V minulém článku jsme uvedli na pravou míru nejčastější mýty týkající se GDPR. Teď se prakticky podíváme na základní povinnosti, které z nového obecného nařízení o ochraně osobních údajů plynou. Jaká konkrétní opatření musíte do konce května letošního roku provést?
Univerzální návod neexistuje, ale…
Úvodem je třeba zmínit, že v oblasti ochrany osobních údajů nové nařízení stanovuje pouze cíle, jichž je třeba dosáhnout. Volbu vhodných prostředků k jejich dosažení ale ponechává na vůli a uvážení jednotlivých správců (tj. na vás). Vzhledem k tomu, že správci zpracovávají různé druhy údajů v různém rozsahu, neexistuje univerzální návod, jak v procesu příprav postupovat.
Níže uvedenými body se proto vaše organizace může inspirovat, zároveň ale může přijmout i zcela jiná opatření, která se ve vaší situaci mohou jevit vhodnější. Rozhodnutí o konkrétních opatřeních by každopádně měla vycházet z pečlivě provedeného auditu osobních údajů v rámci organizace.
Stanovte účel zpracování a dodržujte zákonné zásady…
Na základě vnitřního auditu si ujasněte, jaké osobní údaje zpracováváte, za jakým účelem, jak jsou data zabezpečena a kdo k nim má přístup. To vám umožní zjistit, zda ke zpracování údajů budete potřebovat souhlas klientů, nebo zda budete moci zpracování opřít o některý ze zbylých zákonných důvodů – například plnění smlouvy, plnění právní povinnosti či ochranu oprávněných zájmů vaší organizace (v těchto případech souhlas klientů nebude potřeba). Protože operací s osobními údaji vaše organizace samozřejmě provádí vícero, účel zpracování a jemu odpovídající zákonný důvod bude třeba stanovit pro každou z nich.
Vaší povinností bude také zpracovávat pouze ty údaje, které jsou vzhledem ke stanovenému účelu nezbytné – za účelem registrace na workshop například nemůžete po účastnících žádat rodná čísla, čísla pasu apod. Údaje můžete rovněž ukládat pouze po nezbytnou dobu – přihlásí-li se někdo k odběru vašeho newsletteru a po čase svůj odběr odhlásí, budete muset jeho údaje vymazat z databáze, neboť účel, pro který byla data užívána, odpadl. Nutno poznamenat, že internetové služby typu MailChimp, které zasílání newsletterů realizují, toto mohou (a měly by) provádět automaticky.
… a buďte připraveni to dokázat
Jako správci budete muset v případě kontroly prokázat, že při zpracování osobních údajů postupujete v souladu se zákonnými zásadami. Za tímto účelem bude více než vhodné vypracovat v rámci organizace interní směrnici, v níž bude jasně popsáno, jak s osobními údaji zacházíte, jak jsou ochráněny před neoprávněným přístupem, zcizením či ztrátou a rovněž stanovit pravidla pro zaměstnance týkající se práce s osobními údaji. Budete-li schopni prokázat, že jste zavedli vhodná organizační a technická opatření, vyhnete se případným sankcím.
Získejte od klientů platný souhlas
V oblasti udělení souhlasu se zpracováním osobních údajů přináší GDPR podstatné změny. Pro určité druhy zpracování (například za účelem zasílání reklamních sdělení, nabídek apod.), budete muset od klientů získat jejich souhlas. Aby byl takový souhlas platný, musí být svobodný, konkrétní, informovaný a jednoznačný. Co tyhle neurčité výrazy znamenají v praxi?
Řekněte klientům, co se s jejich daty bude dít, a nesnažte se nic zatajit. Oddělte souhlas se zpracováním od ostatních souhlasů (např. souhlasu s obchodními podmínkami – taktika „pokud nebudete odebírat náš newsletter, neodešleme vám zboží“ zkrátka neprojde). Potřebujete-li souhlas pro více účelů, získejte souhlas pro každý z nich zvlášť. A konečně: mlčení klienta neznamená souhlas.
Double opt-in jako pojistka
Budete rovněž muset být připraveni prokázat, že vám klient svůj souhlas udělil. Nejpraktičtější cestou, jak toho docílit, je získávat souhlas metodou tzv. double opt-in. V případě sběru údajů přes internet klient vyplní své osobní údaje a zaškrtnutím políčka vyjádří svůj souhlas s jejich zpracováním. Následně mu na uvedenou adresu přijde e-mail, v němž bude muset souhlas ještě potvrdit kliknutím na vygenerovaný odkaz. Tím dojde ke spojení osoby klienta s jeho e-mailovým účtem a vy budete moci prokázat, že vám dotyčný svůj souhlas skutečně udělil. Možnost double opt-inu by měla být standardním doplňkem webových redakčních systémů. I v případě „offline“ sběru dat (formuláře a dotazníky na ulici) bude žádoucí na poskytnuté e-mailové adresy následně zaslat potvrzující e-mail, aby bylo možné dokázat, že souhlas byl opravdu poskytnut.
Zároveň je doporučeno zrevidovat doposud udělené souhlasy a zkontrolovat, zda byly uděleny v souladu s kritérii stanovenými GDPR. Dojdete-li k opačnému názoru, bude třeba předmětné souhlasy získat znovu a tentokrát již platně.
Informací raději více než méně
GDPR rovněž přináší podrobnější pravidla týkající se informací, které musíte lidem v souvislosti s ochranou osobních údajů poskytnout. S touto povinností se dobře popasujete například vytvořením sekce „Ochrana osobních údajů“ na vašem webu, v níž uvedete veškeré nezbytné informace, a na kterou poté v případě potřeby odkážete. V této sekci by lidé měli najít:
- kontaktní údaje na vaši organizaci jakožto na správce,
- účely a právní důvody zpracování,
- subjekty či kategorie subjektů, které k údajům budou mít přístup,
- dobu uložení údajů,
- poučení o právech garantovaných GDPR a další povinné informace.
GDPR v rámci transparentnosti nařizuje, aby jazyk sdělení byl srozumitelný a jednoduchý, ideálně přizpůsobený vaší cílové skupině. S překladem zákonných ustanovení do laického jazyka může kromě právníka pomoci šikovný copywriter.
Záznamy o činnostech zpracování nemusí být trnem v oku
U povinnosti vést tzv. záznamy o činnostech zpracování je třeba mít na paměti, že obecná výjimka pro společnosti s méně než 250 zaměstnanci není ultimátní a její reálný dosah vyjasní teprve následná praxe. Může se tedy stát, že i menší organizace budou povinny vést a v případě potřeby též aktualizovat.
Po účinnosti GDPR tak vaše organizace pravděpodobně bude muset vést a v případě potřeby též aktualizovat dokumentaci obsahující informace o operacích, které s údaji provádí. Ničeho se však nelekejte – pokud data zpracováváte (na rozdíl od mobilních operátorů či bank) pouze běžným způsobem a v menším rozsahu, lze si představit, že této povinnosti vyhovíte například vyplněním formuláře, do něhož zanesete požadované informace, tedy například popis kategorií zpracovávaných údajů, subjektů údajů či případných příjemců údajů, plánované lhůty pro výmaz jednotlivých kategorií údajů, obecný popis technických a organizačních opatření apod.
Na ohlášení bezpečnostních incidentů máte 72 hodin
Takzvaná ohlašovací povinnost je důležitou povinností správců a v praxi bude vyžadovat rychlou reakci. V případě, že nastane únik osobních údajů či porušení jejich zabezpečení (například hackerský útok na databázi klientů či odcizení hardwaru nesoucího osobní údaje), budete muset ohlásit tuto skutečnost Úřadu pro ochranu osobních údajů (ÚOOÚ), a to do 72 hodin od okamžiku, kdy se o incidentu dozvíte. V ohlášení poté budete muset uvést doplňující údaje, kterými jsou například:
- popis povahy incidentu,
- popis přibližného počtu dotčených osob,
- popis kategorií ohrožených údajů,
- pravděpodobné důsledky incidentu či popis opatření, která jste přijali či navrhli k řešení situace (blokace webu apod.).
V případě méně vážných incidentů, kdy pravděpodobnost ohrožení práv dotčených osob není vysoká, nebude ohlášení třeba. Naopak v případě vysokého rizika pro práva občanů budete povinni bezpečnostní incident nejen ohlásit ÚOOÚ, ale také oznámit osobám, kterých se týká, a to bez zbytečného odkladu. Vzhledem k relativně krátkým reakčním lhůtám lze organizacím doporučit, aby nastavily efektivní interní mechanismy vyřizování bezpečnostních incidentů, proškolily zaměstnance o tom, jak v případě incidentů reagovat, a rovněž připravily ohlašovací formuláře a oznamovací zprávy, které budou v případě potřeby jednoduše vyplněny a odeslány ÚOOÚ, případně dotčeným občanům.
Připravte se na rozmanité žádosti klientů
GDPR přiznává občanům širokou paletu práv, která mohou uplatňovat nejen vůči dozorovým úřadům, ale též vůči správcům samotným. Míra, v jaké budou tato práva uplatňována, bude samozřejmě záležet na celkové „GDPR gramotnosti“ společnosti, organizace by se však rozhodně měly připravit v maximální možné míře, neboť tím ušetří do budoucna spoustu času i prostředků.
V první řadě mají občané právo přístupu ke zpracovávaným osobním údajům. V praxi to znamená, že si od vás lidé budou moci vyžádat informaci o tom, jaké jejich údaje zpracováváte, a případně obdržet jejich výpis. Rovněž budou moci požádat o opravu údajů, budou-li se domnívat, že vámi zpracovávané údaje jsou nepřesné. Novinkou je „právo být zapomenut“, kdy lidé mohou po správci žádat výmaz jejich osobních údajů, pokud již nejsou dále potřebné pro účel, pro který byly shromážděny.
Nejprve bude vaše organizace muset umožnit lidem podávání uvedených žádostí (například uvedením kontaktní e-mailové adresy či publikací on-line kontaktního formuláře na webu) a zadruhé bude muset mít připraveny mechanismy pro jejich vyřizování. Základním předpokladem úspěchu budou dobře utříděné databáze, v nichž bude snadné konkrétní údaje najít a provádět jejich změny či bezpečný výmaz. Bezpečný „výmaz“ může být proveden i mimo virtuální prostředí, například skartováním papírových dokumentů s osobními údaji.
V článku jsme shrnuli základní povinnosti, které se neziskových organizací s účinností GDPR v praxi dotknou. Nejedná se o kompletní výčet – obecné nařízení obsahuje některé další povinnosti, které jsou často podpůrného či doplňkového charakteru. Lze očekávat, že s vývojem praxe budou povinnosti správců Úřadem pro ochranu osobních údajů upřesňovány a dodatečně interpretovány.
Autorem textu je Mgr. David Horn.
Ve SVAKu se osobním údajům věnujeme jako pověřenci i ochránci subjektů, co jejichž práv byla zasaženo.
S nastavením systému ochrany jsme pomohli desítkám správců, mezi které patří státní orgány, neziskové organizace, velcí i malí čeští podnikatelé, ale i nadnárodní korporace.
Článek byl sepsán pro Svět neziskovek.
