Žijeme v digitální době plné dat. Máme pocit, že jsme na technologickém vrcholu, ve skutečnosti se však, z pohledu dlouhodobého historického vývoje, jedná o dobu dřevní, pionýrskou, srovnatelnou s džunglí či Divokým západem. Cítíme se jako kabrňáci, když jsme byty a kilobyty nahradili megabyty, gigabyty, terabyty a v budoucnu si jistě sáhneme i na petabyty a možná i mety vyšší, ve skutečnosti však v podstatě produkujeme digitální odpad.

Plýtváme úložným prostorem s tím, že nemůže nikdy dojít, a když přece, tak ho prostě dokoupíme nebo si ho pronajmeme někde na vzdáleném serveru v cloudu. Produkujeme, získáváme a shromažďujeme data, ačkoliv mnohá z nich možná ani nikdy nevyužijeme a časem i zapomeneme, že je vůbec máme. Vytváříme velké množství budoucího digitálního odpadu, ve kterém se nám však často schovávají i cenné kousky, data o nás a našich blízkých, data o našem životě, chování, zvyklostech. Z našeho úhlu pohledu data samozřejmá, a tedy i na první pohled možná, až nezajímavá. Z pohledu jiných však může jít o cennou surovinu a třeba i obchodní artikl, v nepovolaných rukou pak i o nebezpečnou zbraň.

Mnozí z nás si cenu vlastních dat už začínají uvědomovat. Než se je však skutečně naučíme efektivně třídit, recyklovat, zálohovat i chránit tak, aby to bylo efektivní a bezpečné, ještě to nějakou dobu potrvá.

Blýská se však na lepší časy. Tak jako šerifové, soudci, zákony a nakonec i ústava kdysi zkrotili Divoký západ a proměnili ho na světově příkladné demokratické zřízení, které dnes označujeme zkratkou USA, tak se i Evropská unie a její jednotlivé členské státy snaží postupně zavádět a zdokonalovat pravidla, která nás donutí zacházet s daty poněkud obezřetněji. Tedy alespoň s těmi cennými, osobními, která by mohla v nesprávných rukou ovlivňovat naše životy.

 

Nic nového pod sluncem

Ochrana osobních dat není žádným výstřelkem posledních let, příslušné instituce se jí věnují už mnoho a mnoho let. Mnohem déle, než si většina z nás stíhala uvědomit, nakolik by nám informace o nás v rukou nesprávných lidí mohly uškodit. S nástupem digitální doby se však situace přiostřuje, z dat se stala surovina, která je základem nejednoho byznysu. S nástupem inteligentních nástrojů zvládajících analýzu velkých dat se z nich dají vytěžit informace o našem chování, zvyklostech i našich slabinách. Proto je na čase v ochraně dar poněkud přitvrdit a zavést pravidla taková, abychom nad svými osobními daty pokud možno neztráceli kontrolu, respektive abychom se měli šanci dopátrat svých osobních dat rozesetých po discích mnoha a mnoha firem a organizací, abychom měli šanci je dostat pod kontrolu a případně abychom se i mohli, pokud nám fakt, že jsou data o nás v držení někoho, u koho nám to začíná být nepříjemné, domoci svého práva, aby byla prokazatelně odstraněna.

Tak jako se kdysi na Divokém západě postupným zaváděním zákonů a jimi vymezených práv a povinností zrodil řád pod zkratkou USA, tak se u nás postupně rodí a zdokonaluje legislativou vymezený systém zavádějící řád do nakládání s citlivými daty, zaváděný pod zkratkou GDPR (General Data Protection Regulation) neboli po česku s pomocí Obecného nařízení o ochraně osobních údajů.

Záměrně jsem tento text začal poněkud ze široka a z jiného konce, než se obvykle začíná. Je třeba si totiž uvědomit, že GDPR a ochrana osobních údajů se netýká jen firem, do jejichž systémů nakládajících s daty přináší řád, ale týká se především každého z nás. Je třeba si uvědomit, že jsme to především my, kdo svá data ať už plně vědomě, či poněkud lehkomyslně poskytuje nejrůznějším subjektům a prostřednictvím internetu je posílá do všech světových stran. A díky GDPR bychom měli získat o něco větší jistotu, že se jich i v budoucnu budeme schopni dopátrat, že si budeme moci zkontrolovat, zda nejsou zkreslená či upravovaná, že každému jednotlivému subjektu budeme moci odejmout právo, aby s informacemi o nás nadále nakládal.

Tolik tedy o ochraně osobních údajů dle nové směrnice z pohledu těch, o jejichž data tu jde, jejichž práva směrnice GDPR chrání. Subjekty, které však tato legislativa nejvíce ovlivní, stojí na opačné straně potravního, pardon, datového řetězce. A nejde přitom je o firmy, které z dat přímo a cíleně těží, nebo s nimi dokonce obchodují. Jedná v podstatě o každou firmu a organizaci, která má svůj okruh zákazníků, členů, zaměstnanců, příznivců, jež musí nějakým způsobem evidovat, a tudíž i zacházet s jejich osobními údaji. Jedná se tedy o každou firmu i každou organizaci. Je proto třeba, aby všichni vnesli řád do dat, která spravují, a společnými silami přeměnili datovou džungli na funkční sytém.

 

Obecné nařízení o ochraně osobních údajů

Zkratku GDPR jsme si již vysvětlili, ale co konkrétního se za ní skrývá? Obecné nařízení o ochraně osobních údajů je tedy novou, do značné míry revoluční legislativou EU, která podstatnou měrou zvýší ochranu osobních dat občanů. Přijato bylo v dubnu roku 2016, platit však začne "až" od 25. května 2018. U slova až zcela záměrně používáme uvozovky, abychom zdůraznili, že nejde o snadný, rychle proveditelný proces a potřebná opatření je třeba začít systematicky zavádět už dnes, abychom pak ke stanovenému datu roku příštího mohli s klidným svědomím říci, že máme splněno a že nám nehrozí sankce.

Záznamy o činnostech musí obsahovat:

- jméno a kontaktní údaje správce a zpracovatele včetně jména DPO,

- účely zpracování,

- popis kategorií subjektů údajů a kategorií osobních údajů,

- kategorie příjemců, kterým byly nebo budou údaje zpřístupněny,

- informace o mezinárodním předávání osobních údajů,

- lhůty pro výmaz jednotlivých kategorií údajů,

- popis technických a organizačních opatření

Ale zpět ke směrnici samotné. Přináší dosud největší změny v ochraně osobních údajů, jak už jsme předeslali, s cílem hájit co nejvíce práva občanů Evropské unie proti neoprávněnému zacházení s jejich daty a osobními údaji.

Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Směrnice proto zavádí také opravdu velké pokuty, které budou silným nástrojem pro skutečně účinné prosazení nových pravidel.

Větším zpracovatelům dat navíc směrnice nařizuje zřídit nezávislou kontrolní funkci pověřence pro ochranu osobních údajů (anglicky Data Protection Office, tedy DPO). Jejich úkolem bude dohlížet na řádné zacházení s osobními daty a hlášení možných úniků dat a porušení zákona.

 

Osobní údaje z pohledu GDPR

Jak už jsme uvedli výše, ochrana osobních údajů byla zakotvena už v předchozí, dnes platné legislativě, GDPR je pouze posouvá na další úroveň a hlavně přísněji stanovuje pravidla tak, aby zacházení s osobními daty nebylo bráno na lehkou váhu. Co si ale lze všechno pod pojmem osobní údaje, nebo možná přesněji osobní data představit?

V základu jde v podstatě o veškeré informace vztahující se k identifikované nebo i identifikovatelné fyzické osobě. Patří sem tedy nejenom jméno, pohlaví, datum narození, osobní stav či rodné číslo, ale také třeba IP adresa připojení k internetu a patří sem i fotografie a videa, na kterých se daná osoba vyskytuje, a patří sem i kontaktní a další identifikační údaje.

Speciální pozornost pak směrnice věnuje oblasti zpracování zvláštních kategorií osobních údajů, jakými jsou údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů jsou nově zahrnovány také genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Do okruhu působnosti GDPR naopak nepatří údaje, které byly dostatečnou měrou anonymizovány, a tudíž už nemohu vést k identifikaci konkrétní osoby, údaje zemřelých osob a údaje získané takzvaně v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. Jedná se o údaje, které zpracováváme čistě pro osobní potřebu a které nebudeme a nikým sdílet.

 

Proč je třeba ochranu osobních dat zpřísnit

Naznačili jsme to již v úvodu, přestože jakási ochrana je v evropské legislativě zakotvena již řadu let, z pohledu současného rozmachu digitální éry je poněkud zastaralá a nedostatečně účinná. Je třeba si uvědomit, že aktuálně platná směrnice na ochranu osobních údajů byla zavedena v roce 1995, kdy neexistovaly sociální sítě ani mnohé další mobilní a technologické prostředky operující s osobními daty, i cloudová úložiště byla tehdy ještě v plenkách. S dnešními možnostmi dopadu, ale ani s účinnými nástroji pro zacházení s daty tedy vůbec nepočítala.

Svou roli ve vytvoření a zavedení přísnější normy chránící osobní data jistě sehrály i aféry posledních let vyplývající z odhalení činnosti mimoevropských tajných služeb, které shromažďovaly údaje o občanech EU. Bylo tedy nezbytné stanovit pravidla i pro neunijní země, které chtějí působit v evropském prostoru. A bylo rovněž zapotřebí pravidla ochrany sjednotit napříč celou unií.

Neposledním důvodem pro zavedení GDPR je i samotný fakt, že jako občané míváme stále ještě tendence ve velké míře význam osobních dat podceňovat. Ochotně je prostřednictvím internetu předáváme, aniž bychom se dostatečně zamysleli nad tím, zda o sobě nesdělujeme zbytečně mnoho, jak by tyto informace mohly být zneužity a komu je vůbec poskytujeme. Vyplnit podstrčený formulář v případě nákupu v elektronickém obchodu nebo při snaze získat nějakou slevu či výhodu se stalo samozřejmostí. Samozřejmostí by se však mělo stát i vědomí toho, že máme právo vědět, kdo o nás jaké údaje shromažďuje, a máme právo také toto shromažďování kdykoliv ukončit.

Zavedení GDPR tedy přináší změny, které si vyžádala aktuální situace a technologické prostředky současné doby. Už nyní však víme, že i legislativu, která teprve vstoupí v platnost 25. května příštího roku, bude potřeba v dohledné době novelizovat a přizpůsobovat novým technologickým vymoženostem a trendům. Už nyní se ve velké míře například prosazují trendy typu BYOD, tedy využívání vlastních počítačů a mobilních zařízení v prostředích firem, s čímž GDPR v podstatě ještě nepočítá, přestože je zde reálné riziko, že se citlivá osobní data přestěhují (a ono se to v praxi už skutečně děje) i na tato zařízení, která však už nejsou vždy plně pod kontrolou firem, tedy správců oněch citlivých dat.

Velké změny si do budoucna zcela jistě vyžádá i fenomén internetu věcí (IoT), tedy zavádění "chytrých" zařízení denní potřeby, která budou žít vlastním komunikačním životem, aby nám mohla lépe sloužit. Zároveň však budou poskytovat další a další informace, které budou vypovídat o nás a našich, často až nejintimnějších zvyklostech. Pak bude muset ochrana osobních dat vstoupit do další, zcela nové dimenze.

 

O jaké změny se jedná

Podrobnosti z pohledu právního, technologického i z pohledu lidských zdrojů najdete v následujících článcích, zde se tedy zaměříme jen na jakýsi základní zestručněný přehled.

GDPR zavádí řadu nových pravidel, jejichž platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit. Přibude mu tím velká administrativní zátěž, bude muset zavést celou řadu opatření, aby byl schopen zpřísněným opatřením vyhovět a bude muset být schopen i prokázat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

Jak už bylo uvedeno výše, GDPR především posiluje práva těch, kterým údaje patří, o nichž firmy data shromažďují. Z pohledu právního jsou tito označováni za subjekty osobních dat, za tímto neosobním pojmeme se však skrývají lidé a data, která mohou odhalovat jejich soukromí a ovlivnit i jejich životy. Je tedy skutečně nezbytné, aby se taková data dostala pod kontrolu těch, kterým stále patří, ačkoliv s nimi nakládají zcela jiní lidé, ve prospěch firem, ve kterých pracují. Bylo tedy kupříkladu zapotřebí právně zakotvit právo na vznesení námitky proti zpracování osobních dat natolik účinné, že skutečně zabrání správci dat další neanonymizované zpracování, pokud k němu nebude mít prokazatelně závažné důvody.

A jak jsme už výše naznačili, GDPR přichází také s rozšířením definice osobních údajů. Nově sem spadají i technické parametry jako IP adresa, e-mail nebo i takzvané cookie, ukládané v zařízeních uživatele.

Nově se také zpracovateli ukládá povinnost ohlásit únik či ohrožení bezpečnosti osobních dat Úřadu pro ochranu osobních údajů do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech pak bude muset informovat také subjekty, kterých se únik týkal. Velkého zpřísnění doznaly také sankce, které v případě porušení práv subjektů a nařízení GDPR budou firmám ukládány a které se do značné míry odvozují i od obratu firem tak, aby měly dostatečnou účinnost i na nadnárodní společnosti.

Směrnice nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele a firmy nemalé časové a finanční investice. Ty se budou týkat zejména:

  • implementace záměrné a nezbytné ochrany dat,
  • vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment - DPIA),
  • jmenování pověřence pro ochranu osobních údajů (Data Protection Office - DPO),
  • zavedení tzv. pseudonymizace osobních údajů,
  • vedení záznamů o činnostech zpracování,
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Posouzení vlivu na ochranu osobních údajů budou muset firmy a organizace vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování a profilování. Týká se to především firem poskytujícím věrnostní programy, on-linové nebo telekomunikační služby založené na lokalizačních datech nebo cílenou reklamu. Obdobnou povinnost pak budou mít firmy nebo instituce, které zpracovávají citlivé osobní údaje ve velkých objemech nebo systematicky monitorují veřejně přístupné prostory, tedy bezpečnostní agentury, zdravotní pojišťovny nebo nemocnice.

Další novou povinností správců a zpracovatelů dat bude vedení záznamů o činnostech zpracování, za které zodpovídají, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit.

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.