Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a oznamování případů porušení zabezpečení osobních údajů subjektu údajů[1]
Další povinností pro správce je ohlašování tzv. „data breaches“. Nejedná se o povinnost, která by byla v českém právním řádu zcela nová, jelikož taková povinnost existuje pro poskytovatele elektronických komunikací, jak již bylo zmíněno výše. Od účinnosti GDPR však tato povinnost postihne všechny správce. Podle nařízení správce ohlásí bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, jakékoli porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud nebude ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
Stejnou povinnost má zpracovatel vůči správci a takové ohlášení musí obsahovat přinejmenším popis povahy daného případu porušení zabezpečení osobních údajů včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů, jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, popis pravděpodobných důsledků porušení zabezpečení, popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Správce má navíc povinnost veškeré případy porušení zabezpečení, skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření dokumentovat.
Na druhou stranu správce nemá povinnost oznamovat porušení zabezpečení pouze dozorovému orgánu, ale také subjektům, které jsou dotčeny takovým porušením, a to v případě, že bezpečnostní incident by představoval vysoké riziko pro jejich práva a svobody. V oznámení určeném subjektu údajů by měl správce za použití jasných a jednoduchých jazykových prostředků popsat povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším informace o jménu a kontaktních údajích pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, popisu pravděpodobných důsledků porušení zabezpečení, popisu opatření, která přijal nebo navrhl k přijetí. Oznámení případů porušení zabezpečení subjektům údajů nebude třeba provádět, pokud prokáže, že zavedl příslušná technická a organizační ochranná opatření, (jako je například šifrování), nebo přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví, nebo by to vyžadovalo nepřiměřené úsilí.
Posouzení vlivu na ochranu osobních údajů[2]
Posouzení vlivu na ochranu osobních údajů není zcela novým institutem, jak uvádíme v předešlých odstavcích, neboť určitou paralelu lze najít v již dosavadní povinnosti posoudit rizika zpracování, které ZOOÚ výslovně zmiňuje. Kolik správců tuto povinnost provádělo, není zřejmé, nicméně povinnosti posouzení vlivu na ochranu osobních údajů, tzv. DPIA již nebude snadné se vyhnout.[4][3]
DPIA je důležitým nástrojem pro eliminaci odpovědnosti, neboť pomáhá správcům nejen splňovat požadavky nařízení, ale také prokazuje, že byla přijata vhodná opatření k zajištění souladu s GDPR.
Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.
Posouzení by mělo obsahovat alespoň systematický popis zamýšlených operací zpracování a účely zpracování, posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů, posouzení rizik pro práva a svobody subjektů údajů a plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s nařízením.
GDPR dále uvádí příklady situací, kdy je posouzení vlivu zejména nutné, jedná se například o případy systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad, případy rozsáhlého zpracování zvláštních kategorií údajů nebo případy rozsáhlého systematického monitorování veřejně přístupných prostor. Společně s touto novou povinností správců vzniká povinnost i samostatným dozorovým úřadům. Ty by měly sestavit a zveřejnit seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu, případně může dozorový úřad také sestavit a zveřejnit seznam druhů operací zpracování, u kterých posouzení vlivu nutné není – tzn. vytvoření negativního seznamu.
Nařízení tak stanoví obecná pravidla a obsah posouzení a v určitých případech ukládá povinnost provedené posouzení předložit dozorovému orgánu ke konzultaci, viz dále předchozí konzultace. Pokud si správce údajů nebude jist, zda jeho zpracování údajů podléhá povinnosti posouzení vlivu, doporučuje se v pokynech pracovní skupiny WP 29, aby správce posouzení vykonal.[5]
K dnešnímu dni pracovní skupina WP29 již označila několik procesů zpracování, které budou vyžadovat DPIA. Jde např. o zpracování dat pacientů v nemocnicích, zpracování cestovních dat v rámci městské hromadné dopravy, zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky, nebo také obecně profilování zákazníků.
Pochybnosti týkající se konkrétního posouzení by mohla odstranit předchozí konzultace s dozorovým úřadem, kterou v krátkém shrnutí rozebíráme níže. GDPR dokonce předpokládá, že správce s dozorovým úřadem konzultuje zpracování, pokud z posouzení vlivu vyplývá, že by zpracování mělo za následek ono „vysoké riziko“ zpracování.
Předchozí konzultace[6]
S povinností správců osobních údajů v některých případech provést posouzení vlivu na ochranu údajů úzce souvisí také povinnost těchto správců takové případy zpracování předem konzultovat s dozorovým úřadem. Aby vznikla správci taková povinnost, je třeba, aby byly splněny dva předpoklady, a to: i) pokud by z posouzení dopadu vyplynulo, že zpracování má za následek vysoké riziko, a ii) správce nepřijal opatření ke zmírnění tohoto rizika. Dozorový úřad má povinnost zkoumat soulad daného zpracování s nařízením.
Pokud jsou tedy naplněny podmínky a správce je povinen konzultovat s dozorovým úřadem, poskytne úřadu informace o účelech a způsobech zpracování, opatřeních a zárukách poskytnutých za účelem ochrany práv a svobod subjektů údajů, kontaktních údajích případného pověřence pro ochranu osobních údajů a případné další informace, o které dozorový úřad požádá.
Předchozí konzultace lze do určité míry chápat jako posouzení/vyhodnocení zpracování, které by dozorový úřad jinak prováděl v rámci kontroly ex post. Nevyjádří-li se Úřad v této „ex ante kontrole“ negativně, mohou správci předpokládat, že jimi nastavené podmínky zpracování jsou v souladu nejen s právem národním, ale i evropským.
Bez ohledu na výše uvedené může právo členského státu od správců vyžadovat, aby konzultovali s dozorovým úřadem a získali od něj předchozí povolení i tehdy, pokud jde o zpracování za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím. Za zmínku stojí poukázat na skutečnost, že neprovedení posouzení dopadu nebo zpracování osobních údajů bez předchozí konzultace může být penalizováno až do výše 10 000 000 EUR nebo v případě podniků do výše 2 % jejich ročního celosvětového obratu.
Pověřenec pro ochranu osobních údajů[7]
Zcela novým institutem v České republice, nikoli však např. v Německu, je osoba pověřence pro ochranu osobních údajů neboli DPO. Předpoklady pro výkon funkce jsou nařízením stanoveny v určitých obrysech, zatímco vodítka/pokyny k funkci pověřence specifikují požadavky na tuto osobu detailněji.[8]
Mělo by se jednat o osobu s odbornými znalostmi v oblasti práva a zejména praxe v oblasti ochrany osobních údajů. Jedná se o institut usnadňující dodržení souladu s nařízením, jelikož úkoly pověřence jsou i) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům (kteří provádějí zpracování) o jejich povinnostech podle nařízení, ii) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů, iii) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů (viz výše) a iv) monitorování jeho uplatňování, spolupráce s dozorovým úřadem a působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace (viz výše).
Povinnost jmenovat pověřence pro ochranu osobních údajů je nařízením výslovně stanovena pro orgány veřejné moci či veřejné subjekty, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů anebo jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů. Je však v kompetenci jednotlivých členských států tuto povinnost rozšířit i na další subjekty a také je dána možnost pověřence jmenovat dobrovolně. Tuto činnost může pověřenec vykonávat jako zaměstnanec i jako tzv. externista na základě smlouvy o poskytování služeb, v každém případě je pověřenec při plnění svých úkolů přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
Pověřenec má být podle nařízení náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Pracovní skupina WP29 doporučuje dosažení tohoto cíle například tím, že zajistí účast a stanovisko pověřence v situacích, kdy jsou přijímána rozhodnutí, která se mohou dotknout ochrany osobních údajů, poskytne pověřenci všechny relevantní informace, aby k nim mohl vyjádřit své stanovisko atd. Nařízení dále ukládá správci či zpracovateli povinnost podporovat pověřence pro ochranu osobních údajů při plnění jeho úkolů tím, že mu poskytne zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí. Za tyto zdroje Pracovní skupina WP29 považuje například přístup a komunikaci pověřence vůči jiným podnikovým oddělením, odpovídající finanční ohodnocení nebo poskytnutí dostatečného času a vybavení, aby mohl pověřenec vykonávat řádně své povinnosti.[9]
Závěr
Stručný průřez novinkami v oblasti ochrany osobních údajů nemá za cíl správce, příp. zpracovatele, odradit tak, aby již dále osobní údaje nezpracovávali. Naopak, má je vést k úvaze nad zásadami ochrany osobních údajů a povinnostmi, které pro ně z GDPR plynou. Plní-li správci povinnosti stanovené stávající právní úpravou již dnes, pak není důvod podléhat panice. Z dozorové činnosti Úřadu je nicméně zřejmé, že jak exekutorská komora, tak samotní exekutoři neplnili dosud své povinnosti v souvislosti s ochranou a zpracováním osobních údajů zcela bez pochybení; s ohledem na širokou a komplikovanou agendu jsou však tato pochybení do jisté míry pochopitelná. GDPR však mj. s ohledem na své vysoké sankce vysílá nepochybný signál, že ochraně osobních údajů je třeba se ve všech oborech činností a podnikání věnovat s větší pozorností. Nejde přitom pouze o splnění povinností dle GDPR, ale o nový pohled na nakládání s osobními údaji a daty. „Data is the new oil of economy“, neboli data jsou novým palivem ekonomiky a mají vysokou obchodní hodnotu, a tak je třeba k nim stále více přistupovat.
Článek byl publikován v Komorních listech č. 1/2018
Recitál 73, 88 a článek 33 a 34 GDPR.[1]
Recitál 84, 89, 90, 91, 92, 94, 95 a článek 35 GDPR.[2]
§ 13 odst. 3 ZOOÚ.[3]
Data Protection Impact Assessment.[4]
WP29. Vodítka k Posouzení vlivu na ochranu osobních údajů. 17/EN WP 248. Dostupné z http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.[5]
Recitál 95 a článek 36 GDPR.[6]
Článek 37, 38, 39 GDPR.[7]
Data Protection Officer.[8]
WP29. Vodítka k Pověřenci pro ochranu osobních údajů. 16/EN WP 243 rev.01. Dostupné z https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463.[9]
Diskuze k článku ()