NOVÁ PODOBA OCHRANY OSOBNÍCH ÚDAJŮ
GDPR (Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation, plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. GDPR zavedlo astronomické pokuty za porušování pravidel a nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů).
Po účinnosti GDPR nabyla ochrana osobních údajů nové podoby. Není tajemstvím, že za účinnosti předchozího zákona o ochraně osobních údajů se většina subjektů, které pracovaly s osobními údaji, nijak zvlášť nezabývala systémovým a procesním zacházením s nimi. Dnešní doba je však zcela jasně definována tzv. informační společností, kdy informační a komunikačních technologie zasahují do všech oblastí společenského života v takové míře, že zásadně mění společenské vztahy a procesy. Stejně jako je potřeba vést účetní záznamy nebo zajišťovat a dodržovat bezpečnost při práci, je nutné vnímat a relevantně ošetřit data, která obsahují osobní údaje, tj. informace, kterými lze přímo či nepřímo identifikovat fyzickou osobu, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
.
„V průběhu mé právní praxe jsem působila na mnoha pozicích, mj. jiné jako advokátka a zapsaná mediátorka u Ministerstva spravedlnosti ČR. V současnosti působím na pozici právníka v zařízení spadající pod nejúspěšnějšího poskytovatele zdravotnických služeb ve střední Evropě a současně jsem jednatelkou obchodní společnosti POVĚŘENCI s.r.o., která se zabývá poskytováním činností souvisejících s výkonem funkce pověřence pro ochranu osobních údajů (Data Protection Officer) se specializací na obce, mateřské a základní školy, resp. zájmová sdružení a spolky (typicky svazky obcí).
Jako člen Rady města Šumperka mám praktické zkušenosti s řízením informací v obecním zřízení a jsem přesvědčena, že ochrana osobních informací je základem každé moderní dobře fungující organizace, ať již soukromé firmy nebo při správě věcí veřejných.“
Mgr. Jana Rybová Kunčarová
Pověřenec pro ochranu osobních údajů (DPO)
GDPR DPIA & RISK Auditor
N A Š E S L U Ž B Y
Audit nakládání s osobními údaji
Pro prvotní představu o tom, zda a v jaké míře, je Vaše organizace v souladu s GDPR, nabízíme provedení auditu, který zahrnuje detailní analýzu zabezpečení, interních procesů, legislativy, technického zázemí a používaných technologií. Rozdílová analýza (neboli GAP analýza) spočívá v základní revizi bezpečnostních opatření pro ochranu dat a obsahuje popis všech oblastí, a to dle souladu s nařízením GDPR.
Následně doporučíme návrhy na opatření a postup v oblasti zabezpečení komunikace, informačních systémů, procesů, dokumentace se vztahem k definovaným osobním údajům a zabezpečíme i úpravy právních ustanovení, týkajících se výhradně dopadu nařízení GDPR (např. úprava/přepracování souhlasů se zpracováním osobních údajů, úpravy smluv s vazbou na dodavatelský řetězec, apod.).
Audit Vám přinese v relativně krátké době pohled na současnou situaci v oblasti bezpečnosti Vašich osobních dat a Vašeho souladu s GDPR a se zákonem č. 110/2019 Sb., o zpracování osobních údajů (dále pouze jako „Adaptační zákon“), resp. se zákonem č. 111/2019 Sb. (dále pouze jako „Doprovodný zákon“), ve Vaší společnosti vs. stav požadovaný shora uvedenou legislativou, a to za relativně nízké náklady. Na Vás je pak rozhodnutí o pokračování dalšími etapami, včetně možnosti kompletní implementace GDPR a vyškolení zaměstnanců.
Implementace a dokumentace
Poté, co je proveden relevantní audit nakládání s osobními údaji (tzv. GAP analýza), lze přistoupit k samotnému zavedení všech uvažovaných navržených opatření a řešení do každodení praxe.
K implementaci GDPR však rozhodně nelze přistupovat výsekově nebo snad schematicky. Není možné „odkoukat“ způsob řešení od jiné firmy. Byť může být podobné velikosti a podniká v obdobném oboru jako Vy, může mít zcela jiný způsob nakládání s osobními údaji. Počet zaměstnanců nebo klientů, jejichž data spravujete, může být sice srovnatelný, rozsah zpracovávaných údajů, procesy nakládání s nimi nebo rizikovost těchto procesů, se však bude velmi pravděpodobně lišit.
Na tomto místě je dobré podotknout, že jakákoli schematická, na bázi jednoduchého checklistu založená, nebo „krabicová“ řešení v oblasti ochrany osobních údajů obvykle nefungují.
Taktéž je nutné vědět, že ochrana osobních údajů, stejně jako informační bezpečnost, je proces kontinuální a nikdy nekončící – ve firmě zavádíte nové procesy, vyvíjíte nové produkty, v čase vznikají nová rizika a dějí se bezpečnostní incidenty, které nejen musíte zvládnout, ale také předejít jejich opakování do budoucna.
Semináře a školení
Ať jste živnostník (OSVČ), nebo firma (právnická osoba), zcela zřejmě zpracováváte osobní údaje fyzických osob (Vašich zákazníků, případně zaměstnanců nebo obchodních partnerů) a měli byste se nechat proškolit, jak s těmito daty zacházet. Pokud totiž budete porušovat nařízení GDPR, hrozí vám pokuta ve výši až 20 milionů EUR, popř. 4 % z vašeho celkového obratu.
Stejně tak je pro Vaše podnikání velmi důležité, aby měli alespoň základní informace o GDPR Vaši zaměstnanci. Uspořádejte pro Vaše zaměstnance školení, které jim přiblíží jejich povinnosti při zpracování osobních údajů.
Vedoucí zaměstnanci, by měli být schopni nahlížet a pracovat se záznamy o činnostech zpracování a s analýzou a případně při změně procesů, kdy se jedná o rozšíření zpracování osobních údajů, by měli být schopni sami kontaktovat ve firmě pověřeného pracovníka nebo přímo DPO organizace.
Další důležitou kapitolou jsou možné úniky dat, nápravná opatření a případné hlášení. Opět s tímto školením by měl být seznámen každý zaměstnanec, který posílá emaily nebo má přístup k jakýmkoliv osobním datům. V podstatě by to měl být každý zaměstnance a mezi typické úniky patří např. odeslání emailu více adresátům, tím způsobem, že je omylem vložíte do kopii namísto do skryté kopie. Adresáti tak vidí emaily ostatních adresátů a pokud je těchto adresátů větší množství, je to považováno za únik. U malého množství stačí jednoduchá náprava a záznam, u většího rozsahu se musí i tento únik hlásit na ÚOOÚ. Vzhledem k povinnosti bezpečností incidenty zaznamenat, je zapotřebí, aby zaměstnanci byly proškoleni, a pokud se Vám zaměstnance sám nepřizná a nenahlásí tento incident, přenese se zodpovědnost na něho, ale jen za předpokladu, že prokážete, že byl řádně seznámen s touto skutečnosti a povinností. K tomuto účelu prokazatelného seznámení slouží směrnice a školení. Případnou sankci můžete částečně vymáhat po zaměstnanci.
Funkce pověřence pro ochranu osobních údajů
Pokud Vám GDPR ukládá jmenovat tzv. Data Protection Officera, neboli pověřence pro ochranu osobních údajů (DPO), jsme připraveni tuto funkci pro Vás externě vykonávat.
Naším úkolem bude spolupráce s Vámi při zavádění vhodných technických a organizačních opatření k zajištění souladu a v souvislosti s tím poskytovat GDPR poradenství a doporučení. DPO bude působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování údajů. Veškeré interní předpisy, postupy, atd. by měly být vyhotoveny nebo připomínkovány právě pověřencem.
Pověřenec osobních údajů by především měl být ustanoven na základě svých profesních kvalit. Požadavky na profesní kvality definuje GDPR tak, že se jedná zejména o odborné znalosti práva a praxe v oblasti ochrany osobních údajů. Je zřejmé, že základem je znalost národního a evropského práva v oblasti ochrany osobních údajů a souvisejících předpisů příslušného odvětví, ve kterém správce či zpracovatel působí. Kromě toho by měl pověřenec mít též znalosti v oblasti IT a případně i manažerské dovednosti.
DPO by měl být podrobně seznámen s procesy a technologiemi zpracování osobních údajů u správce či zpracovatele, pro kterého bude tuto funkci vykonávat. Dále lze předpokládat, že v souvislosti s možnými přeshraničními kontrolami dozorových úřadů členských států EU by měl DPO ovládat minimálně jeden z úředních jazyků EU na takové úrovni, aby mohl v případě potřeby komunikovat s těmito zahraničními dozorovými úřady, případně s nově zřízeným Evropským sborem pro ochranu osobních údajů.
V tomto ohledu jsme vybaveni jak jazykově, tak odborně, když jsme prošli kurzy, které jsou akreditované dle European e-Competence Framework (e-CF) a současně v souladu s ISO/IEC 17024.
.
Zastupování ve správním řízení
Jedním z hlavních úkolů, které nařízení GDPR ukládá, je monitorovat a vymáhat uplatňování nařízení a provádět šetření o uplatňování tohoto nařízení. Hlavním nástrojem pro monitorování a šetření je přitom kontrola, kterou provádí Úřad pro ochranu osobních údajů se sídlem v Praze.
Pokud Úřad pro ochranu osobních údajů s Vámi zahájil incidenční řízení, které je prováděno na základě stížností subjektů údajů nebo na základě jiných kvalifikovaných podnětů (od dozorových úřadů jiných členských států Evropské unie, soudů, policie apod.), jsme připraveni Vás v tomto řízení (případně i v navazujícím správním soudním řízení) kvalifikovaně zastoupit.
Právní poradenství a konzultace
Pro případ, že máte ad hoc dotaz nebo se jen zcela neorientujete v problematice ochrany osobních údajů, jsme připraveni Vám po předchozí dohodě poskytnout konzultaci nebo sepsat právní rešerši či posouzení, to vše v režimu mlčenlivosti danou zákonem o advokacii.
Vycházíme vždy z obchodního a strategického přístupu k Vašim záležitostem, klademe důraz na flexibilitu, kreativitu a absolutní důvěru. Volíme nadstandardní přístupy k řešení i těch nejkomplikovanějších případů.
„Celý svůj profesní život se pohybuji v právních vodách, ponejvíce v advokacii, zároveň se zaměřuji na mimosoudní řešení sporů (Alternative Dispute Resolution) jako zapsaný mediátor u Ministerstva spravedlnosti ČR.
V posledních letech poskytuji poradenské, implementační a auditní služby v oblasti zpracování a ochrany osobních údajů, včetně zastupování v řízení před Úřadem pro ochranu osobních údajů, a to zejména u podnikatelských subjektů.
Systémová ochrana a zpracování osobních údajů je příležitostí pro nastavení nových procesů, pro zjednodušení fungování a zhodnocení Vašeho know-how.“
Mgr. Martin Pešek
advokát
GDPR DPIA & RISK Auditor