Evropské nařízení o ochraně osobních údajů je založeno na nových přístupech a z toho plynoucích povinnostech. Ve zkratce můžeme říci, že jde o dva nové přístupy. Jde o princip odpovědnosti správce a přístup založený na riziku.
Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování. Ty definuje článek 5 odstavec 1, který říká, že osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem,
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný,
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány,
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny,
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány,
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Zároveň musí správce být schopen tento soulad doložit. Jak uvádí Úřad pro ochranu osobních údajů, k dokládání souladu budou mimo jiné sloužit kodexy, osvědčení nebo certifikace, případně záznamy o činnostech zpracování.
Psali jsme: GDPR v praxi marketéra aneb Osobní údaje nejsou jen e-mailing
Druhý přístup, tedy přístup založený na riziku, v širším slova smyslu znamená, že správce už od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme podle Úřadu pro ochranu osobních údajů mluvit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů nebo porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby.
V tomto rozsahu se princip založený na riziku uplatňuje zejména u nových povinností, kterými jsou oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, respektive subjektu údajů, dále posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace s Úřadem pro ochranu osobních údajů, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.
Jak správce doloží soulad zpracování
Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat mají napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování. Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru, například bankovnictví, telekomunikace, internetové obchody, zdravotnictví,
vysvětlil mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Osvědčení pak má sloužit k prokázání souladu zpracování s „Obecným nařízením“. A záznamy o činnostech zpracování zase obsahují informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí.
Dokládání souladu zpracování ale podle Tomáše Patáka není možné omezit jen na shora uvedené možnosti: Dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které Obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým orgánem.
Pokračujte na: Jak dopadne nová regulace GDPR na české e-shopy a weby?
Kodexy budou moci vydávat sdružení a jiné subjekty zastupující různé kategorie správců nebo zpracovatelů, přičemž návrh kodexu musí být předložen Úřadu pro ochranu osobních údajů, který posoudí, zda je takový kodex v souladu s Obecným nařízením. A pokud shledá, že ano, schválí ho. Schváleným kodexem se pak mohou řídit správci v daném sektoru. Osvědčení o souladu zpracování bude smět vydávat k tomu akreditovaný subjekt. Zatím takové ale stanoveny nejsou. Na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů se zatím pracuje.
Základní zásady, principy a klíčové instrumenty ochrany osobních údajů se s novou evropskou legislativou nijak zásadně nemění. Víceméně jen byly detailněji rozpracovány a zpřesněny. Nařízení GDPR jen na těchto základech přináší nástavbu spočívající v dodatečných nových povinnostech, které pro české správce budou nové.
Jde zejména o tyto nové povinnosti:
- povinnost vést záznamy o činnostech zpracování
- posouzení vlivu na ochranu osobních údajů
- předchozí konzultace
- ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů
- oznamování případu porušení zabezpečení osobních údajů subjektu údajů
- ustavení pověřence pro ochranu osobních údajů
Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence jsou ostatní nové povinnosti založeny na už zmíněném přístupu založeném na riziku, jejich uplatnění je tedy vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů.
Bude se vám hodit: Udělejte si strýčka a začněte s přípravou na GDPR v předvánoční kampani
Nové povinnosti plynoucí z GDPR
A kdy musí správce provést posouzení vlivu na ochranu osobních údajů? Jde o situace, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
- u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
- u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
- u rozsáhlého systematického monitorování veřejně přístupných prostorů
Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.
Náhradu za oznamovací povinnost, která byla nařízením GDPR zrušena, představují do jisté míry záznamy o činnostech zpracování. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s Obecným nařízením. Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.