Strašák General Data Protection Regulation

Nová legislativa Evropské unie pod tajemnou zkratkou GDPR se na nás doslova valí ze všech stran. Mediální strašák v podobě dramatických sankcí, nabídky softwarů na zajištění implementace a obsáhlá úprava nových povinností jistě neunikla pozornosti ani Vám. Jak má být ale úprava promítnuta v praxi? Co vše musím splnit a dodržovat? Jaká jsou skutečná rizika?

Ze všeho nejdříve je třeba vyřešit, zda se vůbec problematikou GDPR musím zabývat. Pojďme si proto hned na úvod říci, že nový právní rámec ochrany osobních údajů začne platit již od 25. května 2018 a týká se každého jednotlivce, společnosti či instituce, ať už jde o komerční subjekt, státní či samosprávný orgán, kdo spravuje a zpracovává osobní data o občanech Evropské unie (EU). Nebude se přitom vztahovat pouze na společnosti sídlící v Evropské unii, ale i na subjekty mimo EU, které monitorují a nabízejí své zboží a služby rezidentům EU. Cílem nové právní úpravy je zaručit občanům EU, že jejich osobní údaje budou zpracovávány jen za určitým, zákonným či předem výslovně vyjádřeným a legitimním účelem.

Předmětem ochrany jsou jednak obecné osobní údaje, typicky jméno, pohlaví, věk či datum narození, ale také technické údaje jako např. email, IP adresa nebo tzv. „cookies“. Zvláštní kategorii podléhající přísnějšímu režimu ochrany tvoří citlivé osobní údaje, mezi které se nově řadí genetické a biometrické údaje a osobní údaje dětí. Přitom je zřejmé, že chráněny jsou údaje velice širokého okruhu osob, který zahrnuje nejen zákazníky či dodavatele společností, ale také jejich zaměstnance.

Co konkrétně nová úprava po správcích a zpracovatelích osobních údajů, tedy téměř po nás všech, vyžaduje? Základním principem nové regulace je přístup založený na analýze rizik a přijetí opatření, které zamezí případnému narušení zabezpečení ochrany osobních údajů. V praxi tedy půjde zejména o to, aby v případě šetření ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ) bylo možné prokázat, že v rámci společnosti (zpracovatele osobních údajů) jsou přijata technickoorganizační opatření a nastaveny mechanismy, které zajistí zabezpečení ochrany osobních dat. Mezi konkrétními povinnosti náleží vypracování posouzení vlivu na ochranu osobních údajů, implementace záměrné a nezbytné ochrany dat, spolupráce s ÚOOÚ, vedení záznamů o zpracování osobních údajů, jmenování pověřence pro ochranu osobních údajů, povinnost hlásit porušení zabezpečení údajů ÚOOÚ a zajištění řady práv fyzických osob jako např. práva na přenositelnost údajů a právo na výmaz údajů. Tyto povinnosti si v praxi vyžádají revizi stávajících mechanismů a přijetí celé řady systémových změn uvnitř každé organizace, se kterými je spojena nemalá administrativní, technická a finanční zátěž.

V případě porušení ochrany osobních údajů hrozí společnostem pokuty, které mohou činit až 20 miliónů Euro u fyzických osob a až 4 % z ročního obratu u společností. Takto vysoce nastavené pokuty mají být dostatečně účinné a odrazující, přičemž při jejich ukládání se bude přihlížet nejen k míře škody, ale také ke konkrétním opatřením, které společnosti pro ochranu osobních dat učinily.

S ohledem na přibývající nárůst kybernetických útoků a zneužití osobních dat se může jevit, že rizika porušení zabezpečení osobních údajů jsou spojena zejména s vnějšími zásahy do společností. Značné potenciální nebezpečí může ovšem pocházet i z interních zdrojů, např. od (nespokojených) zaměstnanců či bývalých zaměstnanců. Jsou to totiž právě oni, kdo disponují podrobnými informacemi o činnosti společnosti.

Jakkoli GDPR klade vysoké požadavky na fungování každého subjektu, je zřejmé, jak ostatně vyplývá i ze sdělení zástupců ÚOOÚ, že v případě šetření bude úřad přihlížet zejména k tomu, jakou snahu společnost vyvinula za účelem dodržení právních povinností a zamezení porušení zabezpečení ochrany osobních dat. Je totiž zřejmé, že takové porušení, resp. zneužití osobních dat není možné zcela vyloučit, ale pouze minimalizovat.

Zbývá osm měsíců na přípravu pro GDPR. Je proto nejvyšší čas začít plánovat implementaci účinných právních i IT opatření tak, aby neodborný či liknavý přístup k ochraně osobních dat nevedl k vysokým sankcím, které by mohly mít až likvidační důsledek. Netřeba dodávat, že jsou to zejména statutární orgány společností, které nesou primární odpovědnost za včasné a profesionální ošetření problematiky GDPR.