Ochrana osobních údajů

Garanti: Zdeněk Macháček MBA, JUDr. Lukáš Bohuslav, Ph.D., Mgr. Michal Mazel

Ochranu osobních údajů /OOÚ/ v současné době příliš nevnímáme, jako problém. Některé společnosti, ale i státní sektor, začínají tento fenomén vnímat, až když se jich dotkne osobně, ale to již bývá pozdě. V doposud platné legislativě se většinou jednalo o známé kauzy, s nelegálními odposlechy, ale i nemedializované úniky osobních dat, kde byli nakonec pachatelé odsouzeni za porušení ochrany osobních údajů.

V současné době probíhá přechodné období, k implementaci nových Evropských právních norem v o oblasti OOÚ jedná se o Nařízení Evropského Parlamentu a Rady EU 2016/679 – GDPR – General Data Protection Regulation a o Směrnice Evropského Parlamentu a Rady EU 2016/680.

Přechodné období končí, v květnu 2018, což není lhůta pro vydání změny zákona 101/2000 Sb., ale krajní lhůta, kdy se musí všechny povinné subjekty v souladu s GDPR a Směrnici začít chovat.

Neopominutelným faktem je, že po novele Zákona o trestní odpovědnosti právnických osob, od prosince 2016, je neoprávněné nakládání s OOÚ jeden z trestných činů, kde je možné stíhat právnickou osobu. Tato bude muset prokázat, že porušení zákona nebyla systémová chyba, ale selhání jednotlivce.

Nedodržení GDPR a Směrnice přináší nové drakonické sankce. Jejich výše je stanovena až na 10 – 20 mil. EUR a nebo 4 % z obratu,  u nadnárodních korporací, z obratu nadnárodního.

První kroky, které budou muset povinné subjekty učinit a kde je hlavní role naší pomoci:

Úvodním krokem by měl datový audit. Získat přehled o tom, jaký typ osobních údajů organizace zpracovává nebo spravuje, kde a jak je ukládá a kdo k nim má přístup.

• Cílem je analyzovat současný stav ochrany dat tzn., že je proveden audit interních předpisů, procesů, dokumentů, smluv, ukládání a toky informaci/dat ve společnosti.

 Dále následuje:

• Zavedení systému ochrany dat
• pravidla, procesy a nástroje pro zpracování a uchování dat, zahrnující i subjekty sídlící mimo území EU
• Jmenování odpovědné osoby – DPO  (Data Protection Officer) –jmenovat musí
• orgány veřejné moci s výjimkou soudů při výkonu soudních pravomocí
• pokud hlavní činnost správce či zpracovatele osobních údajů zahrnují rozsáhlé a pravidelné zpracování subjektů osobních údajů ve velkém rozsahu
• pokud hlavní činnost správce nebo zpracovatele zahrnují zpracování zvláštních kategorií osobních údajů ve velkém měřítku
• další případy stanovené členskými zeměmi
• Skupina podniků / OVM – může mít společného pověřence
• má být členem vrcholového vedení a  řídit oddělení, které má ochranu osobních údajů v působnosti.
• nesmí jít o člověka, který s osobními daty firmy běžně zachází, jako třeba firemní právník nebo IT ředitel, aby nedošlo ke střetu zájmů a spojení funkce kontrolora dat s jejich uživatelem.
• Zajištění bezpečnosti dat
• vaše společnost musí zaručit, že pro bezpečnost dat dělá skutečně maximum = musí prokazatelně učinit vše pro to, aby zamezila úniku dat. Správu dat je možno přenést na specializované firmy nabízející cloudová řešení. Tyto firmy pak přebírají odpovědnost.
• Získat od klientů souhlas
• osobám/klientům by firmy měly jasně a srozumitelně oznamovat, jaká data o nich sbírají a za jakým účelem.
• Umožnit osobám data na vyžádání vymazat

Pro ilustraci uvádíme nejvýznamnější rozdíly GDPR a Směrnice oproti zákonu 101/2000 Sb.

• Základní změny v GDPR
  1. Hlášení bezpečnostních incidentů
  2. Posuzování vlivu na soukromí
  3. Jmenování pověřence pro ochranu osobních údajů – DPO
  4. Ochrana „by desing“ a „by default“
  5. Právo na portabilitu

• Pověřenci pro ochranu osobních údajů (Data protection officer) DPO, včetně možnosti dodavatelského zajištění /aktuálně taková pracovní pozice neexistuje/. Také jde řešit personálním zajištěním uvnitř organizace.
• Regulace samotná se dotkne všech, firem, státní správy a místní samosprávy – záleží, jaká data spravují, nebo jaká zpracovávají (pojem správce/zpracovatel) = regulace totiž nově zahrnuje jakákoliv data, která vedou k identifikování osobních dat jednotlivců.
• Změna části terminologie:
  • osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů
  • zpracování osobních údajů – jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace
  • správce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu
  • zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce
• Hlášení závažných porušení ochrany osobních údajů:
  • Nařízení vyžaduje, aby postižená společnost či organizace informovala Úřad pro ochranu osobních údajů o úniku nejdéle 72 hodin po zjištění. Dále musí firmy a organizace zajistit procesy a technologie, které jim umožní únik odhalit,  zareagovat a zajistit nápravu.
  • Vyplývá z toho nutnost zajištění výchovy manažerů a  zaměstnanců.  Rovněž to bude vyžadovat provedení změn v interních zásadách zabezpečení dat a zajistit jejich zavedení do firemní praxe.
  • Účelem je zajistit rychlé odhalení úniku dat, rozpoznání příčin a následnou nápravu.
• Posouzení vlivu:
  • povinnost oznamování dozorovému úřadu zrušena
  • Místo tohoPosouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivce a předchozí konzultace s dozorovým úřadem