Postup při přípravě, implementaci a aplikaci GDPR ve firemní a personální praxi

2.1.3

Postup při přípravě, implementaci a aplikaci GDPR ve firemní a personální praxi

JUDr. Dušan Srp, Ph.D.

ÚVOD DO PROCESU PŘÍPRAVY NA GDPR

V úvodu nejprve připomeneme základní informace ke GDPR.

Co je GDPR?

GDPR je Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (zkráceně obecné nařízení o ochraně osobních údajů). V anglickém jazyce je GDPR zkrácený výraz od General Data Protection Regulation. V textu tohoto článku budeme používat označení GDPR.

V České republice GDPR nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který implementoval směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Česká republika připravuje v návaznosti na GDPR nový zákon o ochraně osobních údajů; v době přípravy tohoto článku existuje text nového zákona o ochraně osobních údajů ve formě návrhu připraveného Ministerstvem vnitra. Nový zákon o ochraně osobních údajů však bude jen doplňovat komplexní právní úpravu danou v GDPR, a to v oblastech, které nejsou Obecným nařízením upraveny a kde GDPR umožňuje či přímo předpokládá, že členské státy provedou vlastní právní úpravu na vnitrostátní úrovni. Spolu s novým zákonem o ochraně osobních údajů bude v České republice ještě přijat změnový zákon.

Jak je GDPR právně závazné?

GDPR je jako nařízení EU právně závazné v celém rozsahu a přímo účinné (použitelné) ve všech členských státech Evropské unie. Je třeba jej tedy chápat tak, jako by to byl zákon přijatý Parlamentem České republiky. Pokud jde o stanovení práv a povinností, není mezi nařízením EU a vnitrostátním zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují povinnosti a práva. Pro účel výkladu nařízení EU je třeba upozornit na tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení EU a jsou v některých případech výkladem či důvodovou zprávou k některým ustanovením vlastního textu nařízení. Při práci s GDPR proto bude třeba číst i jednotlivé recitály týkající konkrétního článku či institutu GDPR.

Kde platí GDPR a pro koho?

GDPR je účinné (použitelné) ve všech státech Evropské Unie a dále na Islandu, v Norsku a Lichtenštejnsku.

Z hlediska místní působnosti se GDPR vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Evropské unii bez ohledu na to, zda zpracování probíhá v Evropské unii či mimo ni. GDPR se dále vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Evropské unii, správcem nebo zpracovatelem, který není usazen v Evropské unii, pokud činnosti zpracování souvisejí:

• s nabídkou zboží nebo služeb těmto subjektům údajů v Evropské unii bez ohledu na to, zda je od subjektů údajů požadována platba; nebo

• s monitorováním jejich chování, pokud k němu dochází v rámci Evropské unie.

Kdy bude GDPR účinné?

GDPR je nyní již platné, ale stanovilo dvouletou lhůtu do účinnosti, která slouží členským státům a všem správcům a subjektů na přípravu na GDPR. GDPR je účinné (použitelné) ode dne 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů v Evropské unii budou muset řídit GDPR.

Na co a na koho se GDPR vztahuje?

Z hlediska věcné působnosti se GDPR vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Evidencí se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

GDPR se nevztahuje na zpracování osobních údajů prováděné:

• při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie;

• členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

• fyzickou osobou v průběhu výlučně osobních či domácích činností;

• příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Lze konstatovat, že většina zpracovatelských operací v komerční a i veřejné sféře bude GDPR podléhat.

GDPR stanoví povinnosti správcům a zpracovatelům.

Správcem je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce:

• před samotným zpracováním osobních údajů je povinen v případech daných v GDPR provést posouzení vlivu na ochranu osobních údajů;

• má povinnost vést záznamy o všech zpracováních, za které nese správce zodpovědnost. GDPR počítá s výjimkami z povinnosti vést dokumentaci zpracování pro podniky s méně než 250 zaměstnanci. Nicméně i malé podniky mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování, a proto je výjimka omezena pouze na taková zpracování, která nelze kvalifikovat jako riziková.

• má povinnost hlásit místně příslušnému dozorovému orgánu únik či porušení zabezpečení osobních údajů, a to ve lhůtě maximálně 72 hodin.

Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo které vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

PRAKTICKÝ POSTUP PŘI PŘÍPRAVĚ, IMPLEMENTACI A APLIKACI GDPR

Implementace GDPR by rozhodně neměla být podniky podceněna. Podívejme se na to, jaké kroky je vhodné učinit ve Vaší firmě při přípravě, implementaci a aplikaci GDPR.

Krok 1 – Informování vedení společnosti, určení pracovního týmu, vyčlenění technických a finančních prostředků pro účely projektu

Nejdříve doporučuji promluvit si s vedením podniku o GDPR, zjistit, zda jsou si členové vedení vědomi GDPR a zda vědí, jaký dopad může mít zavedení pravidel GDPR na podnik a podnikové oblasti, které jsou jimi vedeny.

Dále bude třeba vyčlenit zaměstnance či vytvořit tým zaměstnanců, který bude odpovědný za zajištění souladu zpracovatelských operací správce s GDPR. Toto bude nutné i tehdy, když bude realizací pověřen externí dodavatel. V týmu by měl být zastoupen pracovník zejména oddělení právního, personálního a IT.

Těmto vyčleněným pracovníkům se poskytnou veškeré informace týkající se zpracování osobních údajů v podniku, aby byli schopni se zorientovat v příslušné problematice.

Jde-li o nadnárodní koncern, bude třeba na počátku vyřešit a rozhodnout, v jakém rozsahu je implementace GDPR prováděna na centrální koncernové úrovni a v jakém na lokální úrovni a jak bude lokální tým spolupracovat s centrálou.

Krok 2 – Udělejte si interní audit současného stavu zpracování osobních údajů

Implementaci GDPR nejlépe začnete, když si uděláte pořádek v osobních údajích, které zpracováváte, a ve zpracovatelských operacích prováděných nyní, tedy ještě před účinností GDPR, podle stávající právních předpisů a aktuální praxe v podniku. Vhodné je provést si datový a bezpečnostní audit, který tyto zpracovatelské procesy zmapuje a upozorní na případné nedostatky.

Odpovězte si mimo jiné na tyto otázky:

1. Jaké osobní údaje a jaké kategorie osobních údajů Vaše firma zpracovává a uchovává?
2. Jaké zpracování a procesy zpracování podnik provádí?
3. Proč a na základě jakého právního titulu osobní údaje zpracováváte?
4. V jakém rozsahu se osobní údaje shromažďují?
5. Provádí se zpracování podle stanoveného účelu?
6. Jaké kategorie subjektů údajů jsou relevantní?
7. Kdo jsou příjemci nebo jaké jsou kategorie příjemců osobních údajů?
8. Jsou shromážděná data adekvátní, přesná a účelná? Nejsou nadbytečná?
9. Zpracování je prováděno manuálně nebo automatizovaně?
10. Je prováděno profilování?
11. Na jakou dobu jsou osobní údaje ukládány pro zpracování? Uchovávají se osobní údaje pouze po dobu nezbytně nutnou? Kdy a jak se osobní údaje likvidují?
12. Jsou shromážděné osobní údaje aktualizovány, jakým způsobem a jak často?
13. Kde jsou osobní údaje uloženy, kdo k nim má přístup a jak se tento přístup monitoruje? Ukládají se informace o přístupech pro případnou pozdější kontrolu?
14. S kým a jakým způsobem se osobní údaje sdílí?
15. Jsou zpracovávané osobní údaje dostatečně chráněny? Zabraňují realizované technické prostředky a uplatňovaná organizační opatření nahodilému přístupu k osobním údajům, jejich změně, zničení nebo ztrátě?
16. Existují postupy upravující práva subjektu údajů a určení práv subjektů dat s ohledem na jejich podnikem zpracovávaná data?
17. Jaká interní dokumentace řeší zpracování osobních údajů v podniku?
18. Existuje datový a bezpečnostní audit procesů zpracování?
19. Kdo je v podniku odpovědný za zpracování osobních údajů a komunikaci se subjekty údajů, zaměstnanci, vedením podniku a s dozorovým úřadem?

Pokud při interním auditu najdete nepřesné nebo neúplné osobní údaje nebo jiné nedostatky v procesech zpracování, pak je třeba chybné údaje či nedostatky ihned opravit (nečekat na účinnost GDPR), a pokud je sdílíte s dalšími podniky či subjekty, je nutné je na to také upozornit. Nedostatky mohou spočívat např. v zpracování osobních údajů bez souhlasu subjektu údajů či v nepotřebných osobních údajích, které již není potřeba zpracovávat.

Krok 3 – Proveďte si analýzu nedostatků a nutných nových opatření v souvislosti s GDPR

Nejprve podnik musí posoudit, zda a jak splňuje v současnosti právní a technické požadavky na zpracování osobních údajů dle pravidel a požadavků budoucí GDPR. Nesoulad lze předpokládat tam, kde GDPR zavádí nové povinnosti nebo plnění povinností upravuje odlišně od stávající právní úpravy.

Firma by měla provést důkladnou analýzu stávajících interních postupů všech svých zainteresovaných oddělení (např. HR, IT, oddělení styku se zákazníky, oddělení vnitřní bezpečnosti, recepce, účetní oddělení apod.), pokud se dostávají do kontaktu s osobními údaji. Analyzovat je potřeba také veškeré dokumenty upravující zpracování osobních údajů, vnitřní směrnice, souhlasy se zpracováním osobních údajů a způsob a formu jejich udělení, smlouvy s dodavateli, smlouvy se zákazníky, smlouvy se zpracovatelem osobních údajů, smlouvy o zpracování osobních údajů, postupy při zpracování apod.

Po provedené analýze a posouzení nových povinností je vhodné vypracovat písemnou zprávu s uvedením nedostatků a navržení nutných nových opatření v souvislosti s GDPR. Tato zpráva bude určena pro interní potřebu podniku.

Vzhledem k novým povinnostem GDPR je třeba již v počátku posoudit a rozhodnout některé skutečnosti a také je třeba se seznámit s novými pravidly a povinnostmi dle GDPR. Zejména jde o tyto skutečnosti a otázky:

1. Musí podnik vést záznamy o činnostech zpracování?

Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech.

2. Musí podnik provést či doplnit opatření k zabezpečení osobních údajů?

Podnik je povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, provést jak v době určení prostředků pro zpracování, tak v době zpracování vhodná technická a organizační opatření (jako je např. pseudonymizace), aby byla zajištěna úroveň zabezpečení odpovídající danému riziku, byla ochráněna práva subjektů údajů a byly plněny všechny požadavky GDPR.

Proto všechny vnitropodnikové procesy týkající se zabezpečení osobních údajů, které nepochybně každý podnik v určitém rozsahu má zavedeny, je třeba překontrolovat a případně doplnit dle požadavků GDPR.

3. Musí podnik provést posouzení vlivu na ochranu osobních údajů?

Posouzením vlivu na ochranu osobních údajů (v angličtině Data Protection Impact Assessment či zkráceně DPIA) se rozumí provedení posouzení vlivu na ochranu osobních údajů správcem před provedením zpracování. Správce jej musí provést tehdy, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

Posouzení vlivu na ochranu osobních údajů je nutné zejména v těchto případech:

• systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

• rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, nebo

• rozsáhlé systematické monitorování veřejně přístupných prostorů.

Pokud by z posouzení vlivu vyplývala vysoká rizika při zpracování v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, provádí správce před zpracováním předchozí konzultace s dozorovým úřadem.

4. Musí podnik jmenovat pověřence pro ochranu osobních údajů?

Podnik musí prověřit a rozhodnout, zda bude muset ke dni účinnosti GDPR jmenovat pověřence pro ochranu osobních údajů. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

Pověřencem pro ochranu osobních údajů (anglicky Data Protection Officer či zkráceně DPO) je osoba, kterou musí správce či zpracovatel jmenovat v těchto případech:

• zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí;

• hlavní činnosti správce či zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

• hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

Skupina podniků může jmenovat jediného pověřence, avšak ten musí být pro každý podnik snadno dosažitelný.

Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat GDPR. GDPR nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Může to být pracovník správce či zpracovatele nebo pracuje na základě smlouvy o poskytování služeb. Úkolem pověřence je zejména poskytování informací a poradenství správci či zpracovateli, jakož i jejich zaměstnancům, kteří se na zpracování podílejí, sledování souladu zpracování s GDPR a spolupráce s dozorovým úřadem.

5. Je-li podnik součástí koncernu, nejde o případ společných správců?

GDPR počítá s existencí tzv. společných správců, kdy účel a prostředky zpracování stanoví společně dva nebo více správců. Společní správci si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností dle GDPR, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace dle GDPR. Společní správci si mohou v ujednání určit kontaktní místo pro subjekty údajů, jejich úlohy a vztahy vůči subjektům údajů.

6. Zpracovává podnik zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Výčet zvláštní kategorie osobních údajů je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který má zvláštní režim.

GDPR poskytuje zpracování zvláštních kategorií osobních údajů zvýšenou ochranu. Ta se projevuje zejména ve stanovení zvláštních právních důvodů, na základě kterých je lze zpracovávat, dále jejich rozsáhlé zpracování způsobuje nutnost posouzení vlivu a ustavení pověřence, je kladen důraz na jejich zvýšené zabezpečení atd.

7. Provádí podnik profilování?

Profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu. Profilování se skládá ze tří prvků:

• musí jít o automatizovanou formu zpracování;

• musí být prováděno s osobními údaji;

• předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.

Profilování je nová definice v GDPR, avšak k profilování dochází již nyní. Profilování je běžné např. u bank, které profilují klienta žádajícího o hypotéku a hodnotí si jeho schopnost splácet.

8. Předává či plánuje podnik předávat osobní údaje do třetích zemí?

Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán, protože v zemích Evropské Unie platí GDPR. Samozřejmě v ostatním platí pro předání osobních údajů všechny podmínky GDPR (tj. např.…