Zákon č. 101/2000 Sb. Zákon o ochraně osobních údajů a o změně některých zákonů
Zákon č. 500/2004 Sb. Zákon správní řád
Ústavní zákon č. 162/1998 Sb. Ústavní zákon, kterým se mění Listina základních práv a svobod
Ústavní zákon č. 1/1993 Sb. Ústava České republiky
Vodítka k transparentnosti podle Nařízení 2016/679
Vyhláška o bezpečnostních opatřeních č. 316/2014 Sb.
Co je GDPR?
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová legislativa EU, která výrazně zvýší ochranu osobních dat občanů.
GDPR je dosud nejucelenějším souborem pravidel na ochranu dat na světě.
Nařízení bylo přijato v roce 2016 a účinnosti nabude 25. května 2018. Přináší největší revoluci v ochraně osobních údajů s cílem hájit práva občanů EU proti neoprávněnému zacházení s jejich osobními údaji a daty. GDPR se týká všech subjektů zpracovávajících osobní údaje.
Záměrem bylo dát občanovi větší kontrolu nad tím, jak je s jeho osobními údaji nakládáno a co se s nimi děje. Z tohoto důvodu přichází GDPR až s astronomickými pokutami za porušování pravidel daných evropským nařízením. Nařizuje také větším zpracovatelům dat zřídit nezávislou kontrolní funkci tzv. DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Jeho úkolem je dohlížet na řádné zacházení s osobními daty a hlásit kontrolnímu orgánu daného státu úniky dat a porušení nařízení.
Aplikace nařízení na území ČR
Evropské nařízení míří do všech segmentů businessu, kde se zpracovávají osobní data. Může se jednat o data: zaměstnanců, dodavatelů, klientů a dalších subjektů. Cílem GDPR je chránit digitální práva občanů EU.
GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
To, že GPDR bylo přijato formou evropského nařízení, zamezuje vládě a státním zákonodárcům jakkoliv ohýbat či přizpůsobovat toto nařízení v rámci jednoho státu.
Období od dubna 2016 do května 2018 je určeno k přípravě na toto nařízení. Během této doby musí všechny organizace, kterých se nařízení GDPR týká, zrevidovat své informační systémy a postupy zpracování osobních dat.
Regulátorem pro Českou republiku bude nadále Úřad pro ochranu osobních údajů (ÚOOÚ). Bude však částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Pokud by nastalo jakékoliv pochybení na straně českého regulátora, je možné obrátit se na EDPB s odvoláním.
Jaké změny přinese GDPR?
Jednoznačně s sebou přinese vymahatelnost práva v celé EU a mnohem užší spolupráci dozorových orgánů jednotlivých států.
GDPR zavádí celou řadu nových pravidel. Hlavním faktorem je, že správce i zpracovatel budou povinni prokazatelně doložit dodržování nařízení GDPR po celou dobu zpracování osobních údajů.
Některá zaváděná pravidla jsou již známá z předešlých právních úprav. Zavádí však i nové povinnosti, mj. pro zpracovatele údajů, kteří byli dosud kryti subjektem správce údajů.
GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.
Každý by měl mít v ideálním případě přístup k údajům, které jsou o něm shromažďovány nejlépe napřímo a online. Novým prvkem je tzv. právo na výmaz a jeho rozšíření na právo být zapomenut.
S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookies v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
Největším strašákem se zdá být oznamovací povinnost v případě úniku či narušení bezpečnosti osobních údajů. V této situaci je subjekt povinen do 72 hodin ohlásit tuto událost ÚOOÚ. V některých případech bude nutné oznámit tento incident také osobám (subjektům), kterých se únik týkal.
Co je dle GDPR osobní údaj?
Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.
GDPR se také věnuje zvláštním kategoriím, a to např.: údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově spadají genetické, biometrické údaje a osobní údaje dětí. Ty poté podléhají mnohem přísnějším pravidlům.
Jaké povinnosti ukládá GDPR organizacím?
Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.
Tento princip s sebou nese další nemalé časové a finanční investice. Zejména se budou týkat následujících oblastí:
- implementace záměrné a nezbytné ochrany dat
- vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA (Data Protection Impact Assessment)
- jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
- zavedení tzv. pseudonymizace osobních údajů
- vedení záznamů o činnostech zpracování
- konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
DPIA budou společnosti či instituce muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování.
Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
Dalšími administrativními principy jsou povinnosti zpracovatelů a správců vést záznamy o činnostech zpracování, za které zodpovídají. Budou povinni spolupracovat s dozorovým orgánem a na jeho žádost mu tyto informace zpřístupnit.
Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.
DPO (Pověřenec pro ochranu osobních údajů)
Důležitým pilířem pro soulad s nařízením GDPR je jmenování Pověřence pro ochranu osobních údajů, dále jen DPO.
Hlavní náplní DPO je monitoring zpracování osobních údajů s povinnostmi vyplývajících z nařízení, školení pracovníků, auditní služby a celkové řízení agendy pro interní ochranu dat.
Povinnost, kdy jmenovat DPO:
1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Dle informací plynoucích z nařízení je možné jmenovat pověřence i pro několik organizací, které mají podobnou organizační strukturu. DPO je vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.
Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.
Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů.
Jaké pokuty hrozí při neplnění nařízení GDPR?
V případě, že organizace nebude reagovat a nebude se připravovat na příchod nového evropského nařízení, hrozí poměrně vysoké někdy až likvidační sankce.
Maximální výše pokuty je nastavena na 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti (vybírá se ta vyšší). Budou se však vyhodnocovat různé faktory, jako např.: závažnost, povaha, délka porušování, počet poškozených subjektů, kroky podniknuté k nápravě a další.
Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.
GDPR ve vztahu k ISO 27001
Mnoho společností si klade otázku, zda certifikace podle ISO 27001 znamená také soulad s nařízením GDPR (General Data Protection Regulation). Případně se obrací na odborníky s dotazy, jak postupovat při implementaci požadavků GDPR, jestliže již mají úspěšně zavedený systém informační bezpečnosti podle ISO 27001. Podívejte se společně s námi na podobnosti a rozdílnosti mezinárodního standardu a nařízení EU.
Standard ISO 27001 je celosvětově uznávaný a stále více společností zavádí systémy řízení podle jeho požadavků. Cílem je zajistit bezpečnost informací v širším úhlu pohledu. Na rozdíl od nařízení GDPR se totiž ISO 27001 nezaměřuje pouze na ochranu osobních údajů, ale na veškeré citlivé informace, ať již jde o osobní údaje, citlivá data společnosti nebo například partnerských organizací. Na druhou stranu, GDPR stanovuje některé požadavky pro ochranu osobních údajů, kterými se ISO 27001 nezabývá. Jedná se například o právo na informace, právo být zapomenut nebo mezinárodní předávání osobních údajů. Při porovnání a přístupu k osobním údajům jako k aktivům společnosti v rámci procesu implementace, dojdeme k závěru, že se obě dvě normy často překrývají.
Pokud mají společnosti nastavený systém podle ISO 27001, z velké části mají úpravu pro soulad s GDPR vyřešenou. Případně jim management podle ISO 27001 pomůže při implementaci a porovnání požadavků podle GDPR. K těm nejvýznamnějším patří:
Šifrování
ISO 27001 doporučuje šifrování jako jedno z opatření, které napomáhá eliminovat rozpoznaná rizika. Jedná se o jednu ze 114 kontrol, které mají podle ISO 27001:2013 napomáhat eliminaci bezpečnostních rizik. Otázka implementace kontrol v dané společnosti je prováděna na základě vyhodnocení rizik. Společnosti se systémem podle ISO 27001 mají rizika již identifikována a k nim přiřazena potřebná opatření, takže snadněji dosahují souladu s GDPR.
Důvěrnost, integrita a dostupnost informací
ISO 27001 uvádí jako jeden s klíčových principů standardu důvěrnost, integritu a dostupnost informací. Právě procesy spojené s otázkou důvěrnosti, integrity a dostupnosti pomohou organizaci s naplněním GDPR požadavků týkajících se práva na informace, opravu informací či případně i práva „být zapomenut“. Díky fungujícímu systému mohou společnosti snadněji definovat, kdo data spravuje, kde se nacházejí a jak je s nimi nakládáno, a tím pádem je dokážou bez obtíží dohledat.
Analýza rizik a jejich vyhodnocení
ISO 27001 ukládá společnost povinnost provést analýzu rizik včetně jejich vyhodnocení pomocí identifikace hrozeb a zranitelnosti systému. Podle výsledků analýzy jsou následně stanovena opatření pro zachování důvěrnosti, integrity a dostupnosti informací. Na druhou stranu, ISO 27001 varuje před přílišnými bezpečnostními pravidly, která mohou společnost ochromit při dosahování cílů.
Business Continuity
ISO 27001 klade důraz na řízení business continutity. Standard uvádí kontroly, které pomáhají společnostem zajistit dostupnost informací v případě incidentů a mimořádných událostí. Díky kontrolám je zachována dostupnost informací v případě hrozeb a ochráněny klíčové procesy před následky mimořádných událostí.
Soulad s právní úpravou
ISO 27001 požaduje při implementaci soulad s relevantní právní úpravou, kam spadá i legislativa EU, tudíž i nařízení GDPR.
Oznamovací povinnost
Podle GDPR mají organizace povinnost oznámit bezpečností incident do 72 hodin po jeho odhalení. ISO 27001 uvádí v rámci nastavení systému oznamovací povinnost v případě bezpečnostních událostí a zaměřuje se na oznamovací povinnost vůči relevantním orgánům. GDPR stanovuje oznamovací povinnost také vůči subjektům údajů, pokud se jedná o data s vysokou mírou rizika pro práva a svobody subjektů.
Testování a hodnocení
Společnosti certifikované podle ISO 27001 mají systém bezpečnosti informací hodnocen nezávislým akreditovaným certifikačním orgánem, takže mají jistotu, že jejich systém splňuje podmínky definované mezinárodním standardem. Systém prochází pravidelnými kontrolami a hodnocením, takže nemusí mít obavy ze zastaralosti opatření a nastavení.
Výhodou, kterou přináší certifikace podle ISO 27001 je i proškolení odpovědných pracovníků a jejich podpora při zavádění systémů řízení podle ISO 27001, případně potřebných opatření pro soulad s GDPR.
Pokud se podíváme na ISO 27001 v porovnání s GDPR, nabízí ISO 27001 skvělý rámec pro soulad s evropským nařízením pro ochranu osobních údajů. Společnosti mající systém podle ISO 27001 mají již minimálně polovinu požadavků kladených GDPR splněnou.
Nastavení systému je v každé společnosti individuální, proto je vhodné a začátku provést delta analýzu pro zjištění potřebných doplňků k zavedenému systému. Na základě vyhodnocení pak dojde k implementaci opatření do systému řízení, aby bylo vše v souladu s GDPR.