GDPR je pořád stejné. Ani český zákon o zpracování osobních údajů z roku 2019, který nahradil do té doby platnou „stojedničku“, čili zákon č. 101/2000 Sb., zatím nedoznal žádných změn. Znamená to snad, že se v této oblasti nic neděje?
Právě naopak!
Zákonodárci v Evropské unii i v České republice chrlí další předpisy. Upravují pravidla pro využití dat v některých oblastech, např. při marketingu, upřesňují požadavky na zabezpečení informací a chystají celý balíček nové datové regulace.
Ani soudy nezahálejí. Soudní dvůr EU i české správní soudy se tématem zpracování dat pravidelně zabývají a upřesňují řadu sporných bodů. Například rozsah informací, které musí správce dotčeným osobám o zpracování jejich dat poskytnout, praktická pravidla pro uplatnění práva na výmaz, postavení správce a zpracovatele dat atd.
A pak tu máme dozorové orgány, úřady pro ochranu osobních údajů. Dávají pokuty, vydávají metodiky a doporučení. Další, a ještě detailnější, metodiky vydávají pod hlavičkou Evropského sboru pro ochranu osobních údajů.
Pravidla pro zajištění souladu s GDPR, která byla nastavena v roce 2018, nutně zastarávají. Kvůli vnitřním změnám v organizaci i díky změnám externího prostředí, vývoji regulace a výkladové praxe.
Pojďme si proto představit 5 nejdůležitějších aktuálních témat zpracování osobních údajů a ochrany soukromí. Pokud chcete odstranit alespoň největší rizika týkající se zpracování osobních údajů, právě na tyto body byste se měli zaměřit.
1) Informační bezpečnost
Geopolitická situace, zvyšující se hodnota dat, rostoucí počty bezpečnostních incidentů a úniků osobních údajů, nová regulace v oblasti kybernetické bezpečnosti (zejména NIS2 a DORA). To vše vede k zesilujícímu důrazu na zabezpečení informací, včetně osobních dat.
Únik osobních údajů je nepříjemná věc. Kvůli veřejnosti, klientům, investorům, potencionálním kupcům, Úřadu pro ochranu osobních údajů. „Úspěšný“ kybernetický útok, který na několik dní či týdnů „vypne“ celý podnik, může ale být ještě nepříjemnější.
Podívejme se na pár příkladů ze zahraničí.
Největší řecký mobilní operátor Cosmote dostal v roce 2022 od místního úřadu pro ochranu dat pokutu 6 milionů euro (asi 150 milionů korun) nejen za to, že mu unikla data více než 4 milionů zákazníků, ale rovněž kvůli tomu, že incident dostatečně neprošetřil. Do investigace totiž nezahrnul svoji mateřskou společnost, které se incident rovněž týkal.
Britský stavební podnik Interserve Group Limited nedávno dostal pokutu 4,4 milionů britských liber (zhruba 123 milionů korun českých) za to, že zabezpečení dat podcenil úplně. Používal neaktuální software, neměl nastavený proces pro řešení alertů, neškolil zaměstnance. A proto se jednoho stalo, že mu unikly údaje o zhruba 113.000 současných a bývalých zaměstnancích, včetně citlivých údajů o etnickém původu, zdravotním postižení atd.
Zabezpečit informace, zajistit kontinuitu provozu, chránit svoje ICT nástroje, školit management i zaměstnance a řešit bezpečnostní incidenty. To řadě organizací uloží také nová kyberbezpečnostní směrnice, tzv. NIS2. V režimu současného zákona o kybernetické bezpečnosti je zhruba 400 organizací, NIS2 dopadne minimálně na 6.000 tisíc. I proto se vyplatí bezpečnosti osobních údajů a dalších informací plnou pozornost už nyní, celý systém ochrany informací nastavit správně a doložit tak splnění více různých regulací, jimiž se organizace musí, nebo v dohledné době bude muset, řídit.
Velmi dobrým návodem mohou být ISO normy řady 27000, které komplexně upravují celý systém informační bezpečnosti.
https://www.tx.cz/isms/iso-27001-transition-bridge-upgrade-2022
2) Transparentnost
GDPR klade velký důraz na transparentnost zpracování osobních údajů.
Každý, kdo zpracovává osobní údaje, musí dotčené osoby, klienty, zaměstnance atd., o zpracování jejich dat informovat už na začátku, když od nich jejich údaje shromažďuje. Subjekt údajů může ale kdykoliv přijít se žádostí o větší detail o zpracování jeho dat. A správce mu další, detailní, informace musí poskytnout.
Tato povinnost předpokládá kontrolu a znalost vlastní činnosti při zpracování dat. Aktuální přehled o účelech a právních titulech zpracování, datových toků, využívaných nástrojů, příjemců dat, retenčních dob atd.
Že to v praxi často není lehké, to dokládá i aktivita dozorových úřadů a soudů.
Evropský sbor pro ochranu osobních údajů (EDPB) v dubnu roku 2023 vydal metodiku k uplatnění práva na přístup ke zpracovávaným datům. Na krásných 60 stranách se zabývá všemi aspekty jednoho článku GDPR, konkrétně článku 15, který upravuje právě právo subjektu údajů na informace o zpracování jeho dat.
Už jste metodiku k právu na přístup k osobním údajů četli? A zavedli do praxe?
Některé problematické body práva na přístup k osobním údajům upřesňují i soudy. Dotčená osoba má mj. právo vědět, komu dalšímu správce jeho osobní údaje poskytnul. GDPR k tomu používá trochu nejednoznačnou formulaci, že subjekt údajů musí být informován o „příjemci nebo kategoriích příjemců“.
Konkrétní příjemci, nebo stačí jen jejich kategorie? Například „další členové podnikatelského uskupení“ nebo „naši obchodní partneři uvedení na webových stránkách“?
Soudní dvůr EU v lednu roku 2023 v kauze Rakouská pošta upřesnil, že pokud o to subjekt údajů požádá, správce mu musí sdělit, komu přesně jeho osobní údaje předal. Obecná kategorie typu „našich obchodní partneři“ nepostačí. A pokud toho správce nebude schopen, tak mu hrozí pokuta ve známé výši 20 milionů euro nebo 4 % z ročního obratu…
https://www.tx.cz/gdpr/konkurencni-utok-na-eshop
3) Pověřenci pod drobnohledem
Evropský sbor pro ochranu osobních údajů i český ÚOOÚ v roce 2023 zkontrolují pověřence pro ochranu osobních údajů. Jejich jmenování, kompetence, kvalifikaci, zdroje a organizační začlenění.
Role pověřence je u větších správců a zpracovatelů dat klíčová. Mají, resp. měli by mít znalost vnitřních procesů a datových toků a jsou odpovědní za nezávislé monitorování toho, jak je GDPR v praxi dodržováno. Mají být zapojení do všech relevantních procesů, přípravy nových produktů, řešení případů porušení zabezpečení osobních údajů či vyřizování žádostí dotčených osob, např. uplatnění práva na přístup.
Má váš pověřenec stále dostatečné a aktuální znalosti?
Je správně začleněn v organizační struktuře? Disponuje kapacitami na řešení všech požadavků vedení, byznysu i subjektů údajů? A není náhodou ve střetu zájmů, protože kromě role pověřence plní i jiné úkoly?
https://www.tx.cz/gdpr/re-certifikace-poverence-ochrany-osobnich-udaju
4) Ochrana soukromí online
Velká část zpracování osobních údajů se odehrává online. Nabízení produktů a služeb, komunikace se zákazníky, marketing, sdílené služby v oblasti zpracování dat a ochrany informací atd.
Již od roku 2022 máme novou úpravu pro využití cookies a telemarketing v zákoně o elektronických komunikacích. V kostce řečeno, opět byl posílen důraz na transparentnost a souhlas dotčených osob. Kompetence k dozoru, včetně ukládání pokut, má jak Úřad pro ochranu osobních údajů, tak Český telekomunikační úřad (ČTÚ). Oba úřady vydaly návod, metodiku, jak se s novými pravidly popasovat. Ne všichni se jejich doporučením řídí, proto už začaly padat první pokuty. ČTÚ na konci roku 2022 udělil za protiprávní telemarketing pokutu ve výši 420.000 Kč.
Využívání sdílených nástrojů pro správu a uchování dat, automatické zpracování informací, přesun komunikace s klienty do online světa. To jsou jasné trendy. Z obchodního hlediska je důležité je sledovat, nezaostat za konkurencí. Stejně důležité ale je znát a aplikovat pravidla pro ochranu soukromí online, abyste si s využitím moderních nástrojů a produktů nezpůsobili víc škody než užitku.
https://www.tx.cz/eprivacy/eprivacy-officer
5) A zase ty incidenty
Ještě jednou kyberbezpečnostní incidenty, tentokrát z jiného úhlu pohledu.
Správce a zpracovatele osobních údajů můžeme rozdělit do dvou skupin: Ti, kteří už kybernetickému bezpečnostnímu incidentu s dopadem na osobní údaje čelili, a ti, kteří o něm zatím nevědí. Jinak řečeno, k chybám a omylům dochází u každého. A k tomu ještě cílené útoky, vyhledávání slabin a jejich využívání ze strany kriminálních skupin. Nebo agresivní konkurence z druhé strany světa, která by se ráda dostala k vašemu kódu, pracovním postupům či klientské databázi.
Incidenty s dopadem do osobních údajů je nutno nejen včas zachytit, ale také řešit. V plném rozsahu, to znamená i ve vztahu ke svým dodavatelům, partnerským organizacím či dalším subjektům z podnikatelského uskupení.
Kromě toho je také nutné incidenty, které pro dotčené osoby představují významnější riziko, ohlásit dozorovému úřadu. GDPR říká, že to správce musí učinit bez zbytečného odkladu, nejpozději do 72 hodin. Správcům se to ne vždy podaří, proto jim evropské úřady poskytují i detailnější návody a formuláře.
Evropský sbor pro ochranu osobních údajů vydal dvě nové metodiky:
K posuzování závažnosti incidentu, tzn. jaké riziko konkrétní incidentu představuje pro práva a svobody dotčených osob
K procesu oznamování incidentů jako takovému
Český Úřad pro ochranu osobních údajů také nelenil. Pro správce připravil osmistránkový formulář, pomocí kterého mohou úřad o incidentu v dostatečném rozsahu informovat.
Kyberbezpečnostní nehody, incidenty a útoky tu s námi jsou a budou. Některé jsou navíc tak záludné, že je organizace musí hlásit jak Úřadu pro ochranu osobních údajů kvůli GDPR, ale do budoucna i Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), protože se bude jednat o incident podléhající NIS2. A třeba ještě dalším úřadům, kvůli sektorové regulaci v oblasti poskytování platebních služeb nebo služeb elektronických komunikací.
Proto je velmi rozumné incidentů předcházet. A nastavit rovněž komplexní systém pro včasné zachycení, identifikaci, řešení a notifikaci těch, které se přes všechnu vynaloženou snahu přece jenom stanou. A stanou se každému!
https://www.tx.cz/gdpr/gdpr-hackersky-utok-na-data-nemocnice
