Osobní údaje: co přináší nové nařízení GDPR
2. 1. 2018
Dnešní svět se vyvíjí neuvěřitelným tempem. Automatizace a digitalizace hýbou současnou ekonomikou a významným způsobem se podílejí na vytváření tzv. informační společnosti. A v té, jak už její název napovídá, hrají klíčovou roli znalosti, informace a údaje.
Prudký rozvoj informačních technologií znamená, že firmy mohou najednou zpracovávat násobně větší množství dat, vyhodnocovat je, porovnávat, kombinovat a ve výsledku podle nich také upravovat svoje služby a produkty. Údaje o zákaznících se rychle staly středobodem veškeré obchodní činnosti. Neustálý tlak na inovace a růst ale vede nevyhnutelně také ke zvýšení počtu a rozsahu operací, které se s údaji provádějí.
Vedle toho i samotní lidé začali své údaje mnohem více zveřejňovat a sdílet, často bez jasné představy o tom, kdo a jak k těmto údajům získá přístup a co s nimi může dělat.
Na danou společenskou realitu tak postupně začaly reagovat i právní předpisy. Posledním projevem těchto snah pak je Obecné nařízení o ochraně osobních údajů — GDPR.
Využití nebo zneužití dat?
Na začátek je potřeba říct, že GDPR určitě nemá za cíl znemožnit zpracování osobních údajů. Evropská unie a v různé míře i všechny členské státy si uvědomují, že budoucnost směřuje ke znalostní ekonomice, kde je právě práce s daty a znalostmi klíčovým faktorem úspěchu.
Na druhé straně ochrana osobních údajů je v evropském kontextu základním lidským právem. Cílem GDPR je tedy najít rozumnou rovnováhu tak, aby zpracovávání osobních údajů sloužilo ku prospěchu nejen podnikatelů, ale i lidí, s jejichž údaji se pracuje. Jak moc se tuto rovnováhu podařilo najít každopádně ukáží až následující roky.
GDPR — evoluce nebo revoluce?
Z čistě formálního pohledu je GDPR spíše evolucí než revolucí. Přináší některé novinky, ale mnoho institutů známe již z předchozí evropské směrnice a národních zákonů o ochraně osobních údajů (v ČR zákon č. 101/2000 Sb.).
Z právního pohledu je podstatná změna ve formě regulace. GDPR je evropské nařízení a to znamená, že je přímo aplikovatelné v každé členské zemi. Na rozdíl od předchozí směrnice o ochraně osobních údajů tedy teoreticky nepotřebuje žádné další prováděcí zákony. Nicméně vzhledem k tomu, že některé články GDPR umožňují i specifickou národní úpravu, očekává se, že takové národní zákony budou vznikat (a někde již skutečně vznikly).
Jaké jsou základní principy ochrany osobních údajů?
GDPR je postaveno na několika základních pilířích:
1. Zákonnost, férovost a transparentnost
Osobní údaje je možné zpracovávat jen na základě legitimních důvodů a povoleného právního základu. Zpracování zároveň musí být:
a) férové, tzn. mělo by být předvídatelné a přiměřené a naopak nemělo by bezdůvodně negativně ovlivňovat osoby, jejichž údaje se zpracovávají;
b) transparentní, tzn. že by dotčené osoby měly dostat potřebné informace o zpracování svých údajů a měly by také mít možnost uplatňovat svá práva (na přístup k údajům, jejich kopii, výmaz, opravu atp.).
2. Omezení účelem
Osobní údaje mohou být zpracovávány jen pro určité, výslovně vyjádřené a legitimní účely. Způsob zpracování musí odpovídat těmto účelům. Údaje nelze využívat pro jiné účely, než pro které byly získány.
Více k účelům a právním základům zpracování naleznete v našem článku Účel a právní základ zpracování.
3. Minimalizace údajů
Osobní údaje musejí být zpracovávány jen v nezbytném rozsahu pro splnění zamýšleného účelu. Není přípustné sbírat údaje „do zásoby“, ani je mezi sebou spojovat, pokud byly shromážděny pro rozdílné účely.
4. Omezení doby uložení
Osobní údaje nelze uchovávat po neomezenou dobu. Jakmile odpadne právní základ pro zpracování (např. je odvolán souhlas, ukončena smlouva atp.) nebo pomine účel jejich zpracování (je vyřešena reklamace, poskytnuta služba atp.), je nezbytné údaje smazat nebo jinak zlikvidovat. Z těchto důvodů by měly podniky mít nastavenou politiku archivace a mazání dat.
5. Přesnost
Zpracování by vždy mělo být transparentní a přesné. Pokud se ukáže, že zpracovávané údaje neodpovídají skutečnosti, je nutné tyto údaje zaktualizovat, případně opravit nebo dokonce smazat.
6. Integrita a důvěrnost
Při zpracování osobních údajů je potřeba zajistit různá bezpečnostní, technická i personální opatření, aby nedošlo k jejich zneužití, ztrátě, zničení nebo poškození. Pokud už k nějakému bezpečnostnímu incidentu dojde, musí správce udělat maximum, aby situaci napravil a dopady eliminoval nebo zmírnil. To zahrnuje i povinnost významné incidenty hlásit příslušnému úřadu.
7. Odpovědnost
Poslední princip vyjadřuje povinnost správců osobních údajů zajistit soulad se všemi ostatními principy a pravidly. Za tímto účelem je důležité vést evidenci a záznamy o zpracování osobních údajů. V případě rizikových operací musí správce provést zhodnocení dopadu na ochranu osobních údajů, aby se předešlo jejich potenciálnímu ohrožení.
Na dodržování pravidel práce s osobními údaji by měl v některých organizacích povinně dohlížet pověřenec pro ochranu osobních údajů. Ostatní organizace, pro které není pověřenec povinný, ho mohou jmenovat dobrovolně.
Koho se GDPR týká?
Pravidla GDPR se týkají v zásadě všech, kdo nějakým systematickým způsobem pracují s osobními údaji.
Osobním údajem je informace o určené nebo určitelné fyzické osobě — subjektu údajů.
Identifikace může být provedena přímo či nepřímo za použití různých identifikátorů (jako IP adresa, cookies apod.).
Zpracování osobních údajů zahrnuje jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů.
Zjednodušeně řečeno jde v podstatě o všechny možné způsoby nakládání s údaji od jejich sběru, přes použití, uložení, zpřístupnění až po likvidaci. Zahrnuty jsou papírové i elektronické dokumenty, včetně jejich záznamů v systémech, složkách nebo e-mailech.
Vzhledem k těmto velmi širokým definicím dopadne GDPR v zásadě na všechny možné způsoby nakládání s údaji, které lze i nepřímým způsobem spojit s konkrétní osobou. Jinými slovy o GDPR se musejí alespoň v základní míře zajímat téměř všichni.
Co tedy přinese GDPR?
Na první pohled se tedy může zdát, že GDPR nemusí znamenat velkou změnu. Skutečně, ti, kteří důsledně dodržovali stávající pravidla podle zákona 101/2000 Sb., sledovali stanoviska Úřadu na ochranu osobních údajů (ÚOOÚ) a rozhodování českých a evropských soudů, by měli být na GDPR minimálně dobře připravení a jeho implementace by pro ně neměla být nepřekonatelným problémem.
Ale… Kolik takových společností opravdu existuje?
V tomto ohledu pak přináší GDPR možná největší změnu a zároveň hrozbu — obrovské pokuty. Zatímco maximum podle současného zákona je 10 miliónů korun, maximální pokuty podle GDPR mohou činit až 20 miliónů eur! I při použití naprosto triviální matematiky dojdeme k velmi pravděpodobnému závěru, že se sankce dostanou o několik řádů výše. A to už je podstatné riziko, se kterým je potřeba počítat.