Ochrana soukromí jednotlivce je jedním ze základních lidských práv, která se řešila již v minulých staletích. Pokud bychom nahlédli do starých biblických textů, určitě bychom již zde nalezli několik zmínek na dané téma. Moderní teorie základních práv a svobod jednotlivce, včetně jejich ochrany, z historického kontextu dvacátého století, vycházejí z Univerzální Deklarace o lidských právech, schválené OSN v roce 1948.
Základní aspekt ochrany soukromí z uvedené deklarace je obsažen v článku 12 dané Deklarace: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý́ má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“
Zásadní změna, ohledně ochrany soukromí, ale přichází se zvýšeným nárůstem využívání počítačů začátkem 70. let. Dochází k postupnému zefektivňování shromažďování, procesování a následné výměně dat mezi velkými korporacemi, bankami…
Počítačové technologie, společně s rozvojem telekomunikací, tak otevřely nové možnosti ve zpracovávaní osobních dat také v mezinárodním měřítku. Tento rozvoj přinesl nejen zvýšeni produktivity, ale zároveň měl obrovský dopad také na soukromí jednotlivců. Nárůst mezinárodního obchodu akceleroval totiž také výměnu osobních informací. Citlivé osobní údaje byly transferované volně přes hranice – v nově vznikajícím kybernetickém prostoru. Mezery v právních systémech ohledně ochrany osobních informací jednotlivce si jen málokdo uvědomoval.
Velkou výzvou proto bylo zabezpečit rovnováhu mezi obavami ohledně ztráty osobní svobody jednotlivců (volný pohyb jejich osobních údajů) a možnostmi, jak podpořit rozvoj obchodu v kontextu mezinárodní ekonomiky.
Osobní údaje a soukromí
V tomto směru se Evropská Unie snažila přes schválenou obecní směrnici 95/46 ES o ochraně osobních údajů, vytvořit novodobý „harmonický koncept“ principu ochrany soukromí jednotlivců v moderní informační společnosti, kde fyzické hranice pro volný pohyb dat, již nejsou relevantní. Bohužel místo jednotného kompaktního evropského standartu o ochraně osobních údajů, vzniklo na základě dané směrnice několik značně diverzifikovaných a nekompatibilních lokálních právních klonů. Navíc mnohé z nich byli neefektivně implementované v jednotlivých krajinách evropského společenství.
V posledních měsících ale slyšíme ze všech stran o něčem více specifickém, než je ochrana soukromí. Ze všech stran se mluví o novém nařízení EU ohledně ochrany osobních údajů GDPR (General Data Protection Regulation). Jde tady o něco nového, než je management ochrany soukromí jednotlivce včetně zpracovávaní jeho osobních údajů?
Vůbec ne. Evropská unie se totiž nacházela v nejednotném právním rámci v kontextu ochrany soukromí svých obyvatel. Cítila silnou potřebu ochránit svoje ekonomické teritorium a tím i práva a svobody svých obyvatel v rámci EU. Vzhledem k aktuálnímu stavu využívání kybernetického prostoru pro komunikaci a ukládání dat, nebylo evropské společenství schopné spolehlivě ochránit data, resp. osobní údaje svých občanů a zabezpečit jejich následný volný pohyb v rámci celé unie. Předchozí směrnice, resp. její lokální právní derivace, (u nás Zákon č.101/2000 Sb., Zákon o ochraně osobních údajů), která tomu měla pomoci, de facto nefungovala.
Co se skrývá pod GDPR?
Naše osobní data dnes tvoří nedílnou součást osobní identity také v kybernetickém prostoru. Protože se jejich poskytování stalo již rutinním zvykem při registraci do ICT aplikací a služeb či při online nakupování, představují naše osobní údaje cennou a strategicky významnou komoditu. GDPR proto stanovuje rámec nových právních pravidel ochrany našeho soukromí a osobních údajů při jejich zpracování tak, aby je nikdo nemohl svévolně shromažďovat a využívat ve svůj prospěch.
GDPR je zkratkou pro (General Data Protection Regulation): Jedná se o obecné nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů. Hlavním smyslem GDPR je hájit práva občanů EU neboli tzv. subjektů údajů, proti neoprávněnému zacházení s jejich osobními údaji.
Těmito právy jsou zejména právo na přístup ke všem osobním údajům, které má správce k dispozici o dané fyzické osobě, právo na jejich opravu, právo na omezení zpracování, právo vznést námitku, právo na přenositelnost údajů, právo být zapomenut a právo nebýt předmětem automatického rozhodovaní. Nařízení GDPR začne platit 25. května 2018 ve všech státech Evropské unie včetně Lichtenštejnska, Norska a Islandu.
Odpovědnost za splnění požadavků nařízení GDPR nese primárně správce, resp. zpracovatel osobních údajů, kteří bez ohledu na jejich velikost nebo počet zaměstnanců musí zavést vhodná technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.
V případě, že dojde u správce anebo zpracovatele k úniku osobních údajů mimo jeho systémy, je správce/zpracovatel povinen ohlásit takový incident dozorovému úřadu do 72 hodin od zjištění. Za porušení pravidel zpracování osobních údajů obsažených v Nařízení GDPR, mohou hrozit pokuty až do výše 20 000 000 EUR nebo do výše 4 % celkového celosvětového ročního obratu dané společnosti, která je porušila.
Zásadní novinkou pro český právní řád je role tzv. pověřence pro ochranu osobních údajů, nebo DPO (Data Protection Officera). Jeho role je zejména dohlížet na soulad činností správce/zpracovatele s nařízením GDPR, provádět vnitřní školení, audity a komunikovat s Úřadem pro ochranu osobních údajů.
Jaká jsou práva občanů, fyzických osob? Každá fyzická osoba má právo být informována o zpracování svých osobních údajů. Tím se rozumí mimo jiné právo na informace o účelu zpracování, totožnosti správce osobních údajů, o jeho oprávněných zájmech či o příjemcích osobních údajů. Mezi základní práva občanů EU (tzv. subjektů údajů) v souvislosti se zpracováváním osobních údajů patří:
-
Právo na přístup k osobním údajům
Je právo subjektu údajů získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat. -
Právo na opravu
Pokud se subjekt údajů domnívá, že správce zpracovává jeho údaje v nepřesné formě, upozorní jej na to. Je následnou povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu svých osobních údajů, zabývat se jeho žádostí a bez zbytečného odkladu opravit nepřesné údaje. -
Právo na výmaz (právo být zapomenut)
Představuje povinnost správce bez zbytečného odkladu zlikvidovat/vymazat osobní údaje, které se daného subjektu údajů týkají, pokud je splněna alespoň jedna podmínka: osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování, subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, osobní údaje byly zpracovány protiprávně, osobní údaje musí být vymazány ke splnění právní povinnosti, osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení. -
Právo na omezení zpracování
Subjekt údajů má právo na to, aby správce omezil zpracování v kterémkoli z těchto případů: subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit, zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků, subjekt údajů vznesl námitku proti zpracování. -
Právo na přenositelnost údajů
Právo, které umožňuje fyzické osobě/subjektu údajů, získat kopii zpracovaných osobních údajů, které správci poskytl a dotýkají se této osoby, ve strukturovaném, běžně používaném, strojově čitelném formátu a má právo předat je jinému správci. -
Právo vznést námitku
Subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, včetně profilování. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad právy subjektu údajů. Pokud se údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracovávaní osobních údajů. -
Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování
Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Toto neplatí jedině pokud je ale rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, nebo je povoleno právem, anebo je založeno na výslovném souhlasu subjektu údajů.
Co vlastně musí organizace (správce/zpracovatel) udělat, aby byla schopna spolehlivě zpracovávat žádosti subjektu údajů a vyhověla tak novému nařízení GDPR? Každá společnost, resp. správce/zpracovatel musí sám posoudit závažnost rizik a pravděpodobnost ohrožení ochrany osobních údajů včetně povinnosti jmenovat DPO (Data Protection Officera). Hlavní je přitom mít přehled o tom, od koho se osobní údaje získávají, komu se předávají, v jakém rozsahu, za jakým účelem a na jakém právním základě.
Neměly by se zpracovávat osobní údaje ve větším rozsahu, ani čase, než je potřeba. Je potřebné zhodnotit, jestli bude možné efektivně vyřizovat žádosti subjektů údajů. K zabezpečení transparentnosti zpracovávaní mít hotové procesy částečné nebo plně automatického zpracování práv subjektů se schopnosti přísné evidence nakládání s osobními údaji.
I přes všechna uvedená opatření, může ale dojít k porušení zabezpečení osobních údajů. Následná reakce na incident musí mýt přednastavená a ověřená, včetně procesní evidence a hlášení regulátorovi.
Monitor pro GDPR procesy
Přínosem pro každodenní činnosti GDPR zpracování by bylo jednoduché, škálovatelné a praktické softwarové řešení s předinstalovanými procesy pro evidenci zpracování, uchování a sdílení všech osobních údajů fyzických osob/subjektu údajů, podle požadavků nařízení GDPR. Takový Monitor GDPR by měl být vstupní bránou každé organizace pro zpracování jakékoliv žádosti fyzických osob/klientů, resp. subjektu údajů k uplatnění jejich práv podle nařízení GDPR. Měl by obsahovat přednastavené procesy včetně potřebných textů vyhovujících nařízení GDPR a zároveň poskytovat také základní podporu pro činností DPO. Všechny operace nad osobními údaji by měly mít auditní stopu a garantovat tak průkazný postup pro orgány dozoru. Z dosavadní praxe vyplývá, že pokrytí všech zákonných požadavků GDPR, jejich komplexní efektivní správa, ale hlavně řízení workflow zpracovávání osobních údajů (obchodních klientů a zaměstnanců společnosti) se dá efektivně řešit jedině prostřednictvím systémové a procesní podpory.
Připraveno ve spolupráci se společností Arbes Technologies.