Povinnosti správců a zpracovatelů ve světle Obecného nařízení o ochraně osobních údajů (GDPR), část II.

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a oznamování případů porušení zabezpečení osobních údajů subjektu údajů[1]

Další povinností pro správce je ohlašování tzv. „data breaches“. Nejedná se o povinnost, která by byla v čes­kém právním řádu zcela nová, jelikož taková povinnost existuje pro poskytovatele elektronických komunika­cí, jak již bylo zmíněno výše. Od účinnosti GDPR však tato povinnost postihne všechny správce. Podle nařízení správce ohlásí bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, jakéko­li porušení zabezpečení osobních údajů příslušnému do­zorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fy­zických osob. Pokud nebude ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Stejnou povinnost má zpracovatel vůči správci a takové ohlášení musí obsahovat přinejmenším popis povahy daného případu porušení zabezpečení osobních údajů včetně kategorií a přibližného počtu dotčených subjek­tů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů, jméno a kontaktní údaje pově­řence pro ochranu osobních údajů nebo jiného kontakt­ního místa, popis pravděpodobných důsledků porušení zabezpečení, popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpe­čení, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Správce má navíc povinnost veš­keré případy porušení zabezpečení, skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření dokumentovat.

Na druhou stranu správce nemá povinnost oznamovat porušení zabezpečení pouze dozorovému orgánu, ale také subjektům, které jsou dotčeny takovým porušením, a to v případě, že bezpečnostní incident by představoval vysoké riziko pro jejich práva a svobody. V oznámení ur­čeném subjektu údajů by měl správce za použití jasných a jednoduchých jazykových prostředků popsat pova­hu porušení zabezpečení osobních údajů a uvést v něm přinejmenším informace o jménu a kontaktních údajích pověřence pro ochranu osobních údajů nebo jiného kon­taktního místa, popisu pravděpodobných důsledků poru­šení zabezpečení, popisu opatření, která přijal nebo na­vrhl k přijetí. Oznámení případů porušení zabezpečení subjektům údajů nebude třeba provádět, pokud prokáže, že zavedl příslušná technická a organizační ochranná opatření, (jako je například šifrování), nebo přijal ná­sledná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neproje­ví, nebo by to vyžadovalo nepřiměřené úsilí.

Posouzení vlivu na ochranu osobních údajů[2]

Posouzení vlivu na ochranu osobních údajů není zcela novým institutem, jak uvádíme v předešlých odstavcích, neboť určitou paralelu lze najít v již dosavadní povin­nosti posoudit rizika zpracování[3], které ZOOÚ výslovně zmiňuje. Kolik správců tuto povinnost provádělo, není zřejmé, nicméně povinnosti posouzení vlivu na ochranu osobních údajů, tzv. DPIA[4] již nebude snadné se vyhnout.

DPIA je důležitým nástrojem pro eliminaci odpovědnos­ti, neboť pomáhá správcům nejen splňovat požadavky nařízení, ale také prokazuje, že byla přijata vhodná opat­ření k zajištění souladu s GDPR.

Pokud je pravděpodobné, že určitý druh zpracování, ze­jména při využití nových technologií, bude s přihlédnu­tím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vli­vu zamýšlených operací zpracování na ochranu osobních údajů.

Posouzení by mělo obsahovat alespoň systematický po­pis zamýšlených operací zpracování a účely zpracování, posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů, posouzení rizik pro práva a svobody subjektů údajů a plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s nařízením.

GDPR dále uvádí příklady situací, kdy je posouzení vlivu zejména nutné, jedná se například o případy systema­tického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na auto­matizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fy­zickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad, případy rozsáhlého zpracová­ní zvláštních kategorií údajů nebo případy rozsáhlého systematického monitorování veřejně přístupných pro­stor. Společně s touto novou povinností správců vzniká povinnost i samostatným dozorovým úřadům. Ty by měly sestavit a zveřejnit seznam druhů operací zpra­cování, které podléhají požadavku na posouzení vlivu, případně může dozorový úřad také sestavit a zveřejnit seznam druhů operací zpracování, u kterých posouzení vlivu nutné není – tzn. vytvoření negativního seznamu.

Nařízení tak stanoví obecná pravidla a obsah posouzení a v určitých případech ukládá povinnost provedené po­souzení předložit dozorovému orgánu ke konzultaci, viz dále předchozí konzultace. Pokud si správce údajů ne­bude jist, zda jeho zpracování údajů podléhá povinnosti posouzení vlivu, doporučuje se v pokynech pracovní sku­piny WP 29[5], aby správce posouzení vykonal.

K dnešnímu dni pracovní skupina WP29 již označila ně­kolik procesů zpracování, které budou vyžadovat DPIA. Jde např. o zpracování dat pacientů v nemocnicích, zpra­cování cestovních dat v rámci městské hromadné dopra­vy, zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky, nebo také obecně profi­lování zákazníků.

Pochybnosti týkající se konkrétního posouzení by moh­la odstranit předchozí konzultace s dozorovým úřa­dem, kterou v krátkém shrnutí rozebíráme níže. GDPR dokonce předpokládá, že správce s dozorovým úřadem konzultuje zpracování, pokud z posouzení vlivu vyplývá, že by zpracování mělo za následek ono „vysoké riziko“ zpracování.

Předchozí konzultace[6]

S povinností správců osobních údajů v některých pří­padech provést posouzení vlivu na ochranu údajů úzce souvisí také povinnost těchto správců takové případy zpracování předem konzultovat s dozorovým úřadem. Aby vznikla správci taková povinnost, je třeba, aby byly splněny dva předpoklady, a to: i) pokud by z posouzení dopadu vyplynulo, že zpracování má za následek vysoké riziko, a ii) správce nepřijal opatření ke zmírnění tohoto rizika. Dozorový úřad má povinnost zkoumat soulad da­ného zpracování s nařízením.

Pokud jsou tedy naplněny podmínky a správce je povi­nen konzultovat s dozorovým úřadem, poskytne úřadu informace o účelech a způsobech zpracování, opatřeních a zárukách poskytnutých za účelem ochrany práv a svo­bod subjektů údajů, kontaktních údajích případného pověřence pro ochranu osobních údajů a případné další informace, o které dozorový úřad požádá.

Předchozí konzultace lze do určité míry chápat jako po­souzení/vyhodnocení zpracování, které by dozorový úřad jinak prováděl v rámci kontroly ex post. Nevyjádří-li se Úřad v této „ex ante kontrole“ negativně, mohou správ­ci předpokládat, že jimi nastavené podmínky zpracování jsou v souladu nejen s právem národním, ale i evropským.

Bez ohledu na výše uvedené může právo členského stá­tu od správců vyžadovat, aby konzultovali s dozorovým úřadem a získali od něj předchozí povolení i tehdy, po­kud jde o zpracování za účelem vykonání úkolu ve veřej­ném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím. Za zmínku stojí poukázat na skutečnost, že neprovedení posouzení dopadu nebo zpracování osobních údajů bez předchozí konzultace může být penalizováno až do výše 10 000 000 EUR nebo v případě podniků do výše 2 % jejich ročního celosvěto­vého obratu.

Pověřenec pro ochranu osobních údajů[7]

Zcela novým institutem v České republice, nikoli však např. v Německu, je osoba pověřence pro ochranu osob­ních údajů neboli DPO[8]. Předpoklady pro výkon funkce jsou nařízením stanoveny v určitých obrysech, zatímco vodítka/pokyny k funkci pověřence specifikují požadav­ky na tuto osobu detailněji.

Mělo by se jednat o osobu s odbornými znalostmi v ob­lasti práva a zejména praxe v oblasti ochrany osobních údajů. Jedná se o institut usnadňující dodržení souladu s nařízením, jelikož úkoly pověřence jsou i) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům (kteří provádějí zpracování) o jejich povinnostech podle nařízení, ii) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů, iii) poskytování poraden­ství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů (viz výše) a iv) monitorování jeho uplat­ňování, spolupráce s dozorovým úřadem a působení jako kontaktní místo pro dozorový úřad v záležitostech týka­jících se zpracování, včetně předchozí konzultace (viz výše).

Povinnost jmenovat pověřence pro ochranu osobních údajů je nařízením výslovně stanovena pro orgány veřej­né moci či veřejné subjekty, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým úče­lům vyžadují rozsáhlé pravidelné a systematické moni­torování subjektů údajů anebo jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů. Je však v kompetenci jednotlivých členských států tuto povinnost rozšířit i na další subjekty a také je dána možnost pověřence jmenovat dobrovolně. Tuto činnost může pověřenec vykonávat jako zaměstnanec i jako tzv. externista na základě smlouvy o poskytování služeb, v každém případě je pověřenec při plnění svých úkolů přímo podřízen vrcholovým řídícím pracovníkům správ­ce nebo zpracovatele.

Pověřenec má být podle nařízení náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osob­ních údajů. Pracovní skupina WP29 doporučuje dosažení tohoto cíle například tím, že zajistí účast a stanovisko pověřence v situacích, kdy jsou přijímána rozhodnutí, která se mohou dotknout ochrany osobních údajů, po­skytne pověřenci všechny relevantní informace, aby k nim mohl vyjádřit své stanovisko atd. Nařízení dále ukládá správci či zpracovateli povinnost podporovat pověřence pro ochranu osobních údajů při plnění jeho úkolů tím, že mu poskytne zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí. Za tyto zdroje Pracovní skupina WP29 považuje například přístup a komunikaci pověřence vůči jiným podnikovým oddělením, odpovídající finanční ohodnocení nebo po­skytnutí dostatečného času a vybavení, aby mohl pově­řenec vykonávat řádně své povinnosti.[9]

Závěr

Stručný průřez novinkami v oblasti ochrany osobních údajů nemá za cíl správce, příp. zpracovatele, odradit tak, aby již dále osobní údaje nezpracovávali. Naopak, má je vést k úvaze nad zásadami ochrany osobních údajů a po­vinnostmi, které pro ně z GDPR plynou. Plní-li správci povinnosti stanovené stávající právní úpravou již dnes, pak není důvod podléhat panice. Z dozorové činnos­ti Úřadu je nicméně zřejmé, že jak exekutorská komo­ra, tak samotní exekutoři neplnili dosud své povinnosti v souvislosti s ochranou a zpracováním osobních údajů zcela bez pochybení; s ohledem na širokou a kompli­kovanou agendu jsou však tato pochybení do jisté míry pochopitelná. GDPR však mj. s ohledem na své vysoké sankce vysílá nepochybný signál, že ochraně osobních údajů je třeba se ve všech oborech činností a podnikání věnovat s větší pozorností. Nejde přitom pouze o splně­ní povinností dle GDPR, ale o nový pohled na nakládání s osobními údaji a daty. „Data is the new oil of economy“, neboli data jsou novým palivem ekonomiky a mají vy­sokou obchodní hodnotu, a tak je třeba k nim stále více přistupovat.

_

_

Článek byl publikován v Komorních listech č. 1/2018

---

[1] Recitál 73, 88 a článek 33 a 34 GDPR.

[2] Recitál 84, 89, 90, 91, 92, 94, 95 a článek 35 GDPR.

[3] § 13 odst. 3 ZOOÚ.

[4] Data Protection Impact Assessment.

[5] WP29. Vodítka k Posouzení vlivu na ochranu osobních údajů. 17/EN WP 248. Dostupné z http://ec.europa.eu/newsroom/just/item-de­tail.cfm?item_id=50083.

[6] Recitál 95 a článek 36 GDPR.

[7] Článek 37, 38, 39 GDPR.

[8] Data Protection Officer.

[9] WP29. Vodítka k Pověřenci pro ochranu osobních údajů. 16/EN WP 243 rev.01. Dostupné z https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463.