Obecné nařízení o ochraně osobních údajů se zdá přísné. K jeho naplnění je ale možné přistupovat dle uvážení buď principem odpovědnosti správce, nebo přístupem založeným na riziku.
Při aplikování principu odpovědnosti nese správce osobních údajů plnou odpovědnost za dodržení zásad zpracování, které jsou uvedeny v článku 5. To mimo jiné znamená, že údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem nebo shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Navíc musí být zpracovávány takovým způsobem, který zajistí jejich náležité zabezpečení, včetně jejich náležité ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Správci, kteří přistoupí k této variantě, jsou odpovědní za dodržení všech svých povinností a musí být schopni soulad s nimi doložit. To například formou kodexů, osvědčení nebo vnitřními předpisy.
Přístup založený na riziku oproti tomu znamená, že správci už od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. O přístupu založeném na riziku můžeme mluvit jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu se princip založený na riziku uplatňuje zejména u nových povinností, jako jsou ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, respektive subjektu údajů nebo posuzování vlivu zpracování na ochranu osobních údajů,
vysvětluje mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták.
Při tomto přístupu bude nutné posoudit riziko porušení zabezpečení. To znamená, že bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (například údaje o zdravotním stavu), případně údaje, kterými je možné způsobit subjektu údajů újmu nebo zásah do jeho práv (například únik přihlašovacích údajů do elektronického bankovnictví). Důležité bude také to, zda došlo k porušení zabezpečení úmyslně nebo nedbalostí.
Psali jsme: Prodáváte? Pak šetřete na ochránce osobních údajů. Budete ho potřebovat
Povinnost posouzení vlivu na ochranu údajů
Správci budou povinni provést posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že určitý druh zpracování s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. A to zejména při využití nových technologií.
Posouzení vlivu na ochranu osobních údajů se podle článku 35 vyžaduje především:
a) u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
b) u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech,
c) u rozsáhlého systematického monitorování veřejně přístupných prostorů.
Hned z prvního bodu je patrné, že se povinnost posouzení vlivu na ochranu osobních údajů stahuje i na většinu internetových obchodníků. Ti totiž za účelem co možná nejvyšších tržeb své zákazníky profilují a cílí na ně reklamu. Posouzení se musí provést ještě před započetím zpracování. Pokud byl ve společnosti ustanoven pověřenec pro ochranu osobních údajů, musí si správce vyžádat jeho posudek. Pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, musí se správce obrátit na Úřad pro ochranu osobních údajů a po konzultaci toto riziko korigovat. To se ale většiny maloobchodníků netýká.
Dále čtěte: Jeden souhlas nestačí. Pro zpracování osobních údajů bude nutný double opt-in
Z výše uvedených principů přístupu vyplývá, že GDPR nebude tak velkým strašákem, jak se někteří snaží vnutit. Jen je potřeba, aby si správci údajů uvědomovali, s čím zacházejí a jak cenné osobní údaje jsou.
Ostatně, ani ukládání tolik diskutovaných pokut nemusí být jen odrazující, ale zároveň musí být i účinné a přiměřené. Také není pravdou, že každé porušení Obecného nařízení bude okamžitě představovat uložení správní pokuty. Stejně tak není v tomto nařízení výslovně uvedeno, že osobní údaje musí být u správců uloženy v šifrované nebo pseudonymizované podobě.
Šifrování a pseudonymizace jsou bezpečnostním prvkem, který může v některých případech, třeba při úniků údajů, zlepšit postavení správců. V takovém případě se na ně podle Úřadu pro ochranu osobních údajů nemusí vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu nebo to oznamovat subjektu údajů. Vždy je ale nutné posoudit míru rizika. A to i v případě, že byla použita pseudonymizace či šifrování. Lze proto doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat či zpracovávat údaje v šifrované nebo pseudonymizované podobě,
dodává Tomáš Paták s tím, že k tomu nabádá i samotné Obecné nařízení.