Ve společnostech i veřejných institucích probíhají přípravy na nová evropská pravidla pro ochranu osobních údajů, jež začnou platit v květnu příštího roku. Řada z nich si však není jistá s konkrétním výkladem jednotlivých ustanovení, jež obsahuje nařízení nazvané GDPR (General Data Protection Regulation). Přesné odpovědi na to, jak z firemních systémů správně odstranit veškerá data o konkrétním člověku nebo jak správně upravit smlouvu o zpracování osobních údajů, v legislativě chybí.

Konference se zúčastnili

Vrchní rada pro vládní agendy ÚOOÚ Miroslava Matoušová, specialista z Rowan Legal Michal Nulíček, pověřenec pro ochranu osobních údajů ČSOB Margit Doležalová, expert KPMG Martin Hladík a moderátor Jaroslav Kramer z HN.

"S blížícím se termínem účinnosti GDPR se stále častěji ozývají kritické hlasy. Poukazují na nízké povědomí správců osobních údajů a jejich neznalost, často za to obviňují stát. Jiní volají po pomoci a srozumitelných návodech, jak postupovat," uvedla předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů na konferenci Osobní údaje 2018, kterou v Praze pořádala společnost Economia a Hospodářské noviny.

Janů zároveň upozornila, že její úřad nemůže pro podniky připravit žádné konkrétní metodiky, protože od května příštího roku bude plnění pravidel sám dozorovat. S výkladem tak mohou firmám pomoci pouze stanoviska expertů z Bruselu sdružených v takzvané pracovní skupině WP29. Sedí zde zástupci dozorových úřadů ze všech členských zemí EU a chystají dokumenty, které mají přípravy na GDPR usnadnit. Zatím poslední vodítka schválila skupina minulý týden. Nyní bude šest týdnů probíhat v členských státech jejich veřejná konzultace. Český úřad je na svém webu zveřejní v nejbližších dnech.

Seriál HN k ochraně dat GDPR

◼ 13. 12.
GDPR a zahraniční firmy
◼ 20. 12.
Neziskovky a GDPR
◼ 27. 12.
Osobní údaje 2018

Jak zůstat transparentní

Například společnosti musí zajistit svým klientům, dodavatelům i zaměstnancům přístup k informacím, které o nich zpracovávají, protože zachování transparentnosti je jedním ze základních principů nařízení. Podle nového vodítka k porušení pravidel dochází, pokud se k osobním údajům dostane osoba, která k nim nemá mít přístup. Problém je také ztráta dostupnosti informací, například kvůli výpadku elektrické energie nebo ztrátě šifrovacího klíče, třeba po útoku hackerů.

"Pokud trvalou nebo dočasnou ztrátu dostupnosti neohlásíte jako bezpečnostní incident, je to porušení pravidel. Zároveň to svědčí o tom, že jste se o bezpečnostním incidentu nedozvěděli, a nemáte tedy zavedená správná technická a organizační opatření, což může vést k sankcím za dvojí porušení," varoval na konferenci Michal Nulíček, specialista na osobní údaje z advokátní kanceláře Rowan Legal.

Konference Osobní údaje 2018

Akci pořádala společnost Economia ve spolupráci s Rowan Legal, KPMG a Kaspersky Lab.

Podle Nulíčka musí podniky v první řadě přiřadit odpovědnost za řešení takové situace konkrétní osobě nebo speciálnímu firemnímu týmu. Ohlášení incidentu musí proběhnout do 72 hodin od okamžiku, kdy se dozví o porušení zabezpečení.

Některá narušení bezpečnosti se sice hlásit nemusí, jejich vymezení je ale velmi přísné. "Příkladem je ztráta firemního notebooku, kde jsou data zašifrovaná. Ovšem i v takovém případě musíte incident interně zaevidovat," upozornil Nulíček.

Fenomén souhlas

Jakmile GDPR začne platit, bude podoba souhlasu se zpracováním osobních údajů jiná, než ji známe dnes. Lidé, jimž osobní údaje patří, se při jeho podpisu musí přesně dozvědět o účelu zpracování informací i jejich rozsahu. Musí také přesně vědět, komu souhlas udělují a kdo další bude mít k informacím přístup.

Podle odborníků z poradenských společností se dnes firmy zabývají především tím, jakou podobou souhlasům dát.

"Novou smlouvu o zpracování osobních údajů musí firmy uzavřít prakticky se všemi, případně vytvořit nějaký dodatek," vysvětlil Martin Hladík, z poradenské společnosti KPMG. Podle něj je důležité se do budoucna připravit na to, že evidovat informace o souhlasech bude náročnější. "Lidé budou třeba vznášet námitky. Řeknou, že už nechtějí dostávat určité zboží, nebo vám souhlas se zpracováním úplně odeberou. Všechny změny musíte někde zaznamenat," uvedl Hladík.

Přísnější požadavky na udělování souhlasů mohou být problém pro některé webové služby, které dnes fungují zdarma, protože spoléhají na příjem z nevyžádané reklamy.

"Směřuje to ke zrušení marketingu založeného na sledování uživatelů a monitoringu jejich chování v internetovém prostředí," řekl Nulíček. "Lze například očekávat, že provozovatelé zpravodajských webů, které jsou nyní zdarma, v budoucnu své služby zpoplatní," tvrdí.

Při získávání souhlasů je důležitá také informace o tom, jak ho lidé mohou odvolat. "Jestliže vám pro získávání údajů stačí elektronická cesta, musíte také najít způsob, aby jeho zrušení bylo stejně jednoduché. Jinak budou velmi pravděpodobně následovat sankce," upřesnila Miroslava Matoušová, vrchní rada pro vládní agendy z Úřadu pro ochranu osobních údajů. Přísnější požadavky a nutnost získat nový souhlas se zpracováním osobních údajů však podle ní nutně neznamenají zánik podnikání, která jsou na něm závislá.

"Stačí si najít vlastní klíč, jak minimalizovat rozsah osobních údajů, které potřebujete. Třeba v čistírně bylo dříve vše vedeno pod jménem a příjmením zákazníka, dnes je vše evidováno pod číslem zakázky," řekla Matoušová.