Špatné zacházení s citlivými daty může vyjít na stovky milionů

Na implementaci nového nařízení mají firmy 14 měsíců. Sankce za nedodržení pravidel se zvyšuje na padesátinásobek.

Ekonom - - DALŠI TÉMATA - Michal Nulíček, partner, Rowan Legal

Společnosti by měly při zřizování pověřenců pro ochranu osobních údajů postupovat obezřetně.

O becné nařízení o ochraně osobních údajů vstoupí v účinnost za 14 měsíců. Předpis přitom obsahuje řadu změn a nových povinností, které je třeba promítnout do interních procesů, informačních systémů i klientské dokumentace. Je to krátká, nebo dlouhá doba? Co budou muset společnosti změnit, aby dosáhly souladu s nařízením a vyhnuly se nebezpečí v podobě vysokých sankcí?

Miliardové sankce

Navýšení možných sankcí z 10 milionů korun až na půl miliardy nebo čtyři procenta z ročního celosvětového obratu je bez debaty hlavním důvodem, proč je nyní takzvanému GDPR věnována velká pozornost. Řada organizací, na které nový předpis dopadá, tedy nejen podnikatelé, ale také veřejný sektor a neziskové organi‑ zace zpracovávající osobní údaje, proto nyní přemýšlí, jaké provést změny.

Povinností, které budou do své praxe muset promítnout, je přitom celá řada. V oblasti klientské dokumentace bude třeba provést revizi souhlasů a informací o zpracování osobních údajů. Podle nařízení nesmí souhlas, až na vý‑ jimky, být podmínkou pro uzavření smlouvy, musí být viditelně oddělený od jiných prohlášení a dotyčný musí souhlas udělit jednoznačnou a kladnou akcí. Problematic‑ ké proto budou například souhlasy udělené v obchodních podmínkách. Souhlasy udělené v rozporu s nařízením přitom od okamžiku jeho účinnosti nebudou platné. Infor‑ mace o zpracování osobních údajů musí nově být jednodu‑ ché a srozumitelné pro dotčené osoby. To bude vyžadovat revizi řady privacy policies a dalších dokumentů, které jsou nyní mnohdy psány složitým právnickým jazykem.

Do oblasti informačních systémů se promítne například nové právo na přenositelnost. U těch osobních údajů, které organizace shromáždí na základě souhlasu nebo plnění smlouvy, může dotčená fyzická osoba žádat jejich poskytnutí v obvyklém, strojově čitel‑ ném formátu. Pro řadu informačních systémů toto bude znamenat nutnost vybudovat funkcionalitu umožňující export dat jednotlivých osob ve for‑ mátech jako XML nebo JSON.

Pověřenec do každé firmy

Do oblasti vnitřních procesů pak dopadá například velmi diskutovaná povinnost jmenovat pověřence pro ochranu osobních údajů (takzvaného data protection officera). Jeho jme‑ nování je povinné pro orgány veřejné správy, ty, kdo v rámci své hlavní čin‑ nosti zpracovávají ve velkém rozsahu zvláštní kategorie osobních údajů nebo ve velkém rozsahu monitorují aktivity fyzických osob. Evropské dozorové orgány již v návrhu svého společného stanoviska deklarova‑ ly, že nestanoví přesná čísla, která by určovala, co se rozumí velkým rozsahem, jejich stanoviska však již obsahují konkrétní příklady – mezi ty, kdo budou s vysokou pravděpo‑ dobností muset pověřence jmenovat, spadají například banky, pojišťovny či nemocnice.

Úlohou pověřenců je dohlížet na udržování souladu s legislati‑ vou, informovat organizace o jejich povinnostech, poskytovat rady, komunikovat s dozorovým úřadem a být kontaktní osobou pro veřejnost v otázkách ochrany osobních údajů.

Pro plnění těchto úkolů musí mít pověřenec dostatečnou kvalifikaci, konkrétně se požaduje expertní znalost práva a praxe ochrany osobních údajů. Pro pověřence není stanovena žádná forma požadované zkoušky a evropské dozorové orgány neupřesnily konkrétní stupeň odborné kvalifikace, který by byl požadován, znalosti a dovednosti pověřence by vždy měly odpovídat rizikovosti konkrétních zpracování, která daná organizace provádí – čím vyšší riziko, tím vyšší kvalifikace a odbornost.

Překvapivou zprávou od evropských dozorových orgánů je to, že pokud organizace jmenuje pověřence dobrovolně a oficiálně jej jako pověřence označí, pak tento pověře‑ nec musí splňovat požadavky nařízení. Společnosti by proto měly při zřizování podobných pozic postupovat obezřetně.

Role pověřence může být zajištěna jak externě jako služba, tak interně zaměstnancem organizace. Externí zajištění může znamenat nižší pravděpodobnost, že dojde k zakázanému střetu zájmů, a může představovat efektiv‑ ní přístup k vysoce kvalifikovaným odborníkům, kterých bude na trhu značný nedostatek. Řada organizací naopak upřednostní znalosti interních procesů a chodu organizace, které jsou pro pověřence rovněž důležité, a jmenuje do této role některého ze stávajících zaměst‑ nanců. V takovém případě je vhodné doplnit jeho odbornost pomocí školení a certifikovaných kurzů, které organizaci později pomohou proká‑ zat, že její pověřenec má dostatečnou kvalifikaci. Ve všech případech však musí pověřenec mít přístup k nejvyš‑ šímu vedení společnosti a nesmí být postihován za výkon své funkce.

GDPR tedy znamená řadu podstat‑ ných změn pro všechny organizace, které zpracovávají osobní údaje. Zvláště významné budou dopady pro organizace, pro které dosud ochrana osobních údajů nebyla prioritou, a nemají proto detailně zmapován svůj soulad se současnou úpravou. Jelikož se změny netýkají jen klient‑ ských dokumentů, ale také procesů a informačních systémů, které nelze změnit ze dne na den, je zvláště pro střední a velké organizace 14 měsíců velmi krátká doba. Z toho důvodu je třeba s implementací začít co nejdříve.

Jak změny provést v praxi

V prvé řadě by každá organizace měla zmapovat zpracování osobních údajů, která provádí, a identifikovat oblasti, kde s novou právní úpravou není v souladu. Následně je třeba navrh‑ nout opatření, která jsou pro dosažení souladu potřebná. Z těchto opatření je třeba vybrat ta nejefektivnější, která přispějí k dosažení souladu nejrych‑ leji, s nejnižším úsilím a nejnižšími náklady. Takové stanovení priorit je však možné provést pouze na zákla‑ dě kvalitní analýzy, ať již provedené externě, či interně.

Každá firma by měla detailně zmapovat zpracování osobních údajů, která provádí.

Newspapers in Czech

Newspapers from Czech Republic

© PressReader. All rights reserved.