Český svaz pivovarů a sladoven, z.s.
Lípová 15,
120 00 Praha 2
V Příbrami 1.2.2018
Krátké metodické shrnutí dopadů GDPR v oblasti malých a středních podniků
Vážený pane předsedo,
na základě naší dohody zpracovala naše kancelář krátké metodické shrnutí dopadů nové směrnice na ochranu osobních údajů (GDPR) na malé a střední podniky v oboru.
A) POJEM GDPR
GDPR je nařízení EU, které bude účinné od 25. května 2018 a které se bude přímo aplikovat ve všech členských zemích včetně České republiky. Do uvedeného data (25. května 2018) se budou muset fyzické a právnické osoby jako správci osobních údajů (a případně též jejich zpracovatelé) připravit na nová pravidla, nastavit procesy a upravit související dokumentaci, tak aby se vyhnuly riziku potenciálních mnohonásobně vyšších pokut a dalším následkům spojeným s nesprávným zacházením s osobními údaji. Nařízení EU nahrazuje v tomto směru dosud platný český zákon č. 101/2000 Sb., o ochraně osobních údajů, přičemž pokuty a následky zaváděné nařízením GDPR jsou výrazně přísnější. Vzhledem k tomu, že se u GDPR jedná o evropské nařízení (nejde tedy o směrnici), bude GDPR použitelné přímo a jednotně ve všech státech EU. Práva a povinnosti vyplývají přímo z textu nařízení GDPR. GDPR je dostupné v českém jazyce a od své účinnosti nahradí dosavadní českou národní úpravu v této oblasti. Český Úřad pro ochranu osobních údajů však bude nadále existovat a působit jako dozorový a kontrolní orgán v oblasti osobních údajů.
V podstatě každý podnikatel je správcem osobních údajů – vede personální agendu (zaměstnanci), má docházkový systém, vstupuje do obchodních vztahů s podnikateli fyzickými osobami, vede o nich účetní i jinou evidenci, provozuje v zájmu ochrany majetku kamerový systém, má portfolio zákazníků – fyzických osob, provozuje eshop, atd. Ve všech těchto oblastech dochází k nakládání a tedy ke zpracování osobních údajů fyzických osob, které budou podléhat přísné regulaci nařízení GDPR.
B) ZÁSADNÍ ZMĚNY, KTERÉ PŘINÁŠÍ GDPR OPROTI DNEŠNÍMU STAVU
Nové a širší pojmy (čl. 4 GDPR): rozšíření stávajících definic (osobní údaj, zvláštní kategorie osobních údajů) a nové pojmy (omezení zpracování, pseudonymizace, profilování, porušení zabezpečení osobních údajů, pověřenec pro ochranu osobních údajů atd.)
Univerzální územní působnost (čl. 3 GDPR): efektivní postihování i správců, kteří nemají sídlo v EU
Souhlas se zpracováním osobních údajů: rozšíření definice souhlasu se zpracováním osobních údajů (čl. 4 odst. 11 GDPR), zpřísnění podmínek pro získání souhlasu (čl. 7 GDPR) a stanovení pravidel týkajících se nezletilých (čl. 8 GDPR)
Rozšíření práv subjektů údajů (čl. 12-23 GDPR): více práv pro jednotlivce (přenositelnost osobních údajů, právo být zapomenut, právo na první bezplatnou kopii osobních údajů, právo vznést námitku, právo na omezení zpracování osobních údajů)
Detailnější důraz na zajištění bezpečnosti (čl. 32 GDPR):
- zavedení vhodných technických a organizačních opatření (např. pseudonymizace a šifrování osobních údajů);
- schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; - schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických a technických incidentů;
- proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování
Ohlašování incidentů (čl. 33 GDPR): povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm správce dozvěděl [až na výjimky nutno oznámit i subjektům údajů (čl. 34 GDPR)]
Záznamy o činnostech zpracování (čl. 30 GDPR): formální oznámení o zpracování osobních údajů Úřadu pro ochranu osobních údajů (tzv. registrace) bude nahrazeno detailnější povinností vést interní záznamy o zpracování osobních údajů
Posouzení vlivu na ochranu osobních údajů a předchozí konzultace (čl. 35 a 36 GDPR): je-li pravděpodobné, že určité zpracování, zejména při využití nových technologií, bude z pohledu Úřadu pro ochranu osobních údajů rizikové, povinnost vypracovat dopady na ochranu osobních údajů a v některých případech je konzultovat s Úřadem (ten sestaví a zveřejní seznam zpracování podléhajících tomuto požadavku)
Pověřenec ochrany osobních údajů (čl. 37 GDPR): povinnost v některých případech jmenovat uvnitř organizace „pověřence pro ochranu osobních údajů", nebo takovou osobu zajistit externě (zejm. u rozsáhlého a systematického monitorování subjektů údajů)
Významné pokuty připomínající sankce na úseku hospodářské soutěže (čl. 83 odst. 6 GDPR): porušení pravidel ochrany osobních údajů může být pokutováno částkou až 20 mil. EUR, anebo 4 % celosvětového obratu, podle toho, co je vyšší.
C) JAK SE PŘIPRAVIT
každý podnikatel (fyzická či právnická osoba) coby správce nebo zpracovatel údajů, by měl s ohledem na nemalý počet osobních údajů, s nimiž nakládají a které zpracovávají, provést zejména interní analýzu zpracování osobních údajů, posoudit, které povinnosti dle GDPR a v jakém rozsahu se na ně vztahují, zajistit/přijmout bezpečnostní opatření, přizpůsobit všechny interní postupy a upravit externí vztahy. Tyto kroky by měly vést k jejich budoucímu naplňování požadavků GDPR. Navržené kroky a naznačené postupy budou mít v návaznosti na konkrétního podnikatele či jeho agendu specifické znaky a obsah.
1. ZAJISTIT POVĚŘENCE PRO OCHRANU OSOBNÍCH ÚDAJŮ
- posoudit, zda bude konkrétní podnikatel potřebovat pověřence ochrany osobních údajů a zda je vhodné tuto funkci zajistit z vlastních zdrojů, nebo raději externě (čl. 37 GDPR)
- jmenovat nebo externě zajistit nezávislého pověřence pro ochranu osobních údajů, u něhož nedochází ke střetu zájmů (čl. 38 odst. 6 GDPR). V konfliktním postavení mohou typicky být pozice ve vyšším managementu (výkonný ředitel, provozní ředitel, finanční ředitel, zdravotní ředitel, vedoucí marketingového oddělení, vedoucí personálního oddělení nebo vedoucí oddělení IT), ale i pozice na nižším stupni organizační struktury, pokud v takovém postavení dochází k rozhodování o účelech a prostředcích zpracování. Lze předpokládat, že i interní auditor by mohl být v konfliktním postavení, pokud objektivně může vznikat obava, že hodnocení auditu by s ohledem na zavedené postupy při zpracování nemusely být provedeny objektivně (zpravidla tomu tak bude, ledaže podnikatel zavedl specifická opatření pro zpracování a hodnocení auditu oproti jinak běžným základním postupům)
- zapojit pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů a poskytnout mu zdroje nezbytné k plnění jeho úkolů (čl. 38 odst. 1 GDPR) a zveřejnit jeho údaje (čl. 37 odst. 7 GDPR)
2. PROVÉST ZÁKLADNÍ AUDIT ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
- zajistit základní audit zpracování osobních údajů, který má za cíl zmapovat faktickou situaci u podnikatele – vytvoření některého z modelů tzv. „datové mapy“
- zjistit, do jaké míry se podnikatele GDPR dotkne, zejména jaké osobní údaje zpracovává, pro jaké účely, po jakou dobu osobní údaje uchovává, kde se zpracovává a jak riziková daná zpracování jsou
3. NASTAVIT VNITŘNÍ PROCESY A ZAJISTIT ODPOVÍDAJÍCÍ DOKUMENTACI
- nastavit kulturu podnikatelského subjektu: monitoring, přezkoumání, zhodnocení postupů zpracování osobních údajů s cílem dodržení požadované zásady minimalizace zpracování a ukládání osobních údajů
- připravit si odpovídající dokumentaci: záznamy o činnostech zpracování (čl. 30 GDPR), posouzení vlivů na ochranu osobních údajů (čl. 35 GDPR)
- proškolit zaměstnance, kteří nakládají s osobními údaji, např. mají přístup do databází
4. REVIDOVAT SMĚRNICE A DOKUMENTY NA OCHRANU OSOBNÍCH ÚDAJŮ
- zajistit, aby byl text zásad zpracování osobních údajů či souhlasů se zpracováním v souladu s GDPR psán srozumitelným a jasným jazykem
5. ZAJISTIT BEZPEČNOST ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
- zabezpečit osobní údaje po technické a organizační stránce, tj. organizačně v dokumentech určit např. přístupové role a stanovit technické prostředky k jejich zabezpečení jako např.: o používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k osobním údajům ze strany jiných osob, o údaje v elektronické podobě uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým mají přístup pouze pověřené osoby na základě přístupových kódů či hesel, o zajistit dálkový přenos údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, o písemné dokumenty obsahující osobní údaje uchovávat na zabezpečeném místě (uzamykatelná skříň, místnost, atd.), přičemž zároveň vést řádnou evidenci o pohybu takových písemných dokumentů, o nemožnost nahrávat data na soukromé USB klíče, apod.
- kategorizovat bezpečnostní opatření v závislosti na riziku zpracování
- zabezpečit přičitatelnost (stanovit pravidla pro přístup k datům (hesla a role), zajistit logování)
- zajistit mechanismus detekce incidentů
6. REVIDOVAT SMLUVNÍ VZTAHY
- podnikatel, který vystupuje v pozici správce, by měl revidovat smlouvy o zpracování osobních údajů se svými zpracovateli, a to z hlediska nových požadavků kladených na tyto smlouvy dle GDPR
- podnikatel, který vystupuje v pozici zpracovatele osobních údajů pro správce, by měla posoudit své možnosti a schopnosti před převzetím povinností od správců
7. PŘIPRAVIT PROCESY, JAK REAGOVAT NA UPLATNĚNÁ PRÁVA SUBJEKTŮ ÚDAJŮ
- zavést či zrevidovat postupy, jak co nejrychleji a nejefektivněji reagovat v případě, kdy subjekt údajů uplatní vůči podnikateli své právo na přístup k osobním údajům, výmaz, opravu, omezení zpracování, vznese námitku proti zpracování apod.
8. PŘIPRAVIT MECHANISMY PRO PŘÍPADY PORUŠENÍ OCHRANY OSOBNÍCH ÚDAJŮ SUBJEKTU ÚDAJŮ
- připravit jasné postupy pro případné porušení osobních údajů
- připravit postupy pro ohlašování incidentů ve vztahu k Úřadu pro ochranu osobních údajů i ve vztahu k subjektům údajů
9. KONTINUÁLNÍ DODRŽOVÁNÍ ZÁKLADNÍCH ZÁSAD
- u každého osobního údaje mít jasně stanovený účel jeho zpracování, který není v rozporu s právními předpisy nebo oprávněnými zájmy subjektů údajů (měnit účel v průběhu zpracování principiálně lze, ale pouze ve značně omezeném rozsahu)
- každý osobní údaj musí být pro daný účel zpracován na základě platného právního titulu/důvodu (čl. 6 GDPR) (zákonné zmocnění, oprávněný zájem, veřejný zájem, životně důležitý zájem, smlouva, výjimečně pak souhlas subjektu údajů)
- zpracovávat je možné pouze osobní údaje v nejmenším možném rozsahu, který ještě postačuje ke splnění účelu zpracování (zásada minimalizace) (čl. 5 GDPR)
- je-li právním důvodem pro zpracování osobních údajů souhlas subjektu údajů, musí splňovat náležitosti dle GDPR (před udělením souhlasu náležité informování a poučení mimo jiné i o možnosti odvolání souhlasu) a udělení souhlasu musí být podnikatel v roli správce kdykoliv prokázat (čl. 7 GDPR)
- v každém případě zpracování osobních údajů musí být subjekt údajů ze strany správce náležitě informován o podmínkách zpracování údajů a o svých souvisejících právech (čl. 12 GDPR)
- průběžně dbát na bezpečnost osobních údajů implementací technických a organizačních opatření adekvátních danému účelu zpracování, kategorii zpracovávaných údajů a rizikům, která mohou být s daným zpracováním spojena (čl. 25 GDPR)
- zajistit právní titul k případnému předání osobních údajů mimo EU/EHS
- zavázat osoby, které přistupují k osobním údajům, či je dále zpracovávají, dodržovat vnitřní směrnice regulující ochranu osobních údajů uvnitř podniku (směrnice a zásady ochrany osobních údajů), zajistit seznámení těchto osob s vnitřními dokumenty a jejich dodržování důsledně kontrolovat a vynucovat
- určit oddělení, týmy či jednotlivce odpovědné za jednotlivé druhy zpracování
- náležitě vyškolit zaměstnance, kteří s osobními údaji nakládají
- v případě jakýchkoliv pochybností při konkrétních zpracováních se poradit s odborníky.
D) TYPICKÝ PRŮBĚH GDPR PROJEKTU (AUDITU)
Projekty GDPR lze členit do tří základních fází, které obsahují dílčí navzájem se podmiňující plnění poradců. Nejčastěji subjekty, které se chtějí podrobit kontrole, objednávají (právní) první fázi s tím, že na další fáze najímají specializované IT konzultanty nebo je řeší svépomocí interně.
V první fázi projektů většinou dochází k provedení právní analýzy specifik zkoumaného subjektu z pohledu požadavků GDPR. Povinnou součástí každého projektu v této fázi je zmapování zpracování osobních údajů v rámci procesů zkoumaného subjektu (vytvoření tzv. datové mapy) a určení požadavků GDPR a jejich dopadů (tzv. GAP analýza) s hodnocením závažnosti dopadu a rizika plynoucího z jejich nenaplnění.
První fáze přináší odpověď na otázky: které oblasti činnosti kontrolovaného subjektu podléhají GDPR, jaké má GDPR relevantní požadavky a jaké bezpečnostní mezery (gaps) je nezbytné odstranit.
Ve druhé fázi projektu dochází ke konzultacím vhodného řešení pro nakládání s osobními údaji a připomínkování a kontrole technických způsobů splnění (GAP analýzou identifikovaných) povinností, doporučených kroků a obchodních specifikací řešení v oblasti informačních technologií (IT). Poslední (třetí) fáze pak nejčastěji slouží k revizi nové IT architektury, kontrole zavádění zvoleného technického řešení a k právní revizi či vyhotovení interních metodik, směrnic, kodexů, formulářů, obsahu webových stránek nebo vzorových souhlasů se zpracováním osobních údajů. Poslední fázi někteří poradci zakončují závěrečnou zprávou o nakládání s osobními údaji v souladu s GDPR.
Většina poradců bude pro bezchybné provedení GDPR auditu po kontrolovaném podnikateli coby správci či zpracovateli osobních údajů požadovat zejména:
- určení projektového manažera (kontaktní osoby)
- seznam IT systémů a programových řešení pracujících s osobními údaji a popis IT architektury
- poskytnutí veškerých existujících dokumentů souvisejících s osobními údaji (interní směrnice, politika zpracování osobních údajů, souhlasy se zpracováním osobních údajů, informace o zpracování osobních údajů obsažené ve smlouvách či obchodních podmínkách, smlouvy o zpracování osobních údajů, smlouvy o předání osobních údajů do zahraničí apod.)
- opakovaná setkání s jeho vybranými zástupci za účelem sběru informací (zejm. o existujících procesech nakládání s osobními údaji, nastavení reakcí a odpovědí na uplatnění stávajících práv subjektů údajů, hlášení případů narušení bezpečnosti osobních údajů atd.)
- kontrolu obsahové úplnosti datové mapy, na jejímž základě provádí poradce veškeré další kroky
- účast na školení (vybraných zástupců k vyplňování datové mapy, všech klíčových zástupců k představení nápravných kroků po GAP analýze atd.)
V případě dalších požadavků jsme připraveni poskytnout potřebná doplnění a zodpvědět případné dotazy.
S pozdravem
Mgr. Michal Janík
JUDr. Tomáš Samek
advokáti
