facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2018 , IT právo

GDPR od A do Z

Je váš informační systém „GDPR Ready“?

Petr Otevřel


GDPRV dalším díle našeho seriálu věnovanému nařízení 2016/679 o ochraně osobních údajů (dále „Nařízení“), častěji označovaným anglickou zkratkou GDPR, se budeme věnovat zásadě Privacy by Design. V praxi se s touto problematikou setkáváme jednak u těch našich klientů, kteří jsou v roli dodavatelů informačních systémů, ale také u klientů, kterým provádíme analýzy a následnou implementaci opatření nezbytných k tomu, aby byl jejich provoz v souladu s Nařízením.


Obecně k zásadě Privacy by Design

Zásada Privacy by Design není v Nařízení vyjádřena nikterak přesně ani není upravena jako samostatný právní institut, jako je tomu např. u povinnosti vést záznamy o činnostech zpracování. Zatímco ohledně povinnosti vést záznamy o činnostech zpracování Nařízení jasně stanoví, na koho se povinnost vést záznamy vztahuje a co všechno musí záznamy obsahovat, zásada Privacy by Design je formulována jakoby mimochodem, bez dalších podrobností, přičemž pojem „Privacy by Design“ se v celém Nařízení nevyskytuje vůbec. Z čl. 25 Nařízení, nazvaném „Záměrná a standardní ochrana osobních údajů“ vyplývá:

  • Povinnost správce osobních údajů „s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu a kontextu zpracování“ a rovněž s přihlédnutím k rizikům souvisejícím se zpracováním, přijmout vhodná technická a organizační opatření (např. pseudonymizace), jejichž účelem je „provádět zásady ochrany údajů jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky Nařízení“.
  • Povinnost správce zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, které jsou pro každý konkrétní účel daného zpracování nezbytné (tzv. zásada minimalizace údajů, viz čl. 5 odst. 1 písm. c) Nařízení), přičemž tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Dále by tato opatření měla zamezit tomu, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Možná se teď ptáte, kde tedy je ta zásada Privacy by Design a co vlastně znamená? Samotný úmysl tvůrců Nařízení a vysvětlení pojmu Privacy by Design se skrývá v bodu 78 recitálu (preambule) Nařízení, kde se uvádí, že správce by měl zhotovitele produktů, služeb a aplikací určených ke zpracování osobních údajů „vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů“. Zavedení technických a organizačních opatření je jedním ze způsobů naplnění této povinnosti.

Privacy by Design z pohledu správce osobních údajů

Jak vyplývá ze shora uvedeného, Nařízení tedy neupravuje výslovnou povinnost dodavatelů informačních systémů nebo jiných IT řešení provádět konkrétní opatření nebo úpravy, nestanoví ani jejich konkrétní výčet. Naopak měli by to být správci, kteří budou „tlačit“ své dodavatele k tomu, aby jimi dodávané informační systémy a další služby zahrnovaly nástroje a funkcionality, které jim pomohou naplnit požadavky Nařízení.

Kdo je správce?

Správcem je osoba, která stanoví účel a prostředky zpracování osobních údajů, například výrobní společnost, která využívá ERP systém nebo provozovatel e-shopu, který užívá informační systém na správu internetových stránek a celého e-shopu.

Určením účelu zpracování se rozumí vědomé rozhodnutí o tom, jaké osobní údaje budou zpracovány a za jakým účelem (provozovatel e-shopu zpracovává zejména osobní údaje kupujících za účelem realizace prodeje a zaslání zboží, ale navíc třeba i za účelem zasílání reklamních e-mailů, ukládá historii nákupů za účelem provozování věrnostního programu nebo monitoruje chování kupujících na jeho webových stránkách, toto vyhodnocuje za účelem behaviorální reklamy).

Určením prostředků zpracování se rozumí provozovatelem užívané nástroje, např. informační systém provozovaný na vlastním serveru nebo naopak v hostingovém centru, nasazení cookies a nástrojů typu Google Analytics atd.).

Jak by měl správce fakticky uplatňovat svá práva vůči dodavatelům informačních systémů? Z právního hlediska dost složitě. Jak je uvedeno výše, Nařízení nestanoví žádný konkrétní katalog požadavků či náležitostí informačního systému, který je užíván mj. za účelem zpracování osobních údajů. Proto by správce takový nárok na úpravy nebo doplnění stávajícího informačního systému mohl jen obtížně uplatnit, např. domáhat se ho u soudu.

To platí do značné míry i v případě informačních systémů typu ERP, CRM a dalších, které jsou určené k zajišťování běžné provozní agendy správců, dokonce i tehdy, pokud má správce s dodavatelem sjednánu smlouvu o poskytování služeb servisní podpory a v ní zakotvenu povinnost dodavatele poskytovat tzv. „legislativní update“, tedy aktualizace v případě změn právních předpisů. Závazek poskytovat legislativní update se totiž zpravidla vztahuje úzce na ty základní předpisy, které jsou klíčové pro provádění jednotlivých operací informačního systému. Dodavatel ERP systému tak musí promítnout např. změnu sazby DPH provedenou novelou zákona o dani z přidané hodnoty, jinak by uživatelé tohoto ERP systému vystavovali všechny nebo vybrané daňové doklady v rozporu se zákonem.

Naopak Nařízení má poměrně obecnou povahu a jasná pravidla či požadavky na Privacy by Design nestanoví (na rozdíl od zmíněných daňových předpisů, kde jsou např. uvedeny sazby daně nebo seznam zboží spadajícího do nižší sazby DPH). Proto i v případech, kdy je smluvní závazek provádět legislativní update sjednán vágně a není nijak omezen, lze dovodit povinnost dodavatele doplnit nějakou konkrétní funkcionalitu jen s ohledem na konkrétní okolnosti – např. informační systém určený ke správě osobních údajů zákazníků, jejichž osobní údaje jsou zpracovávány na základě jejich souhlasu, by měl mít nástroj umožňující zákazníkům odvolat souhlas se zpracováním osobních údajů stejně snadno, jako bylo pro zákazníka jeho udělení.

Jinými slovy paušálně vyloučit nárok správce na provedení konkrétních úprav informačního systému určitě nelze, v mnoha případech jsou smlouvy formulovány velmi vágně a neobsahují jasná omezení, např. odkazem na konkrétní právní předpisy nebo alespoň oblast, na kterou se závazek provést „legislativní update“ vztahuje.

Privacy by Design z pohledu dodavatele IS

Ačkoliv možnosti jednotlivých správců uplatnit konkrétní nároky v rámci legislativního update právní cestou jsou omezené, rozhodně to neznamená, že se dodavatelé IS nemusí vůbec problematikou GDPR zabývat.

Pro řadu správců osobních údajů totiž bude zcela nezbytné upravit technické prostředky tak, aby byli schopni vyhovět požadavkům Nařízení, a informační systémy určené mj. k nakládání s osobními údaji (zaměstnanců, obchodních partnerů, zákazníků) v tomto hrají klíčovou roli. Tlak ze strany správců tak bude na dodavatele velký, protože jim hrozí značné sankce v případě porušení povinností vyplývajících z Nařízení.

Obecně lze vymezit několik oblastí, které by dodavatelé IS měli řešit vzhledem k zásadě Privacy by Design, samozřejmě v závislosti na účelu a funkcionalitách jejich IS. Dále uvádím vybrané oblasti:

  1. Zásada „omezení uložení“ - Osobní údaje mohou být uloženy „ve formě umožňující identifikaci“ po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Buď je možné osobní údaje anonymizovat (taková úprava dat, aby nebylo možné identifikovat dotčenou osobu, tzn. osobní již nebude ve formě umožňující identifikaci), nebo je vhodné doplnit do informačního systému nástroje umožňující správci jednoduchý přehled doby uložení a případný výmaz osobních údajů v souladu s vlastními pravidly pro jejich výmaz, který daný správce má zaveden.
  2. Práva subjektů údajů – Subjekt údajů má vůči správci níže uvedená práva, přičemž realizace některých z nich ze strany správce připadá v úvahu pouze za použití informačních systémů, prostřednictvím kterých jsou osobní údaje zpracovávány. V úvahu proto připadá doplnění nástrojů, nebo přizpůsobení těch stávajících, které umožní správci vyhledávání, kategorizaci osobních údajů a v návaznosti na to výmaz vybraných osobních údajů zpracovávaných k určitému účelu (zatímco u jiné skupiny osobních údajů téže osoby může účel zpracování i nadále trvat), nebo export osobních údajů v rámci práva na přenositelnost – to vše ve lhůtách stanovených Nařízením. Subjekt údajů má právo:
    • odvolat souhlas se zpracováváním osobních údajů, přičemž odvolání musí být stejně snadné, jako bylo poskytnutí souhlasu,
    • požadovat přístup k osobním údajům,
    • požadovat opravu nebo omezení zpracování osobních údajů,
    • požadovat výmaz osobních údajů - tzv. „právo být zapomenut“,
    • na přenositelnost osobních údajů k jinému správci ve strukturované podobě a v běžně čitelném formátu,
    • na omezení zpracování osobních údajů,
    • vznést námitku proti zpracovávání osobních údajů,
    • podat stížnost u dozorového orgánu.
  3. Omezení automatizovaného rozhodování – Tento princip je zakotven v čl. 22 Nařízení, podle kterého „Subjekt údajů nemá být předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká“ – může jít např. o systém, který automaticky vyhodnocuje žádosti o úvěry, nebo sleduje výkonnost zaměstnanců a podle algoritmu rozhoduje o jejich odměnách, aniž by byl nutný zásah člověka. Takto provozovaný systém však je v rozporu s Nařízením.
  4. Dokumentace – Správce je povinen doložit dodržení souladu s povinnostmi stanovenými v Nařízení. Např. že zpracovává osobní údaje jen na základě zákonných důvodů dle čl. 6, popř. dle čl. 9 Nařízení, musí doložit případný souhlas subjektu údajů se zpracováním a celou řadu dalších povinností. Informační systém musí operace zpracování dokumentovat takovým způsobem, aby správce mohl plnění jednotlivých povinností zajistit, např. prostřednictvím nástrojů pro kategorizaci osobních údajů, šifrovacími nástroji zajišťujícími celistvost dat, časovými razítky, protože např. v případě udělení souladu prostřednictvím webového formuláře bude správce muset prokázat vedle zákonnosti takového souhlasu také to, s čím subjekt údajů souhlasil, jaký text souhlasu mu byl dán k dispozici, jakým způsobem byl informován o svých právech (včetně doložení textace).
  5. Technická opatření na ochranu osobních údajů – Jedním z výslovně zmiňovaných technických opatření je pseudonymizace (taková úprava dat, aby data byla nečitelná, avšak po přiřazení klíče bylo možno provést identifikaci dotčeného subjektu údajů, např. namísto jména se přiřadí kód Xx1X1, ale správce disponuje rovněž klíčem, kterým dokáže Subjekt údajů opětovně plně identifikovat), šifrování, zajištění „neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování“, schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů, proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření na ochranu osobních údajů.

Závěr

Správci osobních údajů, které zpracovávají prostřednictvím informačních systémů, musí analyzovat své procesy a přezkoumat, zda jsou schopni dostát požadavkům Nařízení, případně jakým způsobem tak učiní. K tomu budou potřebovat konkrétní nástroje a funkcionality v rámci informačních systémů, které užívají. Vzhledem k tomu, že zásada Privacy by Design je formulována obecně a vztahuje se na správce, nikoliv na dodavatele IS, považujeme za efektivnější metodu spíše „obchodní nátlak“ ze strany správců a diskusi s dodavateli.

Dodavatelé by si naopak měli být vědomi toho, že označení vlastního produktu jako „GDPR Ready“ systému pro ně může představovat nezanedbatelnou konkurenční výhodu, a časem v podstatě podmínku toho, aby vůbec byli konkurenceschopní. Z dlouhodobého hlediska si nelze dost dobře představit správce osobních údajů užívající informační systém, který mu neusnadňuje plnění povinností dle Nařízení, jejichž porušení je přísně sankcionováno.

Mgr. Petr Otevřel Mgr. Petr Otevřel
Autor článku působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.