1. Nařízení GDPR z pohledu IT – úvod do problematiky nařízení GDPR

  • Doplněno 22. 8. 2017: Koho se netýká

Moje úvodní slovo

Toto je první díl trilogie o nařízení GDPR, ve kterém je stručně řečeno, k čemu vlastně nařízení GDPR je, jaké jsou sankce, koho se nařízení GDPR týká či netýká a jaká je právní odpovědnost. Také uvádím seznam souvisejících zákonů, které se mohou hodit a informačních zdrojů, odkud jsem čerpal informace (protože pracuji v nemocnici uvedl jsem i zdroje a zákony pro zdravotnictví – pokud mi dáte informace, doplním i další obory).

Ve druhém díle trilogie proberu terminologii z nařízení GDPR. Snažil jsem se ke každému termínu (ponejvíce v čl. 4 nařízení GDPR) doplnit co nejvíce informací, které jsou po nařízení roztroušeny a doplnil jsem k nim informace z různých informačních zdrojů.

Ve třetím díle trilogie se budu věnovat činnostem a úkolům, které vedou ke splnění nařízení GDPR, a to hlavně z pohledu IT – nejde oddělit IT od procesů a naopak.

Snažil jsem se zpracovat nařízení GDPR logicky pro techniky, aby mělo nejméně zbytečné omáčky… Všechny díly trilogie mohou být postupně doplňovány o nové informace na základě nových informací a vašich podnětů (za ty budu rád).

Věty psané kurzívou jsou moje osobní poznámky.

O čem nařízení GDPR je

Cílem nařízení GDPR je zejména ochrana soukromí a práv fyzických osob z pohledu ochrany zpracování jejich osobních údajů – nařizuje, aby osobní údaje fyzických osob byly chráněny a zabezpečeny a aby fyzické osoby měly právo na výmaz, opravu či přenos svých osobních údajů.

GDPR je nové nařízení EU, kterým se zavádí nová pravidla, jejichž porušením se vaše organizace vystavuje vysoké pokutě, ztrátě dobrého jména a důvěry – proto je třeba se GDPR vážně zabývat! Nařízení GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES (ta bude tímto nařízením zrušena) a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

Nařízení s sebou přinese rovnocennou vymahatelnost práva v celé EU (je tedy přímo účinné a je nadřazeno lokálním směrnicím a nařízením! Platí tedy beze změn ve všech zemích EU!), stejné sankce a mnohem těsnější spolupráci dozorových orgánů a oznamovací povinnost v případě narušení bezpečnosti osobních údajů. Nově bude muset správce nebo zpracovatel ohlásit únik či ohrožení zabezpečení osobních údajů dozorovému úřadu nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl (a v některých případech bude muset také informovat subjekty, kterých se únik osobních údajů týkal).

Fyzická osoba bude tedy tím, kdo rozhoduje o svých osobních údajích a má právo vědět, za jakým účelem se její osobní údaje zpracovávají (samozřejmě zájmy státu mají přednost před ochranou osobních údajů!). Čili jednoduše:

  • Fyzická osoba musí dávat souhlas ke zpracování svých osobních údajů, a to ke každému jednotlivému účelu.
  • Fyzická osoba má plnou kontrolu nad svými osobními údaji.
  • Správci a zpracovatelé musí srozumitelně fyzické osobě sdělit, k čemu jsou její osobní data používána a reagovat na její připomínky.
  • Správci a zpracovatelé nesou odpovědnost nejen za únik osobních údajů, ale také za nedovolené zpracování osobních údajů.
  • Správci a zpracovatelé musí v případě úniku osobních údajů včas informovat jak fyzickou osobu, tak dozorový úřad.

Nařízení GDPR definuje tyto základní oblasti:

  • Zásady zpracování osobních údajů subjektů údajů občanů EU (přičemž je jedno, kde má správce nebo zpracovatel sídlo).
  • Práva subjektů údajů – tedy identifikovaných či identifikovatelných fyzických osob.
  • Povinnosti správců a zpracovatelů osobních údajů.
  • Technická a organizační opatření.
  • Dozorovou činnost a spolupráci dozorových orgánů. Tuto část jsem nezpracovával (v podstatě se týká funkce dozorového úřadu), pro ajťáky je v podstatě k ničemu – musíme jen vědět, komu hlásit porušení a v jakém formátu.
  • Právní ochranu, odpovědnost a sankce za úmyslné či nedbalostní porušení ochrany osobních údajů.

Sankce za porušení nařízení GDPR

V případě nedodržení pravidel GDPR hrozí firmám vysoké pokuty. Podle dostupných informací by mělo přijít nejprve varování, pak napomenutí, poté pozastavení možnosti zpracovávat údaje a až nakonec pokuta, která může být až 10 (20) milionů euro nebo 2 % (4 %) z celosvětového obratu, a to vždy vyšší z obou možností – viz čl. 83 nařízení GDPR (pokuta má být v každém jednotlivém případě účinná, přiměřená a odrazující). Bude tedy záležet na mnoha okolnostech, jaká pokuta bude skutečně udělena… A o těchto okolnostech bude rozhodovat to, jak budete mít nastavené a zdokumentované předpisy, jak bude provedeno skutečné zabezpečení a hlavní slovo bude mít dozorový úřad.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.

Tzv. soulad s nařízením bude kontrolován tam, kde mají DPO, v pravidelných intervalech a v případě porušení bezpečnosti osobních údajů u každého, koho se nařízení týká.

ÚOOÚ sice prý nebude dávat likvidační pokuty, ale bude přísný – viz článek: Šéfka Úřadu pro ochranu osobních údajů: Vysokými pokutami chceme firmy odrazovat, ne likvidovatKdyž si to přečtete, tak pokuty likvidační budou, ne že ne…

Koho se nařízení GDPR týká

Týká se všech firem, které mají zaměstnance či neanonymní klienty a zpracovávají jejich osobní údaje jakýmkoliv způsobem (automatizovaně či neautomatizovaně) – tzn. i na jakéhokoliv podnikatele, který si vede evidenci klientů. Vztahuje se celosvětově na všechny subjekty zpracovávající osobní údaje občanů Evropské unie, a těmi jsou:

  • Bankovní a jiné finanční instituce, finanční poradci.
  • Telekomunikační operátoři.
  • Pojišťovny, pojišťovací makléři.
  • Poskytovatelé hypoték, půjček a úvěrů.
  • Nemocnice a další zdravotnická zařízení.
  • Orgány veřejné moci a veřejné subjekty.

Koho nebo čeho se nařízení GDPR netýká

  • Osobních údajů právnických osob.
  • Zpracování anonymních informací pro statistické nebo výzkumné účely.
  • Dalšího zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Na co nebo koho se nařízení GDPR nevztahuje

  • Činnosti týkající se národní bezpečnosti.
  • Činnosti týkající se trestných činů.
  • Činnost čistě osobní povahy nebo činnost prováděnou výhradně v domácnosti.
  • Osobní údaje zemřelých osob.
  • Anonymizované údaje (různé výzkumy a statistiky, kde se neuvádí konkrétní osoba).
  • Církve.
  • Soudy.
  • Zpravodajské služby.

Kdo nese odpovědnost

Pro nás ajťáky je potěšující alespoň jedna skutečnost – neneseme trestně právní odpovědnost. Cituji z Kdo je odpovědný za splnění všech požadavků GDPR?:

“V případě selhání při zajištění shody s požadavky GDPR, hrozí tzv. “odpovědným osobám” i trestněprávní odpovědnost dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 Sb.).” 

Odpovědnou osobou jsou dle tohoto zákona:

  • Statutární orgán nebo člen statutárního orgánu.
  • Ten, kdo vykonává rozhodující vliv.
  • Zaměstnanec nebo osoba ve vedoucím postavení.

Zákony pro oblast IT

  • 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (ten bude nahrazen nařízením GDPR).
  • 104/2017 Sb. – novela zákona o informačních systémech veřejné správy, která mění zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů. Tento zákon s GDPR souvisí: u zákona o kybernetické bezpečnosti se jedná o povinnost monitorovat dění ve vlastní síti a informačních systémech, umět vyhodnotit bezpečnostní útoky a včas je oznámit bezpečnostnímu úřadu (tedy spíše technický zákon, jehož cílem je ochrana funkčnosti a dostupnosti základních služeb – energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura, chemický průmysl a veřejná správa). U GDPR jde o ochranu osobních dat. Oba tyto zákony však mají společný průnik v ochraně.
  • 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů.
  • 127/2005 Sb., o elektronických telekomunikacích a o změně dalších zákonů.
  • 181/2014 Sb., o kybernetické bezpečnosti a na něj navazující vyhlášky. Je novelizován zákonem č. 104/2017 Sb.
  • 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce.
  • Připravuje se novela vyhlášky č. 316/2014 Sb. (souvisí se 104/2017 Sb.), o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, která bude přesně definovat, jaká bezpečnostní opatření bude muset poskytovatel základní, popřípadě digitální služby implementovat.
  • 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů.
  • 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (tzv. antispamový zákon).
  • eIDAS je zkratka pro nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu. Toto nařízení ruší směrnici Evropské unie 1999/93/EC. Aktuální a platná verze eIDAS byla publikována 23. července 2014.
  • ePrivacy, které upřesní požadavky nařízení GDPR v prostředí elektronických komunikací.
  • Další zásadní novela zákona o kybernetické bezpečnosti, která je reakcí na směrnici EU č. 2016/1148 – NIS (Network and Information Security), o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, v současné době čeká na zveřejnění ve sbírce zákonů (sněmovní tisk 984). Tato novela určuje zejména dvě nové skupiny povinných subjektů: poskytovatele základních a digitálních služeb. Současně definuje vznik Národního úřadu pro kybernetickou a informační bezpečnost, který bude nově řešit problematiku kybernetické bezpečnosti (převezme tuto povinnost od NBÚ).

Existují také specifické vyhlášky pro jednotlivé obory (vyhlášky ČNB, vyhlášky ministerstva zdravotnictví apod.).

  • Zdravotnictví:
    • Zákon č. 20/1966 Sb., o péči o zdraví lidu, § 67b Zdravotnická dokumentace.
    • Zákon č. 499/2004 Sb., o archivnictví a spisové službě.
    • Zákon 372/2011 Sb. (zákon o zdravotních službách), který definuje právo na respektování soukromí při poskytování zdravotních služeb.
  • Další zákony, které upravují především závazkové právní vztahy (lze je použít v případě protiprávního jednání):
    • Zákon č. 89/2012 Sb. – občanský zákoník.
    • Zákon č. 40/2009 Sb. – trestní zákoník.
    • Zákon č. 250/2016 Sb. – zákon o odpovědnosti za přestupky a řízení o nich.
    • Zákon č. 418/2011 Sb. – zákon o trestní odpovědnosti právnických osob a řízení proti nim.

Hlavní zdroje informací