Když evropští zastupitelé v dubnu roku 2016 přijímali nařízení, kterým se zásadně mění způsob nakládání osobními a citlivými údaji, pravděpodobně nikdo ještě ani přesně netušil, jak hluboké dopady a zásadní změny přinese. Ano, řeč je o Obecném nařízení na ochranu osobních údajů – General Data Protection Regulation, často také krátce označovaném jen jako „GDPR“ nebo zde také jen „Nařízení“.
Přestože článků o samotném Nařízení, jeho předpokládaných dopadech, opatřeních, zaváděných povinnostech nebo sankcích, které hrozí v případě porušení, bylo již napsáno mnoho, doba na realizaci všech opatření zajišťujících shodu se krátí úměrně tomu, jak se přibližuje datum jeho účinnosti v květnu 2018. A proto, i když na realizaci všech vyplývajících požadavků zbývá stále ještě více než jeden rok, pojďme si pro správné uchopení připomenout klíčová fakta o GDPR, tedy zejména:
- kdy a proč je třeba se Nařízením zabývat,
- koho se týká a na koho dopadne,
- jaké hlavní povinnosti a požadavky zavádí.
V sérii navazujících článků a rozhovorů s předními odborníky na problematiku ochrany dat, resp. osobních a jiných citlivých údajů se poté budeme podrobně zabývat dílčími oblastmi dopadů GDRP a na konkrétních příkladech si také ukážeme možnosti a přístupy k jejich řešení včetně souvisejících technologií a služeb.
Samotné Nařízení je přímo účinné od 25.května 2018, a to ve všech členských státech Evropské unie bez ohledu na to, zda v dané době a zemi bude přijata dílčí či úplná transpozice Nařízení do národní legislativy.
V GDPR zkrátka platí – přijato bylo všemi ústředními orgány Evropské unie, tedy Evropskou komisí, radou i parlamentem, v platnost vešlo v průběhu května loňského roku a nyní je již v plném proudu dvouletá lhůta pro plánování a realizaci všech aktivit na zajištění souladu s jeho požadavky. V České republice je například z důvodu adaptace na požadavky Nařízení očekávána zásadní novelizace zákona na ochranu osobních údajů, resp. je připravován zákon zcela nový. Dále se také v důsledku GDPR bude velmi pravděpodobně měnit celá řada souvisejících zákonů jako například zákoník práce či legislativa a předpisy v oblasti zdravotnictví a poskytování zdravotnických služeb.
GDPR představuje ten typ Nařízení, jež může být s trochou nadsázky označeno za „třaskavé“. Přesněji řečeno jde o ten typ opatření, které má značný potenciál zásadně ovlivnit nebo zcela změnit zaběhlé postupy a opatření v oblasti ochrany dat, správy a zpracování osobních údajů. Poměrně zásadním způsobem také rozšiřuje rozsah toho, co může být považováno za osobní údaje a tím pádem podléhat požadavkům tohoto Nařízení. Ptáte-li se na tomto místě proč takové opatření vlastně potřebujeme? Ptáte se dozajista správně.
Zcela ústředním motivem, který se nese celým Nařízením včetně navazujících doporučení (tzv. Article 29 Working Party Guidelines), je zajištění účinné ochrany osobních údajů všech občanů Evropské unie, zejména s ohledem na zcela nové výzvy a rizika vyplývající z fungování digitální ekonomiky 21.století. Zároveň se GDPR stává jednotným nástrojem pro efektivní vymahatelnost ochrany soukromí každého z nás bez ohledu na to, zda žijeme v České republice, Německu či jiném státě Evropské unie. Celé Nařízení je koncipováno navíc tak, že v jeho středu stojí skutečně samotný subjekt údajů – tedy každý z nás jako občan Evropské unie. Všechna opatření vyplývající z požadavků GDPR tak budou muset realizovat i subjekty, organizace a společnosti pocházející ze zemí mimo Evropskou unii, ale které nabízejí své zboží či služby na území EU nebo v těchto evropských zemích alespoň monitorují chování zákazníků. Jde tedy například i o globální společnosti původem ze Spojených států amerických, japonské či korejské automobilky, čínské cestovní agentury nebo farmaceutické a logistické společnosti působící na evropském trhu a mnoho dalších.
Cílem Nařízení je také významným způsobem přispět k fungování jednotného evropského digitálního trhu jako zásadního prvku rozvoje dlouhodobé konkurenceschopnosti a digitální ekonomiky v Evropě. Jaké jsou tedy hlavní oblasti změn a požadavků, které GDPR oproti stávající úpravě ochrany osobních údajů přináší?
Rozšíření definice osobních údajů
Z důvodů rozšíření definice osobních údajů bude pro organizace vždy nejprve velmi důležité zmapovat, s jakými daty pracuje a provést jejich klasifikaci a kategorizaci. Takové zmapování výsledně poskytne představu o tom, kterými daty se musí společnost skutečně zabývat a na jak velkou oblast její činnosti GDPR dopadne. Nařízení zavádí také zcela novou oblast osobní údajů vyplývajících z možnosti tzv. nepřímé identifikace, kam mohou spadat například zaměstnanecká identifikační čísla, síťové identifikátory, lokační údaje nebo jeden či více zvláštních prvků fyzické, psychické, genetické, ekonomické, kulturní či ekonomické identity dané fyzické osoby.
Omezení možností shromažďování osobních údajů
Nově musí být údaje v podobě dat drženy pouze po dobu nutnou pro ukončení procesu, za jehož účelem byly přijaty a zároveň nesmí být využity k jinému než původnímu účelu bez souhlasu subjektu osobních údajů, tedy každého jednoho z nás.
Rozšíření povinností správce a zpracovatele osobních údajů
Tato rozšíření se týkají se například nutnosti zavedení interních pravidel pro práci s osobními údaji, školení zaměstnanců a stálého monitoringu využívání dat zpracovatelem ze strany správce. Správce bude muset být na zpracovatelích schopen vymoci naplnění požadavků na práci a využívání dat (viz také výše předchozí omezení možností shromažďování), jako například „práva být zapomenut“, které musí být v případě požadavku ze strany subjektu osobních údajů realizováno i u všech zpracovatelů.
*Vysoké sankce za porušení Nařízení *
Konkrétně může dozorový orgán v případě porušení souladu ochrany osobních údajů s požadavky Nařízení udělit správci nebo zpracovateli pokutu ve výši až 20 mil. EUR nebo 4% v celosvětového obratu společnosti za předchozí finanční rok.
Zajištění souladu prostřednictvím opatření organizačního a technického charakteru
Při posuzování vhodnosti opatření na zajištění souladu s Nařízením musí být aplikován přístup zohledňující rizikovost zpracovávaných údajů a případný dopad na subjekty údajů v případě jejich úniku. Posuzování dopadu na subjekty údajů je pak nutno provádět při každém zavedení nového procesu, který využívá osobní údaje a mohl by být případným potenciálním rizikem.
Povinnou roli tzv. pověřence na ochranu osobních údajů
Každá společnost a organizace, která spadá do působnosti Nařízení musí také zajistit roli tzv. pověřence na ochranu osobních údajů. Takový zaměstnanec, popř. tuto roli lze také zajistit externími službami, musí mít expertní znalost ochrany osobních údajů včetně praxe, být nezávislý z hlediska zpracovávání osobních údajů v dané společnosti a bude dohlížet mj. na dodržování souladu s požadavky Nařízení, informovat a poučovat o závazcích vyplývajících z Nařízení a předpisů souvisejících s ochranou osobních údajů a v neposlední řadě bude také zajišťovat spolupráci a komunikaci s dozorovým úřadem.
Na první pohled je nyní zcela jistě zřejmé, že realizace technických a organizačních opatření potřebných k naplnění souladu s požadavky GDPR včetně uvážení rizika významných sankcí, nebude ani rychlá ani snadná. Na druhou stranu, jde o soukromí a ochranu dat každého z nás, a je proto naprosto nezbytné, abychom přípravě na účinnost Nařízení v květnu roku 2018 věnovali náležitou pozornost a na tuto zcela zásadní změnu ochrany osobních údajů se velmi dobře připravili.
Autor je GBS managing consultant ve společnosti IBM.