Co znamená přístup založený na riziku a jaké nové instituty přináší?
Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.
V pojetí obecného nařízení tento přístup navíc znamená aplikaci dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele, patří:
- záznamy o činnostech zpracování,
- jmenování pověřence pro ochranu osobních údajů,
- posouzení vlivu na ochranu osobních údajů,
- předchozí konzultace s dozorovým úřadem.
Tyto zmíněné povinnosti (vyjma vypracování záznamů o činnostech zpracování) mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.
Novou povinností je i povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.
Tato povinnost se z povahy věci může týkat každého správce či zpracovatele (ten oznamuje správci), a to tehdy, pokud je porušení zabezpečení už závažnějšího charakteru, tj. musí z něj vyplývat riziko pro práva a svobody fyzických osob. Pro uplatnění povinnosti oznámit porušení zabezpečení subjektu údajů musí být takové porušení vysoce rizikové pro práva a svobody fyzických osob.
Jak správce dokládá soulad zpracování?
Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správcům, jak výslovně zmiňuje obecné nařízení, napomáhat mimo jiné záznamy o činnostech zpracování a pověřenec pro ochranu osobních údajů, kodexy, osvědčení (pečetě, známky).
Základním instrumentem pro většinu správců by měly být záznamy o činnostech zpracování dle článku 30 obecného nařízení. Záznamy o činnostech zpracování obsahují obecné informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí.
Pověřenec pro ochranu osobních údajů má u některých správců a zpracovatelů sloužit jako povinný prvek, který má dbát, aby zpracování osobních údajů u některých správců bylo v souladu s obecným nařízením.
Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví). Vypracování kodexu není povinné, ani se k jeho dodržování přihlásit. Jde o fakultativní možnost.
Osvědčení má sloužit k prokázání souladu zpracování s obecným nařízením. Není stanovena povinnost získat osvědčení, jde o fakultativní možnost, kterou správce či zpracovatel může deklarovat soulad zpracování osobních údajů s obecným nařízením. Osvědčení budou moci vydávat pouze k tomu akreditované subjekty.
Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.
Dokládání souladu ve shora uvedeném smyslu se uplatní zejména u organizací, na které se vztahují dodatečné povinnosti založené na riziku.
Soulad zpracování však musí být i u ostatních správců, na které se nevztahují dodatečné povinnosti. Ti zejména musí plnit základní zásady zpracování, adekvátní zabezpečení osobních údajů a dodržovat práva subjektu údajů.
Kdo bude vydávat kodexy a osvědčení?
Kodexy budou vypracovávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů, přičemž návrh kodexu musí být předložen Úřadu, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictví.
Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. Takový subjekt musí být akreditován osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona č. 22/1997 Sb., o technických požadavcích na výrobky. V praxi bude tedy akreditovat subjekty pro vydávání osvědčení Český institut pro akreditaci.
Kdy musí správce provést posouzení vlivu na ochranu osobních údajů?
Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
- u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
- u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
- u rozsáhlého systematického monitorování veřejně přístupných prostorů
Nadto je nutné provést posouzení vlivu u zpracování, které splní kritéria podle seznamu druhů operací zpracování podléhající povinnosti posouzení vlivu, které Úřad vydal.
Jak vidno, aby nastala tato povinnost, musí se již skutečně jednat o zpracování, které přináší vysoké riziko pro práva a svobody fyzických osob. Netýká se tedy každého zpracování.
Podrobněji k této povinnosti viz Pokyny Evropského sboru pro ochranu osobních údajů k posouzení vlivu na ochranu osobních údajů.
Dle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanovení povinnost takové zpracování osobních údajů provést.
Kdy musí správce zpracování osobních údajů s Úřadem konzultovat?
Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Jinými slovy, pokud správci i po přijetí opatření ke zmírnění vysokého rizika toto vysoké riziko přetrvává. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko s dozorovým úřadem. K této povinnosti viz Pokyny Evropského sboru pro ochranu osobních údajů k posouzení vlivu na ochranu osobních údajů.
Co jsou záznamy o činnostech?
Záznamy o činnostech zpracování představují do jisté míry náhradu za zrušenou oznamovací povinnost. Správce a zpracovatel jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 obecného nařízení. Základní vzor k vyplnění můžete nalézt zde. Tento vzor je využitelný zejména pro nejmenší typy správců. Záznamy o činnostech zpracování nemusí vést drobný živnostník (např. kadeřnice mající seznam klientů apod.).
Kdo nemusí vést záznamy o činnostech zpracování?
Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech. Do tohoto počtu se počítají i zaměstnanci na dohody o pracích konaných mimo pracovní poměr či agenturní zaměstnanci. Tato výjimka je však v praxi neuskutečnitelná z důvodu, že každé zpracování není příležitostné. Proto, pokud nejde o malé správce, by měli mít záznamy vypracovány správci a zpracovatelé nehledě na tuto výjimku.
Je pravda, že byla zrušena oznamovací povinnost?
Ano, obecné nařízení oznamovací povinnosti zrušilo, jelikož ji nepřevzalo. Roli oznamovací povinnosti přebírají především záznamy o činnostech zpracování (do jisté míry si správce informace, které by zasílal Úřadu pro ochranu osobních údajů prostřednictvím této povinnosti, ponechá pro své účely) a v některých případech povinnost provést posouzení vlivu na ochranu osobních údajů.
