Čas neúprosně běží a již v řádu týdnů bude Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) účinné. Tato série článků se již od loňského roku zabývala praktickou stránkou přípravy na účinnost GDPR a nejdůležitějšími změnami, které GDPR přináší. Veřejným tajemstvím přitom je skutečnost, že velká většina povinností vyplývajících z GDPR vyplývala již ze zákona o ochraně osobních údajů (zákon č. 101/2000 Sb. ), v některých případech i v přísnější podobě. V předchozích článcích bylo pojednáváno o přípravě projektu zajištění souladu vašeho podnikání s touto novou právní úpravou, dále byla podrobněji rozpracována analytická část projektu a rovněž byly zmíněny specifické instituty, které musí být při přípravě a realizaci projektu zohledněny. V tomto závěrečném dílu vám představíme praktický přehled a shrnutí těch nejzásadnějších kroků, které je před účinností GDPR nutné realizovat, a také zrekapitulujeme rámcový plán celého projektu.
Praktický průvodce přípravou na GDPR: Část IV. Shrnutí nejdůležitějších povinností
Vydáno:
13 minut čtení
Praktický průvodce přípravou na GDPR: Část IV. Shrnutí nejdůležitějších povinností
Mgr.
Michal
Nulíček,
LL.M., CIPP/E
Zásadní kroky před účinností GDPR
1. Identifikovat činnosti zpracování osobních údajů
Prvním a hlavním krokem by mělo být zjištění, zdali vůbec a případně k jakému zpracování osobních údajů v rámci vašeho podnikání dochází. Při takovém posouzení je však nutné uvědomit si, že pojem zpracování je pojat velice široce. Zpracováním osobních údajů je tudíž také jen pouhé nahlédnutí na osobní údaje, jejich shromáždění či uložení. Ke zpracování osobních údajů tedy dochází například již při získávání osobních údajů a registraci uživatelů, uložení takto získaných dat či jejich následném využití pro poskytování služeb. Teprve na základě takové identifikace je dále možné realizovat další a podrobnější kroky k dosažení toho, abyste předmětné zpracování mohli dostat do souladu s GDPR.
Podstatné je neopomenout, že GDPR se vztahuje nejen na problematiku zpracování osobních údajů vašich klientů a zákazníků, ale také na zpracování údajů vašich zaměstnanců či jiných podřízených. V rámci tohoto kroku by tedy měly být identifikovány i procesy zpracování související například s provozem vašeho podnikání, náborem nových pracovníků či třeba hodnocením práce a udělováním benefitů, ale také například archivací informací o pracovním poměru po jeho skončení.
2. Zrevidovat využívání právních titulů
Dále je nutné identifikovat právní základy (právní tituly), na základě kterých ke zpracování osobních údajů dochází. Dle GDPR by mělo být každé zpracování osobních údajů založeno na odpovídajícím právním titulu. Mezi ty patří plnění smlouvy, plnění právní povinnosti, ochrana životně důležitých zájmů, veřejný zájem, oprávněný zájem správce či souhlas subjektu údajů.
Ačkoli byl doposud za nejčastější titul zpracování využíván právě souhlas, nejedná se o doporučovanou variantu. Naopak, měla by to být až poslední možnost. Zcela zásadní je totiž skutečnost, že subjekt údajů musí mít možnost kdykoli takový svůj souhlas odvolat. V takovém případě správce přestává mít právní titul a musí zpracování údajů subjektu, který souhlas odvolal, ukončit. Navíc, GDPR představuje náročnější požadavky na takový souhlas se zpracováním osobních údajů, než tomu bylo dle předchozí právní úpravy (nicméně při započtení konstantního výkladu dozorových úřadů ani zde nedochází k zásadnímu posunu). Souhlas by tedy měl být svobodný, specifický, informovaný a jednoznačný či třeba bude muset být vyjádřen srozumitelně a odlišitelně od dalších skutečností. S ohledem na tyto změny bude v řadě případů docházet k takzvanému
přesouhlasení,
neboli získání nových souhlasů subjektů údajů, které již předmětné požadavky budou splňovat. V některých případech bude současně vhodné souhlasy se zpracováním nahradit jinými tituly, například plněním smlouvy či oprávněnými zájmy správce. S ohledem na krátící se čas pro provedení těchto úkonů by to však skutečně měla být až závěrečná varianta, kdy se zpracování nepodaří podřadit pod jiný titul.3. Definovat účely, pro které ke zpracování osobních údajů dochází
Při přípravě na GDPR je rovněž nutné správně a určitě definovat účely, za kterými ke zpracování osobních údajů dochází. Pro každý z nich bude následně definován konkrétní právní titul.
Účely by měly být definovány jasně a určitě a musí k nim být přiřaditelné veškeré identifikované činnosti (operace) zpracování. Za dostatečně konkrétní účel lze považovat například
zasílání slev a jiných pro vás relevantních nabídek určených na základě vašich potřeb a chování.
Vágní a nespecifické účely nemohou být považovány za dostatečné, neboť jejich prostřednictvím nemusí být subjektu jasné, co se s jeho údaji bude dít. Takový přístup by tudíž byl v rozporu se zásadou transparentnosti, na které si celé GDPR zakládá. Za příklad takového vágně formulovaného účelu lze uvést například marketingové účely.
V takovém případě se subjekt údajů může skutečně pouze domnívat, co to vlastně znamená (i s ohledem na velmi rychlý rozvoj této oblasti v několika posledních letech).Vymezení účelů přitom není jen slohovým cvičením správce, ale je zcela klíčové pro zajištění souladu s GDPR. Toto nařízení je postaveno na koncepci, kdy všechna práva, povinnosti a parametry zpracování jsou závislé na konkrétním účelu. Pokud tak správce zpracovává určitý údaj za několika odlišnými účely (toto je zcela běžné u zaměstnanecké a zákaznické agendy), bude každé toto zpracování mít odlišné parametry, lišící se v možné době archivace, možných operacích s osobními údaji, právy osob k údajům apod. Pokud bude správce zpracovávat údaje „na jedné hromadě“ a bez rozlišení účelů, již tímto poruší GDPR (nedovolené slučování údajů zpracovávaných pro více účelů) a současně nebude moci plnit celou řadu povinností uložených mu GDPR. Netřeba uvádět, že zajištění tohoto dělení a evidence zpracování po účelech může být pro správce zásadní výzvou – ani zde se však nejedná o novinku, ale o princip, který platil již dle zákona o ochraně osobních údajů.
4. Zajistit postup správného informování subjektů
Další aktivita, která by měla být zkontrolována, je plnění informační povinnosti. Správci osobních údajů mají na základě GDPR vůči subjektům, jejichž údaje zpracovávají, tuto povinnost značně rozsáhlejší, a to v souladu s již výše zmíněnou zásadou transparentnosti. S ohledem na rozdíly rozsahu požadovaných informací by tudíž mělo dojít k revizi, zdali je informování prováděno správně, dostatečně a v požadované formě.
Mezi údaje, které by subjektům měly být poskytovány, patří například totožnost správce, účely zpracování, další příjemci údajů či třeba doba zpracování. Nejedná se však o úplný výčet. S ohledem na množství těchto informací může být složité poskytnout je subjektu dostatečně jasným a přehledným způsobem, jak to GDPR vyžaduje. Zejména v prostředí internetu je za vhodný způsob považováno takzvané vrstvení. V takovém případě dochází k poskytování informací subjektu v jednotlivých úrovních. V úrovni první dojde ke stručnému poskytnutí těch nejdůležitějších údajů, jako je totožnost správce, přehled účelů, rámcové informace o rozsahu zpracovávaných údajů či překvapivé informace o zpracování (např. informace o automatizovaném individuálním rozhodování). Současně je v první úrovni nutno poskytnout jednoznačný odkaz na další úrovně informací. Ostatní informace lze poskytnout až v úrovni další, již v rozsáhlejší a podrobnější podobě, na kterou se subjekt dostane prostřednictvím odkazů.
5. Napomáhat subjektům s výkonem jejich práv
Při zajišťování souladu s přicházející legislativou je rovněž nutné brát v potaz, že subjekt údajů má dle GDPR různá práva, a to zejména právo na přístup či na opravu, právo na výmaz, na námitku nebo právo na přenositelnost (byť zcela nové je pouze poslední z uvedených práv). Zcela zásadní zde je, že správce osobních údajů by měl subjektu umožnit jeho práva nejen vykonávat, ale rovněž má povinnost mu k takovému výkonu práv napomáhat. Toho lze v praxi dosáhnout především specifikací jasného postupu, jak je možné se jednotlivých práv domoci. Další nápomoc je možné spatřovat v poskytnutí vhodných komunikačních kanálů, prostřednictvím kterých bude subjektům při výkonu jejich práv poskytováno poradenství a podpora. V neposlední řadě může v případech, kde lze očekávat časté uplatňování práv subjektů, rovněž dojít k přípravě vzorových formulářů. Ty také mohou ve výsledku usnadnit jednotlivým subjektům výkon jejich práv, jak GDPR požaduje. Poskytnutí těchto informací může být vhodné i pro zvýšení kvality jednotlivých žádostí – správci se bude mnohem jednodušeji reagovat na typizované a jím připravené žádosti než na nestrukturované, neurčité a často naprosto nepodložené žádosti subjektů, které ve většině případů budou mít o právní úpravě představu jen velmi mlhavou (a budou tak například požadovat výmaz všech svých údajů i tehdy, kdy jsou nezbytné pro splnění smlouvy či právní povinnosti).
6. Zajistit zabezpečení osobních údajů
Následujícím krokem by mělo být posouzení rizik, která ze zpracování osobních údajů vyplývají, a navazující přijetí adekvátních bezpečnostních opatření, která na ně budou reagovat. V dnešní době je problematika bezpečnosti zcela zásadní, a tak je i v tomto případě nutné brát ji vážně. GDPR přímo uvádí žádoucí typy zabezpečení osobních údajů, jako je pseudonymizace a šifrování údajů (samozřejmě ne všech, jen tam, kde je to vhodné), zajištění schopnosti tyto údaje obnovit, zajištění integrity a důvěrnosti údajů a také provádění kontrol, zdali jsou tyto bezpečnostní prvky neustále aktuální, účinné a dostačující. Tyto by každý správce měl zavést, či alespoň odůvodnit, proč tak neučinil. Za další, dobrovolné prvky ochrany lze považovat především používání antivirové ochrany, kontrolu a omezení přístupu k údajům a zabezpečení fyzické ochrany dat.
7. Upravit případné vztahy s využívanými zpracovateli osobních údajů
Na základě identifikovaných činností by dále mělo dojít k revizi, zdali jsou pro předmětné činnosti zpracování využívány další subjekty. Pokud tyto subjekty vykonávají zpracování pouze na základě pokynu a pověření vás jako správce, jedná se o zpracovatele osobních údajů. Může se jednat například o poskytovatele služeb zasílání obchodních sdělení, poskytovatele a provozovatele informačních systémů či třeba o externí společnosti zajišťující provoz recepce.
Vy jako správce osobních údajů máte dle GDPR povinnost mít vztah s vašimi zpracovateli upraven smluvně. Cílem této smlouvy je především zajištění bezpečnosti a stanovení povinností. Ostatní náležitosti, které by taková smlouva či jiný právní akt měly obsahovat, stanoví GDPR ve svém článku 28 odst. 3. Ani zde se přitom nejedná o nový institut, GDPR jej pouze více specifikuje.
V praxi bude docházet ke dvěma způsobům plnění této povinnosti. Jednak bude možné uzavření nové smlouvy, která se tak často bude vztahovat k již probíhajícímu zpracování, nebo budou uzavírány tzv. zpracovatelské doložky, neboli doplnění již existujícího či připravovaného smluvního vztahu. Mezi zvolenými variantami však nebude v praxi z hlediska GDPR rozdíl, důležité bude, aby jak zvláštní zpracovatelská smlouva, tak zpracovatelské doložky požadavky kladené tímto předpisem splňovaly.
Kontrola ze strany dozorového úřadu
Podstatné je, že dle GDPR budete vy jako správci osobních údajů za vámi či vašimi zpracovateli prováděné zpracování odpovědní. Vaším úkolem je nejen povinnosti stanovené GDPR plnit, ale rovněž jejich plnění prokázat. V případě, kdy budete podrobeni kontrole ze strany dozorového úřadu, tedy Úřadu pro ochranu osobních údajů (ÚOOÚ), bude tudíž nutné plnění vašich povinností doložit.
V této souvislosti jsou zásadním institutem záznamy o činnostech zpracování, které máte rovněž povinnost vést. Měly by obsahovat přehled jednotlivých zpracování a shrnutí základních informací o takových zpracováních. Tyto přehledy mají být následně na základě vyžádání předloženy ÚOOÚ.
Vedle záznamů o činnostech zpracování, které jsou poměrně statickým dokumentem, by současně měly být dokumentovány v určité míře detailu také jednotlivé operace zpracování. Jen tak totiž správce bude moci zajistit, že prováděl zpracování v souladu s GDPR.
Plán projektu
Pro zajištění souladu s GDPR je obecně především nutné postupovat systematicky. Vhodné je stanovit si určitý plán projektu a dále jej postupně realizovat. Nejprve by mělo dojít k úvodní analýze, spočívající ve zmapování všech procesů relevantních z hlediska ochrany osobních údajů. K takové činnosti je mnohdy výhodné využít dotazníkové formuláře. Další postup by měl spočívat v identifikaci nesouladu aktuálního stavu se stavem, který je požadován GDPR. Na základě takto zjištěných nesouladů je dále doporučované připravit návrhy opatření, které v předchozí fázi identifikované nedostatky odstraní. V závěrečné etapě by pak mělo dojít k implementaci potřebných změn, úpravě dokumentů či případnému nastavení nových procesů.
Jakkoli je výše uvedený koncept pouze příkladmý, představuje praxi realizovanou mnoha poradenskými a advokátními kancelářemi, které tento projektový postup v dnešní době hojně využívají. Je však nutné vždy brát v potaz individuální aspekty vašeho podnikání a rozsah prováděného zpracování, což se ve výsledku promítne i do časové náročnosti jednotlivých etap.
Závěr
Pokud jste splnili výše uvedené kroky či předpokládáte splnění rozpracovaného plánu, můžete základní přípravu na GDPR považovat za hotovou. Ačkoli je GDPR komplexní a složitý předpis, který přináší mnohé nové povinnosti, za jejichž porušení hrozí vysoké sankce, věříme, že vám informace a praktické rady v této řadě článků pomohou. Pokud byste si však nebyli jisti, jak v projektu či v konkrétní věci postupovat, a to například s ohledem na specifika vašeho podnikání, můžeme pouze doporučit, abyste se obrátili na odborníky z oboru a nechali si poskytnout profesionální pomoc. Vždy se totiž vyplatí spíše se detailněji zaměřit na prvotní posouzení nejvhodnějších a nejnutnějších kroků, než následně řešit problémy způsobené implementací založenou na nesprávných závěrech. Zatímco efektivní nastavení těchto procesů vám může dát konkurenční výhodu, nesprávné nastavení vyžadující náročnou či dokonce opakovanou implementaci může pro vaše podnikání a vaši reputaci znamenat zásadní dopad – mýtů o GDPR totiž koluje velká spousta. O těch zase někdy příště.
Předchozí části příspěvku:
Část I. Plánování projektu
Část II. Analytická část projektu
Část III. Dopad některých povinností dle GDPR na činnost podnikatelů
Zdroj: Odborný portál DAUC.cz, 2018.