Opravdu máte GDPR vyřešeno? Znáte všechny nové metodiky?

GDPR bylo strašákem minulých let. V roce 2018 všichni upravovali interní pravidla pro zpracování osobních údajů, doplňovali smlouvy s dodavateli, mazali stará data a na web dávali nová a delší informační memoranda o zpracování údajů.
Myslíte, že už to máte za sebou? Bohužel to není tak snadné. Výklad GDPR se vyvíjí a kontroly se zaměřují na slabá místa. Riziko pokuty se zvyšuje.

GDPR a český zákon o zpracování osobních údajů jsou obecnými předpisy. Základní práva, povinnosti a pravidla se vztahují na všechny, kdo v praxi zpracovávají osobní údaje, bez ohledu na velikost, sektor, kde působí, počet klientů či zaměstnanců. Výkladová praxe, judikatura a metodiky dozorových úřadů upřesňují, jak jednotlivé povinnosti plnit. Důležité je zohlednit rovněž sektorovou regulaci, která v řadě oblastí obsahuje specifické podmínky pro využití osobních dat.

Důležitých judikátů a nových metodik bychom od roku 2018 napočítali desítky. Pojďme si shrnout nejdůležitější změny a aktuality:

Předávání osobních údajů mimo Evropskou unii

Sdílíte informace o svých klientech, zaměstnancích nebo dodavatelích s mateřskou nebo sesterskou společností se sídlem mimo EU? Využíváte cloudové služby od americké společnosti, nebo máte službu zákaznické podpory v Indii?

GDPR na takovéto předávání dat klade zvláštní požadavky. Z poslední doby je důležité upozornit alespoň na dvě novinky:

• Nové závazné smluvní vzory (doložky) jsou účinné od 28. prosince 2022

Pro zajištění ochrany údajů předávaných mimo EU se často využívá tzv. evropských standardních smluvních doložek. To znamená, že s příjemcem dat (např. dodavatelem) uzavřete specifickou smlouvu. V ní dodavatel garantuje, jak bude údaje chránit, že je nebude využívat pro vlastní účely, umožní Vašim klientům výkon jejich práv atd.

Evropská Komise vydala v roce 2021 nové vzorové smluvní doložky, které je v takovém případě nutné uzavřít. Staré smlouvy bylo možné používat jen do 27. prosince 2022. Uzavřeli jste včas novou smlouvu?

• Povinnost dokumentovat předání údajů mimo EU

Evropský sbor pro ochranu osobních údajů, což je orgán sdružující dozorové úřady z jednotlivých členských zemí EU, vydal v roce 2021 detailní doporučení, jaká opatření k ochraně údajů přijímat před jejich předáváním do třetích zemí. A to i nad rámec standardních smluvních doložek. Všechna rizika, která jsou s takovýmto zpřístupněním dat spojena, musí být dokumentována v tzv. transfer impact analýze. A spolu s nimi i dodatečná opatření, která vývozce dat pro ochranu dotčených osob přijal.

Máte zmapovány všechny případy, kdy k Vašim osobním údajům mají přístup subjekty ze zemí mimo EU? Analyzovali jste rizika s tím spojená, dokážete Úřadu pro ochranu osobních údajů na vyzvání doložit, jaká opatření a proč jste přijali? A kdy jste naposledy hodnotili, jestli jsou tato opatření účinná?

Online kamery nově v působnosti GDPR

Český Úřad pro ochranu osobních údajů dříve zastával názor, že pravidla pro zpracování osobních údajů se vztahují jen na kamerové systémy se záznamovým zařízením. Online kamery neřešil.

To se ale v roce 2022 změnilo.

Evropský sbor pro ochranu osobních údajů vydal komplexní metodiku ke kamerám, kde toto rozdělení (online kamery vs. kamery se záznamem) nepoužívá. A ÚOOÚ, poměrně v tichosti, v červenci 2022 upravil stanovisko ke kamerám na svém webu. Plnění GDPR povinností nyní posuzuje u všech kamer bez ohledu na to, jestli se z nich pořizuje trvalý záznam nebo ne.

Co to v praxi znamená?

Pokud provozujete online kamerový systém, pro sledování provozu, monitoring vstupu do budovy, hodnocení vytíženosti jednotlivých pracovišť, skladu atd., a kamera zabírá i fyzické osoby, jste v režimu GDPR. Musíte definovat a popsat účel zpracování, jeho právní titul, nastavit parametry, dokumentovat zabezpečení, informovat o zpracování údajů zaměstnance a další dotčené osoby atd.

Pokud Vaše kamery zabírají zaměstnance, tak musíte zohlednit i příslušná ustanovení zákoníku práce. Ten pro sledování na pracovišti upravuje některé detailní, resp. přísnější požadavky, než jak je obecně zavádí GDPR.

Používáte na pracovišti (online) kamery? Jsou v souladu s regulací?

Máte pověřence? A mohli bychom ho vidět?

GDPR řadě regulovaných subjektů uložilo, aby jmenovaly tzv. pověřence pro ochranu osobních údajů.

Každý, kdo provádí rozsáhlé a pravidelné zpracování údajů klientů či zaměstnanců, pravidelně monitoruje fyzické osoby nebo zpracovává citlivé údaje, musí určit zaměstnance, který bude interně řešit soulad zpracování s regulací. Vybavit ho dostatečnými zdroji, kompetencemi, zapojit ho do řešení obchodních i provozních otázek s dopadem na osobní údaje. A vše dokumentovat.

Na faktické fungování pověřenců se v roce 2023 zaměří kontroly evropských úřadů pro ochranu dat. A českého Úřadu pro ochranu osobních údajů také.

A budou pokládat takovéto otázky:

• Jste povinni jmenovat pověřence pro ochranu osobních údajů? Pokud ano, jmenovali jste ho a informovali o tom úřad?
• Není Váš pověřenec ve střetu zájmů, třeba proto, že zastává vedoucí funkci v IT, na HR nebo v provozu?
• Má dostatečné kompetence a postavení popsané ve vnitřních předpisech?
• A dokážete na konkrétních případech dokumentovat, jak byl Váš pověřenec zapojen do vnitřních procesů, přípravy nových produktů, řešení předávání osobních údajů mimo EU, vyšetřování bezpečnostních incidentů?

Pokud to vše při kontrole snadno doložíte, můžete být v klidu.

Jak řídíte bezpečnostní incidenty a úniky osobních údajů?

GDPR každé regulované organizaci ukládá, aby identifikovala bezpečnostní incidenty s dopadem na osobní údaje. Úniky dat, ale i jejich nedostupnost, ztrátu, neoprávněnou změnu, přístup neoprávněných osob.

Všechny incidenty musí být také včas hodnoceny. Z pohledu dopadů a možných rizik pro dotčené osoby, zaměstnance, klienty atd. Pokud je riziko pro dotčené osoby relevantní, nikoliv malé, pak musí organizace o incidentu informovat ÚOOÚ. V jaké lhůtě? GDPR říká, že organizace musí tuto svoji povinnost splnit bez zbytečného odkladu, nejpozději do 72 hodin od zjištění incidentu.

Relevantní riziko, vyšší než malé riziko, bez zbytečného odkladu… Ano, jsou to všechno dosti neurčité pojmy, které si každý v praxi může vykládat po svém.

Pro sjednocení přístupu Evropský sbor pro ochranu osobních údajů připravil dvě metodiky.

• V první z nich, z roku 2021, Evropský sbor na 30 stranách rozebírá příklady jednotlivých incidentů a útoků a hodnotí, jaké riziko je s nimi spojené. Jinak řečeno, jestli je nutné takovýto incident oznámit dozorovému úřadu.
• Druhá metodika, shodou okolností také třicetistránková, obsahuje detailní návod, jak proces pro řízení bezpečnostních incidentů nastavit. Od kdy počítat lhůtu pro oznámení, jak pravidla řešit ve vztahu k dodavatelům, včetně dodavatelů ze třetích zemí, jak je potřeba incidenty evidovat, jaká má být role pověřence atd. Metodika byla zveřejněna na podzim roku 2022, v listopadu skončila veřejná konzultace a v nejbližší době se očekává vydání konečného znění.

Víte o všech bezpečnostních incidentech ve vaší organizaci? Řídíte je, opravujete chyby, řešíte úniky dat? A máte dokumentovaný proces, metodiku pro hodnocení incidentů, komunikaci s úřadem? Jste si jisti, že do 72 hodin stihnete ÚOOÚ o významném bezpečnostním incidentu informovat?

S čím Vám můžeme pomoci?

• revize interního procesu pro zajištění souladu s GDPR,
• aktualizace mapování zpracovatelských operací a plnění jednotlivých povinností (stanovení účelu a titulu zpracování, omezený rozsah a doba údajů atd.),
• vytipování a kontrola nejvíce rizikových oblastí a jejich pokrytí,
• aktualizace vnitřních předpisů a metodik,
• aktualizace a doplnění informačních memorand,
• revize smluv s dodavateli, zpracovateli osobních údajů,
• kontrola dostatečných opatření při předávání osobních údajů mimo Evropskou unii,
• analýza povinnosti plnit jednotlivé požadavky, např. jmenovat pověřence pro ochranu osobních údajů a definovat jeho postavení ve vnitřních předpisech,
• doplnění a aktualizace školení pro zaměstnance,
• sledování legislativních a výkladových novinek.