Nepřístupný dokument, nutné přihlášení
Input:

Odpovědnost správce

5.8.2018, , Zdroj: Verlag Dashöfer

1.4.4
Odpovědnost správce

JUDr. Tereza Drábková, Dr. Milan Vodička

Valná většina povinností je kladena na správce osobních údajů. Pokud jste tedy v tomto postavení, musíte být připraveni doložit, že zpracování je prováděno v souladu s Nařízením.1 To samo o sobě neposkytuje návod, jak souladu docílit, pouze lakonicky konstatuje, že je nutné přijmout vhodná technická a organizační opatření. Je přitom potřeba vzít v potaz povahu, rozsah, kontext a účely zpracování i pravděpodobnost různě závažných rizik pro práva a svobody fyzických osob. Z tohoto pohledu je bezpochyby zásadní rozdíl mezi malým výrobcem s několika zaměstnanci a zákazníky ve srovnání s velkou nemocnicí o mnoha stech zaměstnanců a desítkami tisíc pacientů v evidenci, která navíc obsahuje citlivá data o zdravotním stavu fyzických osob (zvláštní kategorie osobních údajů).

Předmětem prokazování souladu s Nařízením je to, zda správce zpracovává pouze takové osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. To se týká nejen množství shromážděných osobních údajů a rozsahu jejich zpracování, ale i doby uložení a zajištění dostupnosti. Logickým požadavkem je dále povinnost zajistit důvěrnost osobních údajů, aby nebyly přístupné neoprávněným osobám.

Ve světle vývoje společnosti, a především informačních technologií je pak zřejmé, že přijatá opatření musí být podle potřeby revidována a aktualizována, případně nahrazena novějšími a účinnějšími.

Zabezpečení zpracování

Povinnosti spojené se zabezpečením zpracování osobních údajů se vztahují jak na správce, tak i zpracovatele. Musí být přijata vhodná opatření k zajištění úrovně zabezpečení odpovídající množství a citlivosti dat, jakož i existujícím rizikům. Mezi ně patří zejména:

  • neoprávněný přístup k údajům nebo jejich zcizení,

  • náhodné anebo protiprávní zničení (např. jako následek napadení vyděračskými nástroji hackerů – ransomviry),

  • úprava a pozměnění údajů,

  • neoprávněné zpřístupnění (např. zveřejnění citlivých údajů na internetu).

Je nutno mít na paměti, že mezi povinnosti správců a zpracovatelů se řadí nejen zajištění integrity a důvěrnosti údajů, ale i jejich dostupnosti a také schopnost obnovení v případě fyzických či technických havárií.

Z tohoto pohledu je za incident z hlediska ochrany osobních údajů považována např. i situace, kdy jsou nenávratně zničena data na serveru, a poslední záloha softwaru pro zpracování mezd je stará šest měsíců. Neschopnost obnovit údaje a zajistit k nim opětovný přístup signalizuje nedostatečnost opatření přijatých správcem či zpracovatelem.

Samotné Nařízení je velmi obecné a vyhýbá se konkrétním doporučením, jednou z mála výjimek je právě otázka zabezpečení zpracování, kdy jsou uvedeny pseudonymizace a šifrování osobních údajů jako příklady vhodného postupu pro snížení úrovně rizik.

Využitím pseudonymizace dojde k podstatnému zvýšení úrovně ochrany údajů, neboť k určení konkrétní fyzické osoby jsou díky používání specifických kódů (identifikátory, ID) nutné dodatečné informace, které jsou ukládány odděleně. To je výhodné zejména při přenášení údajů a jejich předávání v elektronické podobě, kdy samotný odesílaný soubor neobsahuje údaje jako jméno, adresu, datum narození atd., ale pouze unikátní identifikátor, který je přiřazen žijící fyzické osobě až v cílovém systému.

Pro pseudonymizaci ale není vhodné použít české daňové identifikační číslo (DIČ) fyzické osoby, protože obsahuje chráněný osobní údaj – datum narození.

Druhé opatření, uvedené v Nařízení, jako příklad vhodného zabezpečení, je šifrování dat. Jedná se o proces, kdy jsou elektronická data v úložištích (pevný disk, USB flash disk, mobilní SD karta apod.) převedena za pomoci kryptografických metod do podoby čitelné pouze pro držitele dešifrovacího klíče. Uvést šifrování dat do praxe nevyžaduje složité úsilí ani vyšší investice, potřebné nástroje jsou běžně dostupné na trhu.2

Správce a zpracovatel také nesmějí zapomenout na opatření organizačního charakteru s cílem zajistit, aby jakákoliv fyzická osoba, jednající z pověření správce nebo zpracovatele, která má přístup k osobním údajům, zpracovávala tyto údaje pouze na pokyn správce, v rozsahu a způsobem odpovídajícím deklarovanému účelu.

Nedomníváme se, že by díky nabytí účinnosti Nařízení bylo nutné doplňovat, či zásadně měnit pracovní smlouvy pracovníků účtáren, útvaru mezd a personalistiky a podobných profesí. Na druhou stranu je vhodné zajistit základní informovanost zaměstnanců v oblasti ochrany osobních údajů, případně je seznámit s upravenými podnikovými předpisy, jako je pracovní řád, směrnice o oběhu dokladů, metodika poskytování náhrad při pracovních cestách a řada dalších. Je také potřeba si uvědomit, že zvýšenou pozornost osobním údajům fyzických osob musí věnovat i pracovníci, pro které to nemuselo být zdaleka standardní – např. v nákupním či obchodním oddělení, marketingu apod.

GDPR a nové instituty

Nařízení definuje nově některé administrativní povinnosti, kromě již zmíněné informace v rámci transparentnosti se jedná o posouzení vlivu na ochranu osobních údajů a záznamy o činnostech zpracování. Nově také vzniká za určitých okolností povinnost jmenovat pověřence pro ochranu osobních údajů.

Posouzení vlivu na ochranu osobních údajů (zkratka DPIA) provádí správce údajů, pokud existuje vysoké riziko pro práva a svobody fyzických osob, zejména díky novým technologiím. To se týká především případů systematického a rozsáhlého automatizovaného zpracování a profilování vedoucího k rozhodnutím s právním dopadem na fyzické osoby, případů rozsáhlého zpracování zvláštních kategorií osobních údajů nebo rozsudků v trestních věcech a také rozsáhlého systematického monitorování veřejně přístupných prostorů.

Pro rozhodování, zda se jedná o výše popsané situace, existuje obsáhlé vodítko skupiny WP29 s množstvím příkladů, včetně kombinací rizikových faktorů apod.3

Pro cílovou skupinu čtenářů této publikace je nejpodstatnější fakt, že Úřad pro ochranu osobních údajů připravil na základě oprávnění daného Nařízením4 návrh seznamu činností, kdy posouzení vlivu na ochranu osobních údajů není nutné provádět.

Na tomto seznamu jsou mj. uvedeny činnosti:

  • zpracování (operace zpracování) prováděná v rámci plnění zákonných povinností při vedení účetnictví, personální a mzdové agendy, sociálního a zdravotního pojištění na základě právních předpisů,

  • zpracování (operace zpracování) týkající se obchodní činnosti (včetně věrnostních karet, pořádání soutěží, zasílání newsletterů), zpracovávající pouze nezbytné osobní údaje, pokud se nejedná o zpracování zvláštních kategorií osobních údajů,

  • zpracování (operace zpracování) spočívající v přímém marketingu a s tím spojeným profilováním zákazníků,