Dvojrozhovor: GDPR nevidíme jako revoluci

Rozhovor Michala a Lukáše poskytnutý pro Právní prostor na téma GDPR.

Už zítra budete přednášet na dalším ročníku konference Právo ve veřejné správě. Na co se mohou účastníci v rámci Vašeho příspěvku těšit?

Michal Zahradník: Pokusíme se krátce přiblížit nařízení GDPR a přípravu na jeho dopady v praktické rovině. V poslední době se objevuje řada komerčních nabídek a „balíčků“ služeb, které nabízí hotové řešení GDPR. Ale jak může stejné řešení fungovat a dobře sloužit drobnému místnímu úřadu, kde pracují nanejvýš dva lidé, a třeba krajskému úřadu s desítkami zaměstnanců a mnohem podrobnější agendou? Jen nákup programového vybavení s návodem nestačí. Vnitřní prostředí každého správce či zpracovatele, ať už úřadu anebo firmy, je jiné. My bychom chtěli našim posluchačům pomoci najít cestu ke skutečně individuálnímu řešení, tedy takovému, které vychází nejen z jejich potřeb a z toho, co jim GDPR nařizuje, ale zohledňuje i jejich možnosti v otázce jak na to.

Nařízení GDPR vstoupí v platnost příští rok. Jaké jsou nejzásadnější body této úpravy?

Lukáš Koukal: Nařízení slibuje rovnocennou vymahatelnost práva na ochranu osobních údajů v celé EU, sjednocení přístupu dozorových orgánů a jejich těsnější spolupráci. Zjednodušeně by to mělo znamenat, že správci a zpracovatelé osobních údajů se plnění povinností nevyhnou tím, že budou vlastní činnost delegovat jiným subjektům, nebo využívat servery v zahraničí.

Ač to na první pohled nemusí být patrné, praktické důsledky s sebou ponese zejména značně podrobnější úprava individuálních práv oprávněných subjektů, tedy těch, o jejichž data se jedná. Nařízení jim dává řadu práv, které dosud neměly, nebo k nim chyběly prostředky jejich realizace. Po nabytí účinnosti nařízení se všichni budou moci obracet na správce a zpracovatele osobních údajů s námitkami zpracování osobních údajů či žádostmi o poskytnutí informací o zpracovávaných osobních údajích, o jejich opravu či úpravu, anebo o jejich bezpodmínečné odstranění z databáze, a oříškem bude v praxi určitě ještě dlouhou dobu též žádost na přenesení údajů jinam. Správce bude muset jakékoli takové žádosti vyhovět, což v prvé řadě znamená být toho schopen – ať už jde o nutnou technickou vybavenost, know-how, nebo o nastavení pracovních procesů při práci s osobními údaji.

Michal Zahradník: I když taková žádost přímo nepřijde, dohled UOOU může směřovat právě ke kontrole toho, zda jsou správci a zpracovatelé vybaveni a organizačně připraveni takovou třeba jen eventuální možnost plnit. GDPR totiž jasně přenáší důkazní břemeno ohledně toho, zda správci a zpracovatelé postupují v souladu se všemi jeho pravidly, na ně, a oni budou tedy muset v případě kontroly aktivně prokazovat svou „compliance“. Správci a zpracovatelé se proto musí včas připravit nejen na to, jak se v kontextu jejich činnosti vypořádávat s žádostmi osob, kterým GDPR dává přímou ochranu, ale i na povinnost být schopni prakticky prokázat soulad svých postupů se zákonem.

Jaké zásadní povinnosti nařízení ukládá institucím a firmám?

Michal Zahradník: GDPR nevidíme jako revoluci, ale spíše jako příležitost pro všechny dotčené instituce a firmy ujasnit si, zda způsoby a metody zpracování osobních údajů, které dosud prováděli, odpovídají soudobým trendům a očekáváním jak regulátora, tak subjektů údajů jakožto „klientů“, přičemž bezpečnost dat a ochrana práv a zájmů „klientů“, jejich soukromí v nejširším smyslu, by samozřejmě měla být v centru pozornosti každé instituce nebo firmy. GDPR tak může být příležitostí, jak se v této oblasti zlepšit.

Nařízení staví na principu odpovědnosti správce a přístupu k práci s osobními údaji založenému na riziku. Princip zodpovědnosti se promítá v povinnosti správců a zpracovatelů zavést za účelem zpracování osobních údajů technická, organizační a procesní opatření v souladu s principy GDPR, která jsou přiměřená hrozícímu riziku. To se týká jak všech postupů a procesů, které budou nově zaváděny, kde bude třeba na bezpečnost dat a práva subjektů údajů myslet od počátku („privacy by design“, záměrná ochrana dat), tak všech stávajících procesů.

Lukáš Koukal: V praxi to znamená potřebu zrevidovat v podstatě všechny činnosti a postupy, které správci a zpracovatelé při správě osobních údajů v praxi používají, a zvážit, zda nebude třeba nově zavést organizační nebo technická opatření k ochraně dat a zajištění compliance obecně.

K těm nejdůležitějším bude patřit implementace záměrné a nezbytné ochrany dat nebo vedení záznamů o činnostech zpracování, a zejména v případě obcí a veřejné správy obecně asi jmenování pověřence pro ochranu osobních údajů. V řadě případů bude nutné vypracování posouzení vlivu na ochranu osobních údajů, pseudonymizace osobních údajů, anebo konzultace s UOOU před samotným zpracováním osobních údajů.

Michal Zahradník: Samozřejmě diskutujeme dopad GDPR jak s našimi klienty, tak s jinými odborníky, a zejm. obce velmi pálí otázka jmenování pověřence, kolem které panuje řada mýtů a dohadů, v Čechách jde o úplnou novinku (byť v některých okolních státech už má svou tradici). Proto se na pověřence chceme v naší přednášce obzvlášť zaměřit.

Shora jsme už zmínili další novinku, právo na přenositelnost údajů, což se naopak dotkne především soukromých firem, další novinkou je třeba povinnost ohlásit ohrožení zabezpečení osobních údajů. Nově bude muset zpracovatel ohlásit ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. UOOU by měl plnění těchto povinností kontrolovat, ať už namátkově či při šetření individuálních stížností, které lze samozřejmě v souvislosti s bezpečnostními incidenty očekávat.

Jaké sankce hrozí firmám za porušení těchto povinností?

Michal Zahradník: Sankce, které v případě porušení povinností podle GDPR připadají v úvahu, mohou být skutečně likvidační. Jejich možná výše je až 20.000.000 eur nebo až 4 % z celkového ročního obratu společnosti. Konkrétní výše sankce bude záviset na řadě faktorů v každém individuálním případě porušení povinností, už nyní je ale zřejmé, že význam preventivních opatření poroste.

Členské státy sice mají možnost upravit v národní legislativě pokuty orgánům veřejné správy, uvidíme, zda nakonec v Parlamentu projde nějaké zmírnění např. pro obce, o což snad usiluje Svaz měst a obcí, ale dle současného stavu projednávání zákona bych na to rozhodně nesázel.

Jakým způsobem se nařízení dotkne například zaměstnanců?

Lukáš Koukal: Zaměstnanci se dočkají zastání hned na dvou místech, vedle ÚOOÚ je totiž ke kontrole dodržování některých s nařízením souvisejících povinností zaměstnavatele oprávněna také inspekce práce, která může jednání zaměstnavatele v rozporu s GDPR vyhodnotit jako správní delikt na úseku ochrany soukromí zaměstnanců. Inspekce může přezkoumávat, zda má zaměstnavatel pro sledování zaměstnanců skutečně legitimní důvod, zda je zásah do soukromí zaměstnanců přiměřený atd. Jedná se zejména o využívání kamerových systémů na pracovišti, GPS lokátorů v pracovních automobilech, monitoring emailů anebo telefonické komunikace zaměstnanců apod. Pravděpodobnost, že se zaměstnanci, kteří se cítí dotčeni ve svých právech, dovolají pomoci alespoň u jednoho z dozorových úřadů, je tedy o to vyšší.

Jiný neméně platný pohled na věc je ovšem takový, že řadě zaměstnanců v závislosti na jejich pracovním zařazení povinnosti přibudou. Budou to právě oni, kdo budou plnění konkrétních povinností svého zaměstnavatele coby správce či zpracovatele osobních údajů zajišťovat.