Analýza

GDPR v praxi

Jak obecné nařízení o ochraně osobních údajů ovlivní podnikání?

Nařízení o ochraně osobních údajů je založeno na principu odpovědnosti a jasně definuje a rozšiřuje role a povinnosti správců a zpracovatelů. Projděte si podstatné náležitosti.

GDPR rozšiřuje územní rozsah evropské legislativy, která se nyní bude vztahovat na zpracování osobních dat správci/zpracovateli se sídlem v EU, i když ke zpracování dochází mimo EU. A současně také na fyzické osoby, jež se sice nacházejí v EU, i když jejich osobní údaje zpracovává správce/zpracovatel, který nemá sídlo v EU. Pokud si různé subjekty nadnárodní organizace vyměňují osobní údaje, je důležité, aby v této souvislosti byla nastavena jasná organizace, která bude stanovovat role a povinnosti tak, aby bylo možné zajišťovat ochranu osobních údajů a zákonnost předávání údajů do třetích zemí.

Řízení a organizace

Správci i potenciální zpracovatelé budou mít přímo uloženou povinnost zavádět organizační a technická opatření, jako např. interní směrnice ochrany osobních údajů, vhodná bezpečnostní opatření, vedení záznamů o zpracování osobních údajů a posuzování vlivu na soukromí. Budou také muset informovat úřady pro ochranu údajů o porušení bezpečnosti osobních údajů a v určitých případech také jmenovat pověřence pro ochranu osobních údajů.

Výjimka: Role správce dále nebude omezovaná v případě implementace opatření, např. interních směrnic ochrany osobních údajů, za účelem dodržení podmínek stanovených nařízením; správce bude mít také povinnost dodržování prokázat, pokud ho k tomu vyzve příslušný národní dozorový úřad pro ochranu osobních údajů (ÚOOÚ).

Co bude klíčové? Pro prokázání dodržování nařízení bude klíčové vedení dokumentace o zpracování osobních dat a o opatřeních zavedených za účelem ochrany osobních dat. Pro usnadnění určování zodpovědnosti by organizace tedy měly jasně stanovit osoby pověřené vedením potřebné dokumentace.

Odpovědnost: Vrcholové vedení bude v nastavení řízení ochrany dat hrát zásadní roli. Organizace by se měly ujistit, že pracovníci zodpovědní za rozhodování i další klíčové osoby ví nejen o změnách zákona zavedením GDPR, ale také o případných dopadech, které by tato změna mohla mít.

Povinnosti: Role pověřence pro ochranu osobních údajů (Data Protection Officer – DPO) sice není nová, GDPR ji však dále rozvíjí. V některých případech může být jmenování pověřence dokonce povinné. Povinností DPO je monitorovat dodržování GDPR, radit organizaci a spolupracovat s dozorovými úřady pro ochranu osobních údajů a bude také muset nastavit jasné způsoby komunikace s interními zúčastněnými osobami (autorizovanými sponzory vedení, osobami zodpovědnými za zpracování osobních údajů, zaměstnanci atd.) i s externími osobami (klienty, externími poskytovateli služeb, úřady pro ochranu osobních údajů atd.).

To ovlivní i organizační strukturu společností, které budou muset zvážit, zda DPO jmenují a kam ho ve struktuře umístí.

Porušení povinností: Dozorové úřady pro ochranu osobních údajů získají rozšířené pravomoci, aby dodržování GDPR mohly vymáhat. V jejich pravomoci bude udělit společnostem, které nařízení nedodržují, pokutu až do výše čtyř procent jejich celosvětového obratu. Na organizacích tak bude, aby si zajistily hladký průběh komunikace a začaly riziko nedodržování nařízení řešit co nejdříve.

Obchodní procesy

Organizace by si u všech svých obchodních procesů měly ověřit zákonnost důvodů pro zpracování osobních údajů, aby mohly potvrdit a doložit, že osobní údaje zpracovávají oprávněně. A to Obzvláště pokud jde o souhlasy, protože GDPR podmínky udělení souhlasu ještě zpřísní. Důkazní břemeno totiž ponese správce, který bude muset být schopen prokázat, že subjekt údajů se zpracováním svých osobních údajů dobrovolně souhlasil. Organizace by proto měly brát v úvahu, že získat souhlas bude složitější a nebude vždy zajišťovat vysokou míru jistoty, protože subjekt údajů může svůj souhlas kdykoliv odvolat.

GDPR formálně dává místo přístupu založeného na hodnocení rizik. Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA) by se mělo provádět pro identifikaci ohrožení práv fyzických osob na ochranu osobních dat v konkrétních případech zpracování, například když je účelem zpracování systematické hodnocení osobních aspektů, nebo když zahrnuje zpracování zvláštních kategorií údajů (např. zdravotní údaje) ve velkém rozsahu. Pokud jsou identifikována rizika, očekává se, že organizace vytvoří opatření, kterými je vyřeší. Toto posouzení by se mělo provádět před začátkem zpracování.

GDPR se výslovně zmiňuje o přímém marketingu, proti němuž mají subjekty údajů právo protestovat. Také stanovuje jasný rámec profilování a omezuje jej. V některých případech mohou mít organizace právo při navrhování procesů využívat profilování k rozhodování, měly by ale zavést vhodná opatření na zabezpečení práv subjektů údajů. Měly by zkontrolovat své obchodní procesy a ujistit se, že jsou v nich zavedena vhodná opatření na ochranu práv subjektů údajů. V kontextu profilování to znamená poskytovat subjektům údajů možnost zakročit, aby mohly vyjádřit svůj názor a ohradit se proti rozhodnutí.

Osobní údaje

GDPR rozšiřuje práva subjektů údajů a zavádí mimo jiné právo být zapomenut a právo na přenositelnost údajů, což vyžaduje implementaci organizačních i technických opatření. Přenositelnost dat v sobě například zahrnuje možnost, že subjekty údajů si své údaje mohou vyžádat ve strukturovaném, běžně používaném a strojově čitelném formátu. Také budou mít právo požádat, aby jedna organizace jejich osobní údaje přímo předala druhé.

V důsledku toho se organizace musí připravit na řešení žádostí, které budou vyžadovat implementaci procesů řízení dat. V této souvislosti by měly vědět, jaké osobní údaje mají k dispozici, odkud pocházejí a jestli jsou osobní údaje někam předávány. Za účelem zmapování těchto informací se napříč organizací nebo v určitých obchodních oblastech mohou provádět informační audity.

Nařízení obsahuje povinnost informovat o porušení zabezpečení osobních údajů, kterou by organizace v rámci svých procesů řízení dat měly vzít v úvahu, především kvůli předpisům týkajícím se časových termínů (tj. bez zbytečného odkladu, ale v zásadě nejpozději do 72 hodin od odhalení porušení) a komunikačních prostředků (např. pokud je pravděpodobné, že porušení zabezpečení osobních údajů subjektu údajů způsobí vysoké riziko, správci ho o porušení zabezpečení osobních údajů budou muset informovat). Vyžaduje se, aby sdělení bylo podáno jasným a srozumitelným jazykem a popisovalo povahu porušení zabezpečení osobních údajů.

Organizace tedy budou muset zkontrolovat své postupy řízení bezpečnosti informací a provozní procesy, aby zajistily, že případné porušení zabezpečení osobních údajů bude možné odhalit, nahlásit a prošetřit, a že požadavky na ohlášení vyhodnotí a v případě potřeby je i splní.

Podpůrné systémy

Jak již bylo popsáno výše, GDPR vyžaduje, aby organizace jasně identifikovaly svá informační aktiva a systémy, v nichž jsou uloženy, a mohly tak plnit požadavky strukturované komunikace se subjekty údajů nebo řešit žádosti o smazání. Organizace by také měly zkontrolovat klasifikaci a řízení svých informačních aktiv a posoudit, zda jim systémová konfigurace umožňuje budoucí požadavky splnit, nebo jestli je potřeba implementovat další technická nebo organizační opatření.

GDPR vyžaduje, aby organizace zajistily úroveň zabezpečení odpovídající riziku, které zpracování představuje. Nařízení udává konkrétní technická opatření, jako např. „pseudonymizaci“ a zašifrování osobních údajů, i výsledky, kterých tato opatření mají dosáhnout, např. schopnost trvale zachovat důvěrnost informací, celistvost, dostupnost a odolnost zpracovacích systémů a služeb. Stačila by i jiná opatření, např. schopnost v případě fyzického nebo technického incidentu včas obnovit dostupnost a přístup k osobním údajům. Dále by organizace měly přijatá opatření průběžně sledovat, a zajistit tak jejich nepřetržitou účinnost. Organizace tedy budou muset navrhnout a implementovat metodologie posuzování rizik v rámci procesů řízení projektů, aby byly už od samého počátku schopné určit přiměřená technická a organizační opatření (tzv. privacy by design). Kromě toho by ve svých informačních aktivech měly jasně identifikovat osobní údaje a pro usnadnění dodržování GDPR mohou stanovené bezpečnostní požadavky zahrnout do svého rámce bezpečnosti informací.

Považujete tyto informace za užitečné?