Praktický průvodce přípravou na GDPR: Část II. Analytická část projektu

Vydáno: 11 minut čtení

Účinnost Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) se kvapem blíží a většina organizací již nějakým způsobem zahájila projekt přípravy na plnění nových povinností, které jim toto nové nařízení ukládá. Pokud vaše společnost patří k těm, které ještě s přípravami nezačaly, doporučujeme projekt co nejdříve zahájit a přípravy nepodcenit. Návod na to, kde začít a jak projekt zahájit, najdete v předchozím díle této série článků. V tomto díle se budeme podrobněji věnovat analytické části projektu, a to etapě GAP analýzy a dopadové analýzy.

Praktický průvodce přípravou na GDPR - Část II. Analytická část projektu
Mgr.
Michal
Nulíček,
LL.M., CIPP/E
 
GAP analýza
GAP analýza slouží ke zjištění rozdílu mezi aktuálním stavem souladu s GDPR a tím stavem, jehož dosažení je dle GDPR nezbytné. V rámci dopadové analýzy jsou poté navržena opatření, která bude nutné přijmout za účelem odstranění rozdílů zjištěných v rámci GAP analýzy (viz níže).
Podstatou GAP analýzy je posoudit soulad současného stavu, který byl zjištěn v rámci mapování, s požadavky dle GDPR. Pravidelně je v analýze uváděn jak rozdíl mezi aktuálním stavem a nepodkročitelným minimem, tak rozdíl mezi aktuálním stavem a doporučovaným, právně bezpečným (nikoli však nadmíru zatěžujícím) stavem.
Nejčastějším důvodem nedostatečných GAP analýz je přitom právě nedostatečné zvládnutí předchozí fáze mapování. Obzvláště pokud se jedná o velké správce s velkým rozsahem zpracování, je náročnost mapování značná. Vzhledem ke složitosti fungování celého subjektu je přitom časté, že mapování provádí určená analytická společnost, zatímco GAP analýzu má posléze na starosti právní poradce. Problémem poté nejčastěji bývá to, že analytici nevědí, co přesně potřebuje právní poradce za informace k tomu, aby mohl provést komplexní a úplné posouzení souladu. Z tohoto důvodu je naprosto klíčové, aby byla analytická a právní část týmu kvalitně zkoordinovaná. Pokud je mapování provedeno kvalitně a podle požadavků právní části týmu, tak by se dalo říci, že polovina úspěchu je zaručena.
Další okolností, která může vést k neuspokojivým závěrům GAP analýz, je nedostatečné pochopení potřeb správce a mechanický přístup ke GAP analýze. Pravidelně například bude zjištěno, že získané souhlasy neodpovídají požadavkům GDPR. Při mechanickém přístupu ke GAP analýze může být správci jako GAP pouze indikována nedostatečnost souhlasů, jejíž řešení by následně (dle závěrů Dopadové analýzy) vyžadovalo, aby správce souhlasy upravil a získal znovu (tzv. přesouhlasil). Pokud však poradce detailně porozumí prováděnému zpracování, potřebám správce a implikacím vyplývajícím z GDPR, může v GAP analýze kromě nedostatečnosti souhlasů identifikovat i jejich nadbytečnost. Následně může poradce v dopadové analýze např. navrhnout, že namísto souhlasů lze užít titulu plnění smlouvy či oprávněného zájmu správce, čímž správci ušetří jak značné množství prostředků, které by jinak vynaložil na tzv. přesouhlasení, tak následné komplikace vyplývající z nadbytečného vyžadování souhlasů (souhlas „navíc“ není bezpečnější, naopak se jedná o porušení GDPR, za které lze uložit sankci). I zde tedy platí, že GAP analýze je nezbytné věnovat náležitou pozornost, jelikož její nesprávné provedení může vést (často zbytečně) k řádově náročnější implementaci.
 
Dopadová analýza
Vzápětí po vytvoření GAP analýzy by měla být vytvořena tzv. dopadová analýza. Pravidelně je prováděna společně s GAP analýzou, nicméně pro účely jednoduššího porozumění jejímu obsahu ji zde uvádíme zvlášť. Cílem dopadové analýzy je navržení opatření, kterými budou odstraněny nedostatky zjištěné v GAP analýze, a identifikace jejich dopadů. Pokud užijeme příkladu uvedeného výše, pokud bude v GAP analýze indikována nadbytečnost souhlasu, měla by dopadová analýza jako návrh opatření uvést užití jiného právního titulu pro zpracování a jako konkrétní dopady vymezit například nutnost úpravy podmínek zpracování osobních údajů, interních procesů apod. Naopak pokud bude indikována nutnost
tzv. přesouhlasení
, mělo by být v dopadové analýze uvedeno, jakým způsobem by měl být souhlas upraven, jak naložit se stávajícími údaji, jakým způsobem budou stávající zákazníci osloveni s požadavkem na obnovení souhlasu podle nových nároků dle GDPR apod.
V rámci přípravy na GDPR bude nutná také rozsáhlá úprava různé klientské dokumentace. Upraveny budou muset být nejrůznější obchodní podmínky, formuláře, prostřednictvím nichž jsou získávány osobní údaje, žádosti o aktualizaci osobních údajů, podmínky zpracování osobních údajů apod. V rámci dopadové analýzy by mělo být indikováno, co je potřeba změnit a jak.
Mělo by dojít také k posouzení, zda pro organizaci existuje povinnost jmenovat pověřence pro ochranu osobních údajů.
Podrobná vodítka
k tomu, jak určit, jestli povinnost existuje, či nikoliv, vydala Pracovní skupina podle článku 29 a jejich český překlad lze nalézt na webových stránkách Úřadu pro ochranu osobních údajů (ÚOOÚ) v záložce „GDPR“. Pokud je v rámci tohoto posouzení zjištěno, že je pověřence nutné jmenovat, je potřeba v organizaci vytvořit tuto pozici, a to s ohledem na všechny nároky, které klade GDPR a také s ohledem na to, jaké by měl mít v organizaci pověřenec alokované prostředky. V ideálním případě by měl být v organizaci pověřenec přítomen již v této fázi, aby mohl posoudit, zda jsou navržená opatření s ohledem na soulad s GDPR dostatečná, či nikoliv.
 
Správné nastavení právních titulů a účelů zpracování
Při sestavování dopadové analýzy je důležité mít na paměti některé nezbytné povinnosti, bez jejichž správného uplatnění již v této fázi by nebylo možné projekt úspěšně dokončit. První takovou povinností, jíž je možné označit za alfu a omegu souladu s GDPR, je
správná identifikace účelů zpracování a jejich následné napárování
na vhodné právní tituly, o kterých bylo krátce hovořeno již výše. Účel zpracování je základním pojmem, se kterým se pojí plnění mnoha dalších povinností dle GDPR. Vyjadřuje jednoduše to, proč jsou osobní údaje zpracovány. Jednotlivé účely je nutné definovat a následně o nich informovat subjekty osobních údajů. Na základě definovaného účelu je poté možné provádět takové operace zpracování, které jsou nezbytné pro jeho dosažení a které zároveň subjekt údajů na základě jemu sdělených informací může rozumně očekávat. Účel však nelze definovat vágně, jako například „nabízení produktů a služeb“ či „marketingové účely“. Ideální je naopak takovéto vymezení doplnit o podrobnější informace o konkrétních cílech konkrétního zpracování. Pokud bude sděleno subjektu údajů, že se jedná o „nabízení produktů a služeb“ a nic dalšího, je poměrně nepravděpodobné, že by pro takto definovaný účel mohly být prováděny pokročilé analytické činnosti prováděné např. s cílem personalizace nabídek. Pokud však bude tato definice rozšířena o další popis, ve kterém bude vysvětleno, že zpracování bude probíhat i z důvodů personalizace nabídek, využití účelu se tímto rozšíří.
Každý účel zpracování musí být následně
založen na jednom z právních titulů dle čl. 6 odst. 1 GDPR
. Nařízení umožňuje zpracování osobních údajů na základě vícera právních titulů, avšak ve většině případů je vhodné zpracovávat pro určitý účel osobní údaje na základě právě jednoho z nich.
Příklad
Zpracování osobních údajů prostřednictvím bezpečnostních kamer umístěných v prodejně je možné provádět na základě oprávněného zájmu. Dojít k tomu lze jednoduše vylučovací metodou. Získávat souhlas od každého, kdo by se na záznamu objevil, je nemožné. Navíc by osoba, která do prodejny přišla krást, po odchodu z prodejny souhlas odvolala. Stejně tak mezi prodejcem a lidmi na záznamu neexistuje smlouva, která by toto vyžadovala (samozřejmě pokud si někdo neobjedná tvorbu videa, na kterém v dané prodejně nakupuje).
Toto zpracování není prováděno pro plnění právní povinnosti, není ním chráněn životně důležitý zájem lidí na záznamu, ani se nejedná o zpracování v rámci plnění úkolu prováděného ve veřejném zájmu. Logicky tedy zbývá pouze možnost využití oprávněného zájmu.
Největší pochybnost v případě určování správných právních titulů pro zpracování může nastat mezi tím, jestli zvolit
oprávněný zájem
nebo jestli je nutné spoléhat na souhlas.
Souhlas se zpracováním osobních údajů
je vzhledem k nárokům na jeho získání a k možnosti jeho odvolání při zpracování pro správce tou nejhorší volbou a spoléhat na něj by se mělo až tehdy, když je jasné, že žádného jiného právního titulu nelze využít. V případě, že není jasné, zda využít souhlasu, nebo oprávněného zájmu by tedy mělo dojít nejprve k provedení posouzení oprávněného zájmu a teprve pokud v rámci tohoto posouzení vyplyne, že oprávněný zájem převáží zájmy a základní práva a svobody subjektů údajů, by měl být zvolen souhlas se zpracováním. Výsledky tohoto „právního cvičení“ mohou být správci nuceni následně předložit na vyžádání ÚOOÚ, při jeho přípravě je tak vhodné obrátit se na zkušené poradce, kteří ze své praxe ví, co ještě lze oprávněným zájmem odůvodnit a co již nikoli.
 
Zásada odpovědnosti za zpracování
Další velmi důležitou povinností, kterou je nutné vzít do úvahy v rámci dopadové analýzy, je
zásada odpovědnosti za zpracování
. Dle této zásady je správce osobních údajů odpovědný za to, že zpracovává osobní údajů v souladu se základními zásadami pro zpracování, a zároveň je povinen být schopen doložit, že tomu tak skutečně je. Právě povinnost prokazovat soulad s GDPR je po administrativní stránce velmi náročná, obzvláště potom pro velké organizace či organizace závislé na vytěžování dat, jejichž zpracování bývají velmi rozsáhlá a různorodá.
Povinnost prokazovat soulad v případě kontroly ÚOOÚ
de facto
znamená povinnost dokumentace všech relevantních procesů, které se dotýkají plnění některých povinností dle GDPR (i proto je řádné zmapování těchto procesů klíčové). Ilustrovat to lze na příkladu oprávněného zájmu, o kterém se již zmiňujeme výše. Na základě oprávněného zájmu lze zpracovávat osobní údaje pouze v případě, že nad tímto oprávněným zájmem nepřeváží zájmy a základní práva a svobody subjektů údajů. Pokud tedy přijde kontrola z ÚOOÚ, tak bude chtít, aby správce dokázal, že tyto oprávněné zájmy skutečně nepřevažují. Doložit to bude přitom možné pouze výše zmíněným
posouzením
, které by mělo být z praktických důvodů uchováno v
písemné podobě
. Tato zdánlivě nenápadná povinnost si proto bude vyžadovat komplexní dokumentaci všech opatření přijatých pro soulad s GDPR, všech posouzení (např. posouzení rizika zpracování), která je nutné dle GDPR provádět, ale např. také všech souhlasů se zpracováním, sdělovaných informací subjektům údajů a jejich verzích v čase apod.
Již v rámci dopadové analýzy by tedy mělo být u každého návrhu opatření pamatováno na to, že jeho provádění musí být řádně dokumentováno. V rámci tvorby compliance mechanismu je tak současně nezbytné navrhnout opatření, která zajistí, že potřebná dokumentace bude produkována i v rámci běžného chodu organizace.
 
Závěr
Po dokončení GAP analýzy a dopadové analýzy je velký kus práce za vámi. Nyní vás čeká příprava konkrétních změn a jejich implementace.
V následujícím čísle rozebereme dopad specifických ustanovení GDPR na činnost podnikatelů. Věnovat se zde tak budeme např. zpracování zvláštních kategorií osobních údajů (citlivé údaje), problematice zabezpečení zpracování, institutu pověřence pro ochranu osobních údajů či předávání osobních údajů mimo Evropskou unii.
Předchozí část příspěvku:
Část I. Plánování projektu
Pokračování příspěvku:
Část III. Dopad některých povinností dle GDPR na činnost podnikatelů
Část IV. Shrnutí nejdůležitějších povinností
Zdroj: Odborný portál DAUC.cz, 2017.