Proč a jak na Obecné nařízení
Po cestě z ještě stále slušně zasněžených a upravených běžeckých stop v okolí Králického Sněžníku přemýšlím, jak se nejlépe zhostit úkolu, který mně byl přidělen: Sepsat praktický článek na téma GDPR. Rozhodl jsem se trochu zacouvat a – v duchu Murphyho zákona: Máš-li vyřešit nějaký problém, je velkou výhodou zjistit předem, oč jde – se nejprve společně s vámi zamyslet nad legislativním pozadím rozruchu kolem GDPR, který už nelze přehlédnout.
Asi všichni jsme v poslední době přehlceni různými nabídkami školení, přednášek, e-mailů a článků na téma Obecného nařízení. Ve většině případů se jedná o komerční nabídky toho, co pro vás ta či ona firma dokáže udělat v rámci tzv. zavádění souladu. Bohužel kvalita znalostí a obsahu, které poskytují, není vždy na nejlepší úrovni. Je také potřeba říct, že existuje i řada odborných spolků a sdružení, které si kladou za cíl být co nejlépe vědomostně vybaveny, aby mohly poskytovat skutečně odborné, fundované služby a názory, kterých pak lze bez obav prakticky využít. Aktuálně tyto odborné spolky fungují zejména na bázi vzájemné výměny znalostí, konzultací mezi jejich členy, kteří následně mohou lépe poskytnout případným zájemcům již skutečně relevantní názory na jednotlivé oblasti. Oficiální „jasno“ totiž v mnoha případech ještě stále není. Mnoho otázek končí pokrčením ramen a odkazem na první budoucí precedenty.
Je s podivem, že ještě stále mnozí „odborníci“ či zástupci veřejných institucí doslova plavou ve výkladu některých částí Obecného nařízení. Nezřídka tak zachytíte rozhovor s „fundovanou“ osobou, která samotné Nařízení nazývá Směrnicí. Nebo potkáte soudce poměrně významného soudu, který v souvislosti s Obecným nařízením hovoří o údajích choulostivých, což je sice dle dnes ještě stále platné právní úpravy, ale Nařízení je zmiňuje jako tzv. osobní údaje zvláštní kategorie. Přitom zrovna od těchto osob by nám pomohlo, kdyby přinášely jednoznačnou terminologii a výklady obsahu tak, aby nemohlo dojít k nedorozuměním a chybným závěrům.
Nejprve bychom si tedy mohli velmi obecně říct základní rozdíl mezi Nařízením a Směrnicí Evropského parlamentu a rady (EU).
- Nařízení Evropského parlamentu a rady (EU) se od Směrnice liší tím, že Nařízení je závazné pro členské státy EU a pokud jsou nějaké národní legislativní normy členské země EU v rozporu, platí samotné Nařízení. Jednotlivé členské země však mají možnost přijmout národní legislativu upřesňující některé aplikace, ale pouze v oblastech, kde to Nařízení umožňuje.
- Směrnice Evropského parlamentu a rady (EU) se od Nařízení liší v tom, že členské státy EU mají za povinnost provést tzv. transpozici do národní legislativy. Samozřejmě pak dochází k různým odchylkám uplatnění v jednotlivých zemích, ale tomu se dnes věnovat nebudeme.
Laicky řečeno, Nařízení má vyšší právní platnost než národní legislativa jednotlivých zemí s výjimkou ústavních norem. Ze samotného názvu Obecné nařízení vyplývá, že je obecné, a to proto, aby bylo snáze aplikovatelné v různých zemích EU a současně aby toto Nařízení bylo platné v rámci EU obsahově jednotně, což je u Směrnic nerealizovatelné. Proto je v rámci Evropské komise zřízena tzv. Pracovní skupina – Working party s názvem WP29. Tato pracovní skupina (dále jen WP29) poskytuje vodítka k jednotlivým ustanovením Obecného nařízení. Příklad? V jednom z vydaných a schválených vodítek se WP29 věnuje tématu provozu kamerových systémů a zpřesňuje, jak by se na něj mělo nahlížet z pohledu GDPR a co je potřeba zabezpečit. Tato vodítka jsou zveřejněna na stránkách WP29 a některá z nich průběžně zveřejňují na svých webových stránkách jednotlivé dozorové úřady členských zemí EU. U nás je to Úřad na ochranu osobních údajů, který bude současně dohlížet na dodržování Obecného nařízení.
Z WP29 vznikne dnem účinnosti Obecného nařízení, tedy k datu 25.5.2018, Sbor, jehož členy budou nominanti z jednotlivých dozorových úřadů zemí EU. Ten bude dále pokračovat ve zpřesňování výkladu jednotlivých ustanovení.
Česká republika se však k upřesňování Nařízení bohužel zatím příliš čelem nepostavila. Jde to velmi pomalu a první vlaštovkou je pouze vládní návrh z března, který ještě čeká klasický schvalovací proces oběma komorami Parlamentu ČR. Umíte si tedy jistě představit, že případné schválení těchto návrhů se může ještě dramaticky protáhnout. Proto se občas stane, že vám konzultanti působící v oblasti implementace souladu s Obecným nařízením dosud nejsou schopni sdělit závazný pohled na konkrétní problematiku, i když již znají drafty jednotlivých návrhů. Rád bych tu vypíchl, že například naši sousedé ze Slovenska byli výrazně aktivnější a již mají tyto oblasti ošetřeny a schváleny.
Dovolím si ještě jednou požádat právníky, kteří dočetli až sem, aby byli přiměřeně shovívaví k výše uvedenému textu, jehož cílem není právní výklad, ale obecné seznámení pro čtenáře, kteří jsou odborníky na jiné oblasti.
Velmi stručně shrnuto, Obecné nařízení definuje práva fyzických osob na ochranu před neoprávněným použitím jejich osobních údajů, a povinnosti subjektů, které tyto osobní údaje chtějí či mohou zpracovávat.
A teď bych rád přešel k příkladu samotného zavedení souladu s Obecným nařízením u malé a střední společnosti.
Ochrana osobních údajů v praxi
Pokud se rozhodnete nevyužít služeb externích konzultantů a budete se chtít s implementací poprat sami, mělo by vaším prvním krokem být přečíst si samotné znění Obecného nařízení, které má 99 článků, ale i 173 recitálů. To možná pro mnohé z nás nebude příliš zábavné ani naplňující, ale je to důležité. (Viz zmíněný Murphyho zákon v úvodu.)
Dalším krokem bude ujasnit si, co to vlastně takový osobní údaj je. Osobní údaj je jakákoliv informace, která může vést k identifikaci konkrétní fyzické osoby, a to přímo či nepřímo za pomocí nějakého identifikátoru. Nutno však na tuto definici pohlížet v rámci celého širokého kontextu.
Obecné nařízení dává subjektům údajů (fyzickým osobám, jejichž osobní údaje se zpracovávají) práva, která musí Správci údajů umět zajistit. Můžeme zmínit například právo na informace, anebo třeba právo být zapomenut. Právem na informace se rozumí, že musíte subjektu údajů podat požadované informace v případě, že vás vyzve, abyste mu sdělili, zda o jeho osobě (ne)zpracováváte nějaké osobní údaje a pokud ano, tak předložit jejich seznam a důvody, účely, proč je zpracováváte. Tuto povinnost musíte jako správce splnit co možná nejdříve, nejdéle do 30 dnů od přijetí takové výzvy. Poté, co předáte subjektu údajů tyto informace, vás může dál vyzvat například k tomu, abyste jeho osobní údaje vymazali ze zpracování. Nebudeme se nyní zabývat samotným procesem, jak tato výzva může či má vypadat, v jaké formě musíte tyto údaje předat, jaké povinnosti máte při ověřování identity žadatele, jak a proč můžete tuto výzvu zamítnout a dalšími podrobnostmi. Zmiňuji to pouze proto, abychom lépe pochopili v další části, co všechno pro takovou situaci musíme připravit.
V typické společnosti bude tedy muset proběhnout proces, který nazýváme mapování osobních údajů. Zjišťujete při něm, kde všude se ve vaší organizaci zpracovávají osobní údaje. Každá společnost bude mít některé agendy velmi podobné:
- Práce s lidskými zdroji – personalistka
- Mzdová agenda
- Obchodní agenda – CRM, marketing, nabídky, poptávky
- Správa a provoz – přístupy do objektu, bezpečnost, kamerové systémy, docházkové systémy, stravování atd.
- Realizace – poskytování služeb, zboží atd.
- ICT
Je potřeba identifikovat všechna místa, kde dochází ke zpracování osobních údajů, v jakých IT systémech, v jakých pořadačích, kartotékách, a ke všem si zdůvodnit, proč je zpracováváte, přiřadit k nim právní základy, podle kterých s nimi nakládáte, určit okruhy zaměstnanců, kteří mohou s těmito údaji pracovat, a lhůty, po jaké je budete ve společnosti zpracovávat. Toto je první krok, který musíte provést proto, abyste byli schopni určit další kroky vedoucí k naplnění souladu s Obecným nařízením.
Cílem takové analýzy je mimo jiné identifikovat, jaké osobní údaje zpracováváte nad rámec všech možných právních základů a které budete muset ze svého zpracování vyřadit. Je potřeba dodržet, abyste od účinnosti Nařízení zpracovávali jen nezbytné množství osobních údajů a po nezbytně nutnou dobu, což znamená, že u všech osobních údajů musíte mít i stanoveny lhůty, po jaké je budete zpracovávat.
Příklad jedné z agend – nábor lidí
Jako příklad zpracování osobních údajů v agendě personální by nám mohl posloužit nábor nových pracovníků. Pokud vybíráte nové zaměstnance například prostřednictvím elektronických portálů, uchazeči vám zasílají na e-mailové adresy personálního útvaru své životopisy a doprovodné informace. V rámci realizace výběrového řízení na nové pozice s těmito informacemi pracujete typicky na právním základu Oprávněného zájmu (případně Souhlasu, záleží na tom, jak to máte procesně zajištěno). Jakmile však výběrové řízení ukončíte, ať již výběrem uchazeče a jeho úspěšným ukončením zkušební doby, nebo uzavřením VŘ bez výběru, musíte všechny získané osobní údaje, ke kterým nemáte Souhlasy, bezodkladně vymazat ze zpracování. V praxi to znamená, že smažete všechny e-maily, přílohy, uložené dokumenty, které jste v rámci výběrového řízení získali a ke kterým nemáte doložitelné Souhlasy s dalším zpracováním. Umíte si asi představit odlišnosti od dnešní běžné praxe, kdy pracovnice personálního útvaru osobní údaje uchazeče rozešle či vytiskne dalším zainteresovaným pracovníkům ve společnosti. Jaký budete mít problém následně všechny tyto osobní údaje doložitelně skartovat či vymazat, když nevíte, kde všude se vyskytují?
Příklad, jak může vypadat velmi zúžený výstup z provedeného mapování:
Další systémové kroky
Poté, co budete mít hotovou analýzu, tedy musíte odstranit z procesů ty osobní údaje, k nimž nemáte patřičné právní základy zpracování, a ty, které jsou nadbytečné. Dále musíte zajistit, aby k vybraným osobním údajům měli přístup pouze ti zaměstnanci, kteří s nimi musí v nezbytně nutném rozsahu pracovat.
Mezi vaše další povinnosti vůči subjektům údajů patří splnění informační povinnosti. To znamená, že musíte vždy a přesně seznámit subjekty údajů mimo jiné s důvody a právními základy zpracování, po jakou dobu budete osobní údaje uchovávat, zda budou předány dalším zpracovatelům, a to vše jazykem jednoduchým a srozumitelným.
Důležitou částí, kterou musíte identifikovat a smluvně ošetřit, je oblast, kdy dochází k předání získaných osobních údajů k dalšímu zpracování, například externí mzdové účtárně, marketingové firmě k rozesílání newsletterů apod. Za zpracovatele je vždy odpovědný správce a musí si jej tedy nejen obezřetně vybrat, ale též dobře zasmluvnit.
Samostatnou kapitolou jsou informační systémy ve společnosti, jako jsou souborové servery, aplikační servery, databázové servery, webové servery, informační systémy, komunikační infrastruktura. Ve všech těchto oblastech budete muset přijmout taková technická a provozní opatření, která zajistí soulad s Obecným nařízením, a to jak z pohledu bezpečnosti, tak z pohledu provozu a zpracování, archivace a zálohování. Jedním ze základních kroků bude zavedení systému pro správu přístupu a řízení identit, zjednodušeně řečeno zdokumentujete způsob přidělování přístupových oprávnění k jednotlivým systémům a budete auditovat přístup k systémům a zpracování osobních údajů atd.
Toto vše budete schopni splnit zejména tvorbou a implementací odpovídajících organizačních, provozních a bezpečnostních směrnic a odpovídajících technických a provozních opatření.
Mohli bychom pokračovat do podrobností jednotlivých oblastí, ale tady k tomu již není prostor. Pokud jste dosud nezačali, je nejvyšší čas se rozhodnout, jakou cestou se za naplněním Nařízení vydáte. Máte tak malou a přehlednou agendu, že to zvládnete sami, nebo si raději vyberete partnera, který vás procesem provede, s některými částmi pomůže a jiné přímo odpracuje za vás?
Dovolím si vám na závěr popřát mnoho zdaru, ať zvolíte tu správnou metodu, abyste v rámci přiměřenosti (což je také jeden z principů Nařízení) udělali vše potřebné a co možná nejsnáze.
Libor Novotný, novotny@hts.cz
Hi-Tech Services
DAQUAS doporučuje
Společnost Hi-Tech Services je naším dlouholetým partnerem, který se zabývá poskytováním služeb v IT. Je schopna převzít péči o některé či veškeré části vašeho ICT řešení. Postará se o migrace, o licence, o cloudové služby, o podporu uživatelů…
Aktuálním hitem Hi-Tech je „DPO as a Service“ neboli Pověřenec pro ochranu osobních údajů jako služba. Nemusíte totiž jmenovat zaměstnance uvnitř firmy (a někdy je to dokonce mnohem komplikovanější, protože na jedné straně musí být přiměřeně kvalifikovaný, na druhé se nesmí ocitnout v konfliktu zájmů v případné kumulované pracovní funkci).
V Hi-Tech Services mají profesionála, který se věnuje problematice bezpečnosti v oblasti informačních technologií a úspěšně absolvoval akreditované školení EU General Data Protection Regulation (GDPR) Data Protection Officer (DPO).
V návaznosti na dlouholetou spolupráci s předními advokátními kancelářemi jsou připraveni zákazníkům nabídnout komplexní soubor služeb, které umožní získat odborné konzultace, analýzy, identifikaci a implementaci opatření vedoucích k zajištění souladu procesů a technologických řešení s nařízením GDPR. A ta technologická řešení realizovat či k jejich realizaci přispět.
Jsou též připraveni sestavit expertní tým a převzít i samotný výkon funkce Pověřence pro ochranu osobních údajů (DPO) v organizaci zákazníka, a to včetně odpovídající odpovědnosti a pojištění.
V případě zájmu o bližší informace nám neváhejte napsat na gdpr@hts.cz