, že jsou uvedeny nesprávné údaje, může osoba, jejichž údajů se to týká, požádat společnost, která tyto údaje zpracovává, ať je napraví. Společnost zpracovávající údaje by měla umožnit podávat žádosti o nápravu nesprávných údajů online.

Nově mají osoby právo na to, aby podnik zpracovávající jejich osobní údaje, tyto údaje vymazal. Právo na výmaz (právo být zapomenut), je upraveno v článku 17 GDPR. Aby se údaje mohly vymazat, musí být splněna jedna z těchto podmínek:

  1. Osobní údaje již nejsou potřebné pro účel, pro který byly zpracovávány.
  2. Dojde k odvolání souhlasu, pokud je zpracovávání založeno na souhlasu a není jiný právní důvod pro zpracování těchto osobních údajů.
  3. Byla vznesena námitka proti zpracování.
  4. Osobní údaje jsou zpracovávány protiprávně.
  5. Rodiče nedaly souhlas se zpracováním osobních údajů svých dětí.

Pokud osoba nemá právo na výmaz, může vznést námitku. Správce, který zpracovává předmětné osobní údaje, potom musí omezit zpracování.

Novinkou je zavedení práva na přenositelnost údajů v článku 20 GDPR. Osoby mohou od správce, který zpracovává jejich údaje, získat své osobní údaje v běžně používaném a strojově čitelném formátu. Tyto údaje pak mohou osoby předat bez překážek jinému správci ke zpracování.

Dopad GDPR na SME

GDPR, až na malé výjimky, nejde a priori cestou úlev pro malé a střední podniky, nýbrž rozsah povinností definuje podle parametrů prováděného zpracování. I SME mohou provádět riziková a rozsáhlá zpracování, a proto by měly splňovat přísné nároky. Pro rozsah povinností tedy není důležitý počet zaměstnanců ani velikost podniku, ale rizikovost a rozsah zpracování, které podnik provádí.

Všichni správci musí dodržovat zásady zpracování osobních údajů uvedené v článku 5 GDPR. Osobní údaje musí být zpracovány korektně a zákonným transparentním způsobem, pro určitý výslovně uvedený a legitimní účel. Mělo by být shromažďováno co nejméně údajů, které jsou nezbytné pro dosažení účelu. Zpracovatel musí osobní údaje zpracovat tak, aby byly náležitě zabezpečeny, chráněny pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním. Základním požadavkem zpracování je jeho zákonnost, která vyplývá předně ze souhlasu subjektu údajů se zpracováním, podnik má pak podle článku 7 povinnost tento souhlas na vyžádání doložit (subjekt ovšem neztrácí právo tento souhlas vzít kdykoliv zpět). Dále může podnik zpracovávat osobní údaje, pokud je to nezbytné pro splnění právní povinnosti nebo je to např. nezbytné pro ochranu životně důležitých zájmů subjektu údajů.

Nyní platná směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato obecná ohlašovací povinnost byla nařízením zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměří na postupy zpracování, jež mohou představovat vysoké riziko pro práva a svobody občanů.

Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti účelů a v umožnění přístupu občanů k jejich údajům. Pseudonymizace znamená takové zpracování, při němž už nelze ke konkrétnímu člověku přiřadit jeho osobní údaje bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny, aby k původním údajům nemohly být opět přiřazeny.

Podnik si musí podle článku 30 vést záznamy o činnostech zpracování, za něž odpovídá. Každý správce a zpracovatel má povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohla být tato zpracování monitorováno.

Tyto záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření

Výjimku z povinnosti vést záznamy mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a neexistuje u nich žádné riziko, které by ohrožovalo práva subjektů údajů, tyto organizace citlivé údaje nezpracovávají nebo se osobní údaje týkají rozsudků v trestních věcech.

Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 GDPR nahlášeno bez zbytečného odkladu (tj. do 72 hodin) dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pokud zpracovatel zjistí porušení zabezpečení, ohlásí takovou skutečnost neprodleně správci. Pokud jsou práva subjektů ohrožena vysokým rizikem, musí to správce subjektu oznámit., musí to správce subjektu oznámit.

Pokud jsou při zpracování rozsáhlým způsobem ohrožena práva a svobody fyzických osob, musí správce vypracovat posudek vlivu na ochranu osobních údajů, v angličtině DPIA, neboli Data Protection Impact Assessment. Posouzení vlivu na ochranu osobních údaj upravuje článek 35 GDPR. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven nebo leasingových či jiných finančních institucí. Algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby.

Dále posouzení vlivu na ochranu osobních údajů budou muset vypracovat společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu.

Obdobnou povinnost pak budou mít všechny společnosti nebo instituce, které v rozsáhlém objemu zpracovávají citlivé osobní údaje anebo systematicky monitorují veřejně přístupné prostory. Příkladem této kategorie společností jsou bezpečnostní agentury, zdravotní pojišťovny nebo nemocnice.

Správce nebo zpracovatel má povinnost podle článku 37 GDPR jmenovat pověřence pro ochranu osobních údajů. Musí tak učinit ve třech případech.

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v takových operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Postupy implementace

Implementaci GDPR by podnik neměl podceňovat. Doba potřebná pro přípravu GDPR se může pohybovat v rozmezí od 2 do 24 měsíců, u malých a středních podniků je tato doba kratší – od 2 do 12 měsíců. Implementaci můžeme rozdělit do 3 základních fází:

  1. mapování a rozdílová (GAP) analýza;
  2. dopadová analýza; a
  3. implementace GDPR.

1. Mapování a rozdílová (GAP) analýza

Nejprve podnik musí posoudit, jaké informace zpracovává a jak splňuje v současnosti požadavky dle GDPR. Následně se bude posuzovat, jak podnik splňuje právní a technické požadavky GDPR. Nesoulad se předpokládá tam, kde GDPR zavádí nové povinnosti (např. při povinnosti jmenování pověřence).

2. Dopadová analýza

Poté se musí analyzovat dopady, které změny vyvolané nutností zajištění souladu přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. V rámci dopadové analýzy by měly malé a střední podniky zhodnotit, zda a v jakém rozsahu se jich bude týkat jediná relevantní výjimka (právě pro malé a střední podniky) z povinnosti vést záznamy o činnosti zpracování podle čl. 30 GDPR. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, tyto organizace nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Je třeba také celkově posoudit rizika konkrétního zpracování. Je to důležité pro zvolení takových opatření k zajištění souladu, která jsou vzhledem k úrovni rizika potřeba, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Musí se také zjistit riziko zpracování např. při posouzení oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, posouzení slučitelnosti účelů dle čl. 6 odst. 4 GDPR, splnění požadavků dle čl. 25 GDPR atd. Dále je nezbytné posoudit bezpečnostní rizika podle čl. 32 GDPR a je namístě navrhnout vhodná technická a organizační opatření k zajištění integrity a bezpečnosti zpracování. Dále se pak nelze vyhnout nutnosti posoudit, jestli má podnik povinnost jmenovat pověřence pro ochranu osobních údajů. U malých a středních podniků k tomu nebude často docházet. Pokud podnik dojde k závěru, že musí pověřence jmenovat, měl by tak učinit ještě před zahájením samotné implementace navržených kroků z dopadové analýzy. Pověřenec tak bude moci dát podniku kvalifikované stanovisko k tomu, jestli jsou navrhovaná opatření dostatečná, či nikoliv.

3. Implementace GDPR.

Po dokončení analýzy dopadů podnik začne postupně provádět všechna opatření, která byla v jejím rámci navrhnuta.

  1. Mělo by dojít k úpravě externí dokumentace. Měly by se upravit souhlasy se zpracováním, obchodní podmínky, podmínky ochrany osobních údajů, zpracovatelské smlouvy apod.
  2. Je třeba upravit interní dokumentace jako např. vnitřní předpisy a jinou dokumentaci určenou zaměstnancům, vytvořit koncepci ochrany osobních údajů, podle potřeby provést a zdokumentovat různá posouzení.
  3. Dále je vhodné upravit procesy zpracování osobních údajů, a to jak uvnitř společnosti, tak navenek.
  4. Nelze se vyhnout ani úpravě informačních systémů. Aby byl správce schopen plnit povinnosti podle GDPR, pak musí mít pořádek v datech.
  5. Musí být vytvořen plán pro případ porušení zabezpečení osobních údajů. Musí se vytvořit procesy interního reportování, vyšetřování a mírnění důsledků porušení zabezpečení.
  6. Správce se musí připravit na výkon práv subjektů údajů. Musí se zavést nutná organizační a technická opatření k tomu, aby byl subjektům údajů umožněn a usnadňován výkon jejich práv.
  7. Správce se také neobejde bez vytvoření komplexního accountability mechanismu. Procesy správce by měly automaticky generovat potřebnou dokumentaci, která se uchovává. Správce je totiž povinen vždy být schopen prokázat soulad s GDPR. Proto je důležité, aby byla veškerá zpracování podrobně a přehledně dokumentována.
  8. Správce musí implementovat zásady záměrné a standardní ochrany osobních údajů. Musí se zavést technická a organizační opatření k zajištění naplňování základních zásad zpracování.

Postup v případě porušení zabezpečení

Správce nebo zpracovatel mají povinnost zabezpečit zpracovávané údaje. Přesto může dojít k porušení zabezpečení osobních údajů. Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 nahlášeno bez zbytečného odkladu dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pro hlášení je stanovena lhůta 72 hodin. Protože porušení zabezpečení se může vyskytnout kdekoliv v organizaci, měla by se opatření, která jsou nezbytná pro plnění v případě porušení zabezpečení osobních údajů, zavést předem. Musí se nastavit postupy, které budou napomáhat předcházení incidentům, postupy, které pomohou odhalit a vyhodnotit případný konflikt, a postupy uplatňované při řešení incidentu, minimalizaci negativních následků a ohlašování na příslušná místa.

Správce by měl předem vypracovat vhodné plány, které budou určené k řešení případů porušení zabezpečení osobních údajů. Měl by zřídit kontaktní místo pro všechny osoby ohlašující incident, díky čemuž bude schopen zajistit, aby na porušení bylo reagováno rychle a účinně.

Ohlašovací povinnost nedopadá na všechna porušení. Správce nemusí ohlašovat dozorovému úřadu ani subjektu údajů takové porušení, které nepředstavuje riziko pro práva a svobody dotčených fyzických osob, porušení, které nemá nepříznivý dopad nebo neohrozí soukromí dotčených fyzických osob. Např. se jedná o situace, kdy jsou data dostatečně zabezpečena. Neoprávněná osoba je nemůže přečíst, protože byla provedena psedonymizace nebo šifrování. Nebo třeba v případě, kdy byla data zaslána známému a spolehlivému příjemci omylem a příjemce se zaručí, že zpřístupněné údaje již nevlastní a vymazal je. Riziko už není pravděpodobné. Správce má povinnost dokumentovat veškeré případy porušení, tedy i takové, které nepředstavují riziko pro práva a svobody dotčeného subjektu údajů, a tedy nepodléhají ohlašovací povinnosti Úřadu.

Správce musí hlásit porušení zabezpečení až v případě, kdy dané porušení představuje riziko pro dotčené fyzické osoby. Při ohlášení se musí popsat povaha případu porušení a jméno a kontaktní údaje pověřence nebo jiného kontaktního místa, které může poskytnout bližší informace. Dále se popíší pravděpodobné důsledky porušení a opatření, která správce přijal nebo navrhuje s cílem vyřešit a minimalizovat důsledky porušení. Pokud zpracovatel zjistí takovéto porušení zabezpečení, ohlásí to neprodleně správci.

Pokud existuje vysoké riziko pro práva dotčených osob, je v GDPR stanovena ohlašovací povinnost nejen vůči dozorčímu úřadu, ale i povinnost oznámit takovou skutečnost dotčeným subjektům. Vymezit druhy operací, které pravděpodobně budou mít za následek vysoké riziko pro práva a svobody fyzických osob, je úkolem jednotlivých dozorových úřadů, které by měly takové seznamy sestavit, zveřejnit a předat nově vzniklému Sboru pro ochranu osobních údajů (čl. 35 odst. 4 GDPR). Určující by měla být míra pravděpodobnosti a závažnosti takového rizika. Např. zcizení klientské databáze v nezašifrované podobě, obsahující identifikační údaje, rodné číslo, číslo účtu, přístupové údaje, uživatelské jméno, zákaznické číslo nebo zdravotní stav, přičemž cílem zcizení databáze bylo zneužití osobních údajů, by bylo nutné považovat za vysoce rizikové. Oznámení porušení by mělo být provedeno bez zbytečného odkladu. V oznámení by měla být alespoň popsána povaha porušení, jméno a kontaktní údaje pověřence nebo jiné kontaktní osoby, která může poskytnout podrobnější informace, popis důsledků porušení a doporučení pro dotčenou fyzickou osobu, jak může případné nežádoucí účinky zmírnit. GDPR stanoví výjimky, kdy oznamovat porušení dotčené osobě není nutné. Výjimkou je případ, když zasažené údaje byly nečitelné nebo nešly přiřadit ke konkrétním osobám, byla přijata opatření, která zajistila, že vysoké riziko již nehrozí nebo by oznámení vyžadovalo nepřiměřené úsilí. V posledním případě místo toho dojde k veřejnému oznámení, které subjekty informuje stejně účinně.

Šetření o uplatňování gdpr

Dodržování GDPR monitorují podle článku 51 GDPR dozorové úřady jako nezávislé orgány veřejné moci. V České republice je tímto dozorovým úřadem Úřad pro ochranu osobních údajů. Dozorový úřad provádí šetření o uplatňování GDPR. Informace o porušení GDPR může dozorový úřad zjistit od jiného dozorového úřadu nebo od jiného orgánu veřejné moci, fyzické osoby mohou podávat stížnosti. Při šetření musí podle článku 58 GDPR podnik, který zpracovává osobní údaje, poskytnout veškeré informace, přístup do všech prostor, kde působí, i přístup k informacím, které dozorový úřad potřebuje pro svoje vyšetřování. Vyšetřování je provedeno formou auditu ochrany údajů. Dozorový úřad ohlásí podniku porušení GDPR. Může mu udělit napomenutí nebo nařídit, aby uvedl operace zpracování do souladu s GDPR. K tomu mu poskytne lhůtu. Dále může nařídit, aby vyhověl žádosti subjektu nebo aby subjektu oznámil případy porušení zabezpečení osobních údajů. Dozorový úřad může také zakázat zpracování osobních údajů, případně dočasně nebo trvale omezit zpracování. Také nařizuje opravu či výmaz osobních údajů. Za porušení se ukládají pokuty.

Pokuty a sankce

Úřad pro ochranu osobních údajů ukládá pokuty za porušení GDPR. Ukládání správních pokut je vymezeno v článku 83 GDPR. Pokuty mají být účinné, přiměřené a odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu. Zhodnotí se např. zda k porušení došlo úmyslně nebo z nedbalosti, jak dlouho porušení trvalo nebo jak bylo závažné. Při méně závažném porušení hrozí pokuta až do výše 10 000 000 euro nebo do výše 2 % z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším porušení hrozí pokuta až do výše 20 000 000 euro nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti za předchozí finanční rok. Hodnota pokuty bude stanovena jako vyšší z obou možností. Za závažnější porušení zpracování osobních údajů se považuje např. porušení základních zásad pro zpracování.

Podnik také může být nucen pozastavit zpracování osobních údajů, případně mu hrozí, že nebude moci zpracovávat osobní údaje vůbec.

Podnik, který zpracovává osobní údaje, také odpovídá podle článku 82 GDPR za hmotnou či nehmotnou újmu, kterou způsobil subjektu údajů. Odpovědnosti se může zprostit, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.