dnes je 22.12.2024

Input:

Jak se připravit na nové nařízení o ochraně osobních údajů - 3. díl

3.4.2018, , Zdroj: Verlag Dashöfer

1.62
Jak se připravit na nové nařízení o ochraně osobních údajů – 3. díl

Mgr. Mgr. Radana Burešová

V rámci přípravy na GDPR je vhodné provést následující kroky:

1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat

2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.

Dále se musí podniknout opatření:

3. ve vztahu k ochraně zpracovávaných osobních údajů

4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),

5. ve vztahu k dozorovému úřadu.

ad 3) Zabezpečení osobních údajů

I zákon o ochraně osobních údajů zakotvuje povinnost správců osobních údajů přijmout opatření k zabezpečení osobních údajů (§ 13 ZOOÚ). V praxi však tato povinnost bývá ignorována. GDPR ochraně a zabezpečení osobních údajů věnuje větší pozornost (články 25 a 32 GDPR) a je o něco konkrétnější. Navíc stanoví povinnost ohlašovat případy porušení zabezpečení osobních údajů jak dozorovému orgánu, tak samotným subjektům údajů.

Tato povinnost již dnes existuje v oblasti elektronických komunikací na základě § 88 odst. 4 až 7 zákona č. 170/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a ÚOOÚ za účelem jejího plnění připravil elektronické formuláře. Lze předpokládat, že v případě ohlašovací povinnosti podle GDPR tomu bude stejně.

Je zřejmé, že splnění výše uvedené ohlašovací povinnosti může mít za následek šetření ÚOOÚ a případné udělení pokuty kvůli nedostatečnému zabezpečení zpracovávaných údajů. Pokuta však bude udělována i za nesplnění ohlašovací povinnosti. Vzhledem k tomu, že pokuty podle GDPR budou moci dosahovat značné výše, nesmí se zabezpečení osobních údajů podceňovat.

V rozporu se zákonem i s GDPR jsou například tyto dnes běžné praktiky:

  • umístění knih hostů v ubytovacích zařízeních tak, že do nich mohou nahlédnout jiní hosté, nebo skutečnost, že se do těchto knih hosté zapisují sami a mohou vidět údaje o ostatních ubytovaných,

  • umístění zdravotních karet tak, že do nich může nahlédnout jiný pacient,

  • umístění faktur, objednávek a jiných dokladů, z nichž se dají získat osobní údaje jiných zákazníků, na místech, kde do nich může nahlédnout každý příchozí,

  • posílání e-mailů vícero osobám na jejich soukromé e-mailové adresy (např. v rámci přímého marketingu) najednou tak, že příjemci mohou zjistit e-mailovou adresu ostatních adresátů.

Podle článku 24 GDPR správci osobních údajů musí "s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavést vhodná technická a organizační opatření, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována."

Kodex chování

Jednou z možností, jak lze doložit, že správce plní příslušné povinnosti v oblasti ochrany osobních údajů, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42 GDPR (články 24, 25 a 32 GDPR).

V této souvislosti je třeba podotknout, že výše uvedené schválené kodexy (např. pro určité odvětví – bankovnictví, zdravotnictví apod.) ani osvědčení dosud neexistují, neboť GDPR ještě neplatí a v České republice dosud nebyly nastaveny mechanismy jejich vydávání. Předložení (dobrovolně získaného) osvědčení o tom, že zpracování osobních údajů probíhá v souladu s GDPR, vydané akreditovanými osobami (systém akreditace dosud neexistuje), správce ale nezbaví odpovědnosti za případné porušení GDPR (čl. 42 odst. 4 GDPR).

Článek 32 odst. 1 GDPR uvádí, že je třeba mimo jiné přijmout opatření, která směřují k:

a) pseudonymizaci a šifrování osobních úkonů,

b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

GDPR výslovně neupravuje jednotlivá technická ani organizační opatření, jimiž má být výše uvedených cílů dosaženo.

Jako kritéria pro to, jaký systém zabezpečení v konkrétním případě zvolit, GDPR v čl. 32 odst. 1 uvádí:

1. aktuální stav techniky a (v menší míře) nákladnost opatření,

2. povaha (mj. typ zpracovávaných osobních údajů), rozsah, kontext a účel zpracování,

3. pravděpodobnost vzniku různých rizik a jejich závažnost pro práva dotčených fyzických osob.

Riziky se přitom rozumí především náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Možné důsledky těchto rizik jsou uvedeny v bodě 75 odůvodnění GDPR: "fyzická, hmotná nebo nehmotná újma, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, ...".

Zejména organizační opatření musí podle článku 25 GDPR směřovat k tomu, "aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob."

Analýza zabezpečení osobních údajů

Splnění výše uvedených požadavků bude moci být doloženo výše uvedeným dodržováním schválených kodexů chování uvedených v článku 40 nebo osvědčením dle článku 42, které však prozatím nejsou k dispozici. Proto je vhodné (čl. 24 odst. 1, čl. 25 1 a čl. 32 odst. 1) minimálně do doby získání osvědčení, pokud ho správce vůbec bude chtít získat, zpracovat písemnou analýzu zohledňující výše uvedené aspekty, jejímž výsledkem bude stanovení prostředků zpracování, potřebného stupně zabezpečení vč. konkrétních technických opatření k fyzickému zabezpečení dat, a zároveň organizačních opatření např. v podobě vnitřní směrnice, které stanoví závazný postup zaměstnanců při nakládání s osobními údaji. Zároveň je třeba důsledně vyžadovat a prověřovat plnění stanovených pravidel.

Výše uvedená analýza tedy jednak poslouží k dosažení potřebné úrovně zabezpečení osobních údajů, jednak může vůči dozorovému orgánu sloužit jako doklad o tom, že se správce touto problematikou zabýval a chtěl zajistit soulad svých postupů s požadavky GDPR (viz též bod 83 odůvodnění GDPR).

Shora uvedená analýza zabezpečení osobních údajů by mohla obsahovat následující body, částečně převzaté z doporučení WP29 z posouzení vlivu na ochranu osobních údajů podle článku 35 GDPR (viz tato kapitola), které se zčásti též týká hodnocení rizik:

a) popis zpracování:

  • povaha (právní důvod zpracování) a rozsah zpracování osobních údajů s uvedením druhu osobních údajů, jejich účelu a doby zpracování, zhodnocení dodržení zásady minimalizace osobních údajů,

  • funkční popis operace zpracování (jak přesně zpracování probíhá),

  • prostředky, na nichž jsou osobní údaje závislé (hardware, software, sítě, lidé, tištěné dokumenty a kanály pro přenos tištěných dokumentů),

  • případné dodržování schválených kodexů (až budou k dispozici),

b) hodnocení rizik:

  • původ, povaha, zvláštnost a závažnost rizika (neoprávněný přístup, nežádoucí úpravy a zánik dat) z hlediska subjektu údajů (vyšší riziko hrozí podle bodu 75 odůvodnění GDPR obzvláště v situacích, kdy "jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů),

  • zdroje rizik a hrozby, které by mohly mít za následek neoprávněný přístup, nežádoucí úpravy či zánik dat (mj. lokalita prostor, v nichž jsou osobní údaje uchovávány), dřívější porušení zabezpečení – vloupání apod., možnost omezit přístup do těchto prostor, resp. k osobním údajům, existující zabezpečení prostor, zabezpečení úložišť dat – výpočetní technika, nosičů dat (CD, DVD, flash disky), technické zabezpečení pro případ poruch,

  • odhad pravděpodobnosti a závažnosti rizik,

c) opatření určená k řešení těchto rizik:

  • zajištění fyzické ochrany – zabezpečení prostor (uzamčení, kontrolovaný omezený přístup), zabezpečení uchování nosičů osobních údajů (uzamykatelný nábytek bez prosklení, sejfy pro drobné nosiče dat a obzvlášť důvěrné dokumenty),

  • zajištění softwarové ochrany – šifrování souborů obsahující osobní údaje a přístup

Nahrávám...
Nahrávám...