Na největší změny v práci s osobními údaji se musí připravit české úřady i korporace. Nové evropské nařízení o ochraně dat (GDPR), které bude účinné od května 2018, dopadne na každého, kdo zpracovává osobní údaje. A pokud se na něj nestihne připravit včas, hrozí mu pokuta až 20 milionů eur nebo čtyři procenta z obratu. Jaké kroky musí správci a zpracovatelé dat při přípravě na nová pravidla podniknout, zmapovala začátkem března konference měsíčníku Právní rádce GDPR 360°.

Náklady na zavedení veškerých opatření, která z evropského nařízení plynou, mohou podle odhadů poradenské společnosti KPMG ve velkém podniku působícím na českém trhu vyšplhat až na půl miliardy korun. Peníze ale v tomto případě nejsou to hlavní. Ačkoliv se může zdát květen 2018 ještě daleko, povinností plynoucích z nařízení je tolik, že zbývající čas na přípravu nemusí některým správcům dat stačit. "Pro velké firmy už je skoro pozdě začít s přípravou," upozornil na konferenci Martin Hladík, který vede v KPMG tým zaměřený na realizaci IT projektů. Příprava na GDPR totiž představuje složitý proces, který se nedá řešit jedním projektem nebo dodávkou od jednoho dodavatele. "Je to soubor desítek až stovek drobných i větších změn v právní dokumentaci, procesech i IT systémech, které navíc budou provádět různí dodavatelé," dodal Hladík.

Kde začít

Ať již jde o státní instituci nebo soukromou společnost, prvním krokem příprav by mělo být zmapování toho, jaké osobní údaje zpracovává, kudy do ní vstupují a jestli se po zpracování - když už nejsou potřeba - také smažou. Nejde přitom jen o údaje zákazníků, ale i osobní data zaměstnanců, odběratelů a dodavatelů nebo třeba uživatelů webových stránek. Definice osobních dat se přitom podle GDPR mění - v internetovém světě bude osobním údajem třeba i IP adresa a za určitých podmínek jím mohou být i soubory cookies, které webové stránky používají k rozlišování uživatelů. I ty si tak správci dat budou muset hlídat.

Ne všechny osobní údaje si ale budou žádat stejnou úroveň ochrany. "Prioritizujte a řešte od těch důležitých věcí k těm méně důležitým. Citlivá osobní data, údaje o finanční situaci, údaje zaměstnanců a klientů, pokud používáte profilování, pokud klienty sledujete, monitorujete, necháváte o nich rozhodovat vaše počítače, to jsou ty věci, které by se měly řešit jako první," poradil, na co se zaměřit, partner advokátní kanceláře Rowan Legal Michal Nulíček.

Co je GDPR?

Obecné nařízení o ochraně osobních údajů neboli GDPR je největší revolucí v oblasti ochrany osobních údajů za posledních 20 let, které zásadně zpřísňuje pravidla pro ochranu osobních údajů. Nařízení GDPR nabude účinnosti 25. května 2018 a bude přímo aplikovatelné na veškerá zpracování osobních údajů v rámci EU.

Hlavní znaky GDPR

- Je jednotně aplikovatelné v celé EU

- V případě rozsáhlých zpracování požaduje jmenování DPO (Data Protection Officer)

- Při rizikových zpracováních požaduje provedení DPIA (Data Protection Impact Assessment) a případně též konzultaci s ÚOOÚ

- Posiluje práva subjektů údajů a zakládá práva nová - právo být zapomenut, právo na portabilitu apod.

- Přináší nepoměrně vyšší sankce za porušení ochrany osobních údajů (oproti dosavadním spíše symbolickým sankcím lze nyní uložit sankce až do výše 20 mil. eur nebo 4 % celosvětového obratu podniku)

Zdroj: www.gdprcompliance.eu

Po úvodním mapování by měla následovat analýza účelů a titulů, na jejichž základě zpracování dat probíhá. Ne vždy je totiž potřeba žádat subjekt údajů, tedy například zákazníky, zaměstnance nebo obchodní partnery, aby poskytli výslovný souhlas se zpracováním svých osobních dat. "Souhlas je v současné době nadužívaný. Ačkoliv by správcům stačil jiný právní důvod nebo právní povinnost, tak k tomu chtějí ještě souhlas subjektu údajů," uvedl ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů Jiří Žůrek. Tam, kde správcům práci s osobními údaji ukládá zákon nebo se bez ní neobejde plnění smlouvy, kterou má správce dat uzavřenou se subjektem údajů, není a ani podle GDPR nebude výslovný souhlas třeba. Titulem opravňujícím ke zpracování dat může být také ochrana majetku třetích stran. "Nařízení berte jako příležitost k revizi právních důvodů zpracování," vzkázal správcům a zpracovatelům dat Žůrek.

Tam, kde revize ukáže, že pracovat s daty bez souhlasu nepůjde, budou muset správci a zpracovatelé údajů posoudit, zda žádosti o souhlas, který aktuálně používají, splňují všechny náležitosti podle nařízení, tedy především zda jsou srozumitelné a jasné. Nepřípustné totiž od května 2018 budou souhlasy "schované" v hloubi všeobecných podmínek, jejichž podpisem dává zákazník svá data všanc nejen pro účely, pro něž je poskytnout chtěl, tedy například pro zpracování žádosti o půjčku nebo zaslání objednaného zboží, ale běžně také pro potřeby marketingu. "Nevyhovující souhlasy je dobré přesmlouvat co nejdřív, aby poskytovatelé služeb limitovali jejich množství, které budou muset znovu získávat v květnu 2018," doporučil partner advokátní kanceláře Rowan Legal Michal Nulíček.

Pohlídat si rizika

Vedle toho by si měla každá organizace udělat analýzu rizik, která jsou u ní se zpracováním dat spojena. Vyhodnotit bude potřeba hlavně původ, povahu, zvláštnost a závažnost identifikovaného rizika a výsledky promítnout do opatření na ochranu dat, například formou šifrování. Na základě zjištěných informací by mělo dojít také k úpravě firemní dokumentace, vnitřních směrnic nebo smluv s dodavateli a k úpravám IT systémů. "Aktualizujte si svoje bezpečnostní politiky a pravidla a připravte se na hackerský útok, protože on jednou přijde, otázka je, jestli o něm budete vědět, protože úspěšný průnik je takový, o kterém nevíte," poradil účastníkům konference GDPR 360° regionální ředitel pro střední a východní Evropu Fidelis Cybersecurity Alexandr Mašek. O všech provedených analýzách a opatřeních by si organizace měly vést podrobné záznamy, aby mohly v případě kontroly z Úřadu pro ochranu osobních údajů prokázat, že udělaly všechny kroky, které měly.

Jak se vyhnout pokutě

Pokud dojde k úniku osobních dat, ukládá nařízení správcům a zpracovatelům údajů povinnost informovat o něm Úřad pro ochranu osobních údajů. Stihnout to musí do 72 hodin od chvíle, kdy narušení bezpečnosti zjistili. Navíc budou muset nově o úniku informovat také subjekty údajů, tedy například své zákazníky a dodavatele, jejichž data byla z organizace ukradena.

Za úniky dat správcům a zpracovatelům bude nově hrozit pokuta až ve výši 20 milionů eur nebo čtyř procent z obratu, podle toho, která z těchto bude vyšší. Ta se nad nařízením od začátku vznáší jako strašák, který může v krajním případě přivést provinilý podnik až k bankrotu. Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů nicméně obavy mírní: "Budeme přihlížet k dalším okolnostem případů, třeba k následné nápravě incidentu a pokutu mírnit."

Také při drobnějších porušeních, jako je například nezajištění výmazu dat na žádost subjektu údajů, úřad slibuje smírný postup. Při zjištění prohřešku nejprve provinilce na chybu upozorní, dá mu čas na nápravu a teprve v případě, kdy správce problém neodstraní, bude jako nejkrajnější prostředek následovat sankce. "Už se to odráží na komunikaci úřadu v tom směru, že v minulém a v tomto roce se správci komunikujeme jinak než formou kontroly, což nebývalo dříve zvykem. Když zjistíme z nějakého podnětu, že by tam nemuselo být něco v pořádku, a když správce učiní nápravu, tak to považujeme za vyřešené," popsal Žůrek.

Přesto by neměli správci státních institucí až po soukromý sektor dat přípravu na nařízení podcenit. Spíš než jako hrozbu by ji ale měli brát jako příležitost k revizi svých vnitřních procesů a postupů při práci s osobními daty. Ty totiž dnes podle zjištění úřadu nefungují v řadě organizací zrovna ideálně.