Časopis Myslivost

Únor / 2018

POZOR! GDPR přichází!

Myslivost 2/2018, str. 21  Martin Helebrant
Obecné nařízení o ochraně osobních údajů (GDPR) Nové nařízení o ochraně osobních údajů vstoupí v platnost 25. 5. 2018 a jak napsal již JUDr. Ondrýsek v čísle 12/2017, vztahuje se na všechny, kteří zpracovávají osobní údaje. Myslivecká sdružení všech právních uspořádání jsou nepochybně jedněmi z nich. Protože nové nařízení přináší nemalé sankce, doporučuji mu věnovat pozornost i péči. Pokud chceme být v souladu s Nařízením, pak je třeba se na něj připravit. Dovolte mi alespoň krátký přehled toho, co by měla organizace, dále jí budu říkat Sdružení, udělat, aby se do souladu dostala. Veškeré texty uvedené italikou jsou citace znění Nařízení.
 
Hned na úvod je třeba si uvědomit, že Nařízení je konstruováno tak, aby chránilo práva fyzické osoby, jednotlivce, obyčejného malého člověka, a to i proti velkým, nadnárodním korporacím typu Google, Microsoft či Amazon. Ty s rostoucím výkonem informačních, komunikačních a výpočetních technologií a s rostoucím objemem dat o fyzických osobách v kybernetickém prostoru (ale nejen v něm) získávají o člověku přehled porovnatelný se stalkingem („šmírováním“), mnohdy proti jeho vůli.
Současně Nařízení klade správci – Sdružení – nejenom odpovědnost za dodržování ustanovení, ale i také povinnost tento svůj soulad doložit (dozorovému úřadu i subjektu údajů)
 
Vnitřní aspekty Nařízení
 
Prvním krokem je učinit si přehled, kde všude vlastně Sdružení osobní údaje zpracovává. Při této zpracování takového přehledu si uvědomte, že osobními údaji Nařízení rozumí veškeré údaje o identifikované nebo identifikovatelné fyzické osobě tzv. subjektu údajů.
Osobním údajem tedy není jen jméno a rodné číslo, jak se mnoho osob mylně domnívá, ale také lokační údaje, fotografie, síťové identifikátory (tj. např. e-mailová adresa nebo telefonní číslo).
Na druhou stranu je dobré si uvědomit, že Nařízení chrání pouze fyzické osoby, nikoliv právnické osoby.
Zpracováním pak Nařízení myslí jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn s pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání uspořádání … zpřístupnění, seřazení, zkombinování … výmaz či zničení.
Tedy i prostá členská evidence je podle Nařízení zpracováním, to samé platí o vydávání povolenek k lovu, plomb, přehledech účastníků na lovu, společných lovech, akcích Sdružení, záznamy o provozování společného majetku (např. kniha jízd traktoru) apod.
Správcem je podle Nařízení fyzická nebo právnická osoba … nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Sdružení tedy je správcem, pokud zpracování nezadá jinému subjektu. V takovém případě je třeba, aby správce jasně určil, jak má zpracování probíhat, jak mají být údaje zabezpečené a aby se přesvědčil, že se tak i skutečně děje. Toto určení ideálně provede smluvním způsobem, tak, aby podmínky byly dokumentované a zpětně dohledatelné. V mnoha případech je zpracování Správci určeno zákonem – od zákona o myslivosti, přes zákon o účetnictví, zákon o zbraních apod.
 
Při zpracování je třeba vždy dbát na zásadu minimalizace rozsahu zpracovávaných osobních údajů, tedy pracovat vždy je nezbytným minimem údajů, které opravdu nezbytně nutně potřebujeme k dosažení deklarovaného účelu, je třeba dbát na přesnost a správnost osobních údajů.
Pokud skončí účel, za kterým byly údaje shromážděny a zpracovány, je třeba je buď vymazat nebo alespoň anonymizovat a především je třeba dbát na to, aby zpracování bylo bezpečné.
Nařízení činí Správce odpovědným nejenom za dodržení nařízení, ale hlavně mu ukládá povinnost být schopen svůj soulad s ustanoveními Nařízení doložit. To pak vede v podstatě nutně k nějakému dokumentovanému systému zpracování – Sdružení bude muset popsat, co, kdo, proč, jak, kdy a do kdy s osobními údaji dělá.
Nařízení říká, že zpracování osobních údajů je možné pouze zákonným způsobem. To znamená, že buď a) subjekt údajů udělil souhlas se zpracováním osobních údajů, nebo b) je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo c) je zpracování nezbytné pro splnění právní povinnosti (je určeno Správci zákonem), nebo d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů, nebo e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu, nebo f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany … před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů … zejména pokud je subjektem dítě.
Sdružení se s největší pravděpodobností nebude týkat zpracování podle písmene d) nebo e).
 
Pojďme se nyní podívat na jednotlivé právní tituly trochu blíže. Ačkoliv autoři Nařízení zařadili souhlas jako první v řadě, je z právních důvodů nejošemetnější. Dá se totiž odvolat a odvolání musí být stejně snadné, jako bylo udělení souhlasu.
Souhlas je proto třeba chápat až jako poslední, „zoufalou“ cestu o dosažení zákonnosti.
Velmi jasné a pro praxi dobře uchopitelné je zpracování pro plnění smlouvy a zpracování nezbytné pro splnění správní povinnosti. Pokud máme možnost, je vhodné zpracování zaštítit právě těmito ustanoveními.
Často bude Sdružení asi operovat se zpracováním na základě svých oprávněných zájmů. To je ale nutné doložit – například tím, že se jedná o zájem uvedený ve stanovách Sdružení (třeba společný výkon práva myslivosti, pronajímání honitby, …).
Dále pak musí Sdružení vyvážit význam zpracování se zájmy subjektu údajů a o tomto kroku by opět měl existovat nějaký záznam, v opakovaných případech vyvažování je žádoucí i jasná metodika.
 
Zpracování údajů je možné vždy jen za jasně deklarovaným účelem, který musí být v souladu s požadavkem na zákonnost. Není možné osobní údaje zpracovávat či hromadit bezúčelně, je třeba je zpracovávat pouze v nejmenším nezbytně nutném rozsahu, a pokud účel skončí, je třeba zpracování ukončit a zpracovávané údaje buď vymazat, nebo aspoň anonymizovat – tedy upravit do takové podoby, která neumožňuje z údajů identifikovat individuální osobu.
Stejně tak není možné libovolně měnit v průběhu zpracování účel, zejména ne bez vědomí subjektu údajů.
Pokud již je nutné zpracovat údaje pro jiný účel, než pro který byly shromážděny, pak je třeba zohlednit, jaké údaje se mají zpracovat, jaká je vazba mezi původním a novým účelem a okolnosti, za jakých byly osobní údaje shromážděny a dále zohlednit důsledky zamýšleného zpracování údajů pro subjekty a v neposlední řadě také existenci vhodných záruk zabezpečení zpracování (například šifrování nebo anonymizace).
Vhodným účelem je zejména naplnění zákonné povinnosti, k ní se většinou vážou i skartační lhůty, tedy maximální doba skladování údajů.
 
Sdružení tedy potřebuje vhodnou formou podchytit, kde pracuje s osobními údaji, za jakým účelem a na jakém právním základě.
Ale ani zdaleka tím nemá splněno. Správce je povinen zpracovávané osobní údaje záměrně a standardně chránit a zabezpečit před zneužitím.
Aby toto byl schopen doložit, musí popsat, jak má zpracování probíhat, kde mají být osobní údaje uložené, jak mají být zabezpečené a kdo k nim má mít přístup. Současně musí posoudit, jaká rizika pro práva a svobody subjekty údajů mohou ze zpracování vzejít – opět je vhodné mít pro tento účel nějakou formální, jednoduchou metodiku, aby posuzování bylo konzistentní napříč různými zpracováními.
Požadavek na záměrnou ochranu znamená, že v popisu zpracování a v případných pokynech pro konkrétní zpracovatele je definovaná potřebná míra ochrany (přiměřená zjištěnému riziku).
Pokud jsou někde v průběhu zpracování možnosti rozhodnutí, pak základní nastavení rozhodnutí jsou taková, aby zpracování bylo co nejbezpečnější a aby případné změkčení pravidel vycházelo buď z vůle subjektu (pozor, zase se bude jednat o nějakou formu souhlasu, tedy aktu, který může subjekt kdykoliv zrušit) nebo z nějaké jasně popsané a řádně vyhodnocené příčiny.
 
Při popisování procesů zpracování je třeba mimo jiné i zajistit dostupnost údajů v případě, že dojde k nějaké mimořádné události, že nedojde k neoprávněnému pozměnění (ať už úmyslnému nebo neúmyslnému) osobních údajů a schopnost obnovit údaje v případě fyzických či technických incidentů (ztráta papírové dokumentace, havárie disku počítače apod.). Tedy je třeba mít data uložená sice bezpečně, ale současně i mít nějakou záložní kopii, která nám umožní obnovu dat v případě jejich ztráty.
Nařízení klade Správci za povinnost pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Takže pokud má Sdružení svoje osobní údaje například na počítači, je dobré mít i záložní kopii (např. na externím disku, flash disku apod), pokud se evidence vede v papírové podobě (např. provozní kniha střelnice), i pak je dobré vytvářet kopii – například v podobě scanu. A počítat třeba i s tím, že kolega mající konkrétní agendu ve Sdružení na starosti, nemusí být dostupný zrovna ve chvíli, kdy vy byste přístup k jím zpracovávaným údajům potřebovali.
 
Sdružení je pochopitelně povinno zpracování osobních údajů chránit. Takže například osobní údaje v papírové podobě nenechávejte nikde jen tak bez dozoru ležet, již zmíněná provozní kniha střelnice by neměla zůstávat jen tak někde „v šuplíku“, spíš je vhodné ji udržovat v pevné, uzamčené schráně zabezpečené proti ukradení například spojením se stavební konstrukcí domu. Vhodným příkladem takové schrány je třeba trezor na zbraně, kterým disponuje ze zákona prakticky každý myslivec.
V případě elektronických dat lze za minimální opatření považovat, že v počítači je instalován a řádně aktualizován kvalitní antivirový program, v případě, že se jedná o zpracování údajů, které představují větší riziko pro práva a svobody subjektu údajů, pak je třeba ochranu stupňovat, například použitím šifrovaného disku, komplexnějším ověřováním identity osob oprávněných zpracovávajících údaje (tzv. autentizace) využitím vícestupňových zabezpečení nebo biometrických dat.
Aby mohlo Sdružení přijmout potřebná opatření, je třeba, aby rizika plynoucí ze zpracování osobních údajů napřed posoudilo. Nařízení nedává jasnou metodiku, jak rizika posuzovat, ale Sdružení by mělo postupovat při posuzování systematicky, jednotně napříč zpracováními a také zpětně dohledatelně, tedy mělo by být schopno doložit, proč a jak dané zpracování posoudilo a vyhodnotilo. Obecně se lze domnívat, že stačí dvoustupňová škála posouzení rizik – tedy vysoké a nízké, přitom v případě vysokých rizik je vhodné, aby Sdružení přijalo takové opatření, která vyváží vysoké riziko zpracování.
 
Nařízení také ukládá Správci v případě narušení zabezpečení osobních údajů povinnost informovat Dozorový úřad a dotčené subjekty údajů. Z tohoto požadavku plyne, že když už nebudete schopni narušení zabezpečení osobních údajů zabránit, pak musíte být schopni narušení (např. neoprávněné pozměnění nebo smazání) alespoň zjistit a mít připravené mechanismy, kterými Dozorový úřad budete informovat.
Lhůta na informování je poměrně hodně krátká, pouhých 72 hodin od zjištění narušení. Současně s informací o narušení je Sdružení povinno přijmout nebo aspoň navrhnout opatření, která vyřeší zjištěné narušení a případně zmírní možné nepříznivé dopady.
 
Každý správce a zpracovatel, tedy i Sdružení, musí vést záznamy o činnostech zpracování, které obsahují jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců a plánované lhůty pro výmaz jednotlivých kategorií osobních údajů, případně i popis technických a organizačních bezpečnostních opatření.
Této povinnosti se může zpracovatel zprostit, pokud má méně než 250 zaměstnanců. To ale neplatí, pokud zpracování je pravidelné a pokud pravděpodobně představuje riziko pro práva a svobody subjektu údajů. Je na úvaze každého Sdružení, zda tyto podmínky splňuje nebo nikoliv, obecný názor ale je, že myslivecká sdružení záznamy o činnostech zpracování vést musí.
Současně Sdružení musí nastavit, respektive určit, jak bude spolupracovat s Dozorovým úřadem, pokud ten požádá o spolupráci s plněním jeho úkolů.
 
Vnější aspekty Nařízení
 
Až dosud jsme se zabývali povinnostmi zaměřenými především dovnitř Sdružení. Sdružení ale plynou nemalé povinnosti také navenek, vůči subjektům údajů.
Sdružení především musí vytvořit mechanismy, které umožní subjektům údajů naplnění jejich práv. Především je to transparentnost zpracování – subjekty mají právo na to, aby byly stručným, transparentním, srozumitelným a snadno přístupným za použití jasných a jednoduchých jazykových prostředků informovány o zpracování osobních údajů prováděných Sdružením.
Informace musí obsahovat totožnost a kontaktní údaje správce, tím bude ve zdrcující většině případů Sdružení, případně i kontaktní údaje pověřence na ochranu osobních údajů (pokud ho Sdružení má); účely a právní základ zpracování osobních údajů; oprávněné zájmy Sdružení, pokud toto zpracovává osobní údaje na základě oprávněného zájmu; příjemce nebo kategorie příjemců osobních údajů, pokud je sdružení předává dál.
Kromě toho musí Sdružení poskytnout (již při získání údajů) subjektu údajů i informace o době, po kterou budou údaje zpracovávány. Pokud není možné určit přesné datum, pak musí informovat o kritériích použitých pro stanovení doby zpracování.
Současně poskytne subjektu informaci o existenci práv subjektu na přístup k údajům, na jejich opravu nebo výmaz popřípadě na omezení zpracování, zejména pokud se jedná o plně automatizované zpracování (to asi nebude případ našich Sdružení), o právu na odvolání souhlasu a o právu podat stížnost u Dozorového úřadu.
V neposlední řadě také informuje subjekt, zda poskytnutí osobních údajů je dáno zákonným či smluvním požadavkem a o důsledcích, které má případné neposkytnutí údajů.
Pokud Sdružení nezískalo osobní údaje přímo od subjektu, uvede zdroj údajů.
Pokud se Sdružení v průběhu zpracování údajů rozhodne je zpracovat i pro jiný účel, než pro jaký je původně shromáždilo, předem o tom subjekt informuje.
 
Současně musí Sdružení zajistit, že subjekt bude moci používat svá práva. Jedná se o již zmíněné právo subjektu na přístup k jeho osobním údajům, na opravu, právo na výmaz (tzv. „právo být zapomenut“) když pomine účel nebo zákonnost zpracování, právo na omezení zpracování (např. z důvodu použití nepřesných údajů) a na přenositelnost údajů.
Výkon práv subjektů je pro subjekt až na zcela výjimečné případy vždy zdarma a včas. Včas zde znamená do 30 dnů od dne, kdy subjekt svoje právo uplatnil.
Zde je nutno mít na paměti, že právo subjektu na přístup k jeho osobním údajům obsahuje i nárok na kopii zpracovávaných údajů a na skutečnost, že pokud subjekt podal žádost o přístup v elektronické formě, pak je třeba mu v elektronické formě také odpovědět.
Zde považuji za vhodné upozornit, že je třeba zajistit, aby adresa sídla Sdružení byla skutečně funkční a aby Sdružení mělo nastaveny takové procesy a mechanismy, že bude schopné včas na uplatnění práva subjektu údajů zareagovat. To samé platí o schopnosti reagovat na požadavky Dozorového úřadu na spolupráci.
 
V této souvislosti bývá zmiňována potřeba jmenování Pověřence pro ochranu osobních údajů. Pověřenec je již z definice poměrně náročná pozice s nemalou pravomocí i odpovědností a jeho ustanovení jen těžko bude zdarma. Přitom ustanovení Pověřence ze Sdružení nesnímá povinnosti uvalené na ně Nařízením.
Pověřenec je (se značným zjednodušením) pouze osoba, která může na sebe převzít komunikaci se subjekty i s Dozorovým úřadem a která by měla být jakýmsi rádcem Sdružení ve věcech zpracování osobních údajů.
Soulad s Nařízením lze dokladovat i přijetím vhodného kodexu chování, zaregistrované u Dozorového úřadu.
Nařízení také předpokládá vznik systému vydávání osvědčení o souladu či vydávání pečetí dokládajících ochranu osobních údajů. Jenže, aby bylo možné použít tento mechanismus, musí být napřed Dozorový úřad řádně ustaven. Dozorovým úřadem bude s největší pravděpodobností stávající Úřad na ochranu osobních údajů, ale zdá se, že jeho formální ustavení bude mít zpoždění.
 
Jak jsem ukázal v předchozím textu, snažil jsem se být přiměřeně konkrétní v krocích, které před mysliveckými spolky stojí. Určitě to není jednoduchý, pouze administrativní krok.
Jedná se o poměrně komplexní zásah do života a zvyklostí asi všech mě známých mysliveckých spolků, ať již je jejich právní forma jakákoliv. Bez ohledu na to, zda Česká republika přijme či nepřijme nový zákon, který by nahradil stávající zákon 101/2000 Sb. ochraně osobních údajů,
Nařízení na ochranu fyzických osob v souvislosti se zpracováním osobních údajů a jejich volným pohybem bude účinné od 25. 5. 2018. Do té doby je třeba, abychom se na něj připravili. Zanedbání by mohlo mít fatální následky.
Ing. Martin Helebrant, MBA
 
Poznámka na závěr:
Společnost Myslivost, s.r.o. jedná o zorganizování několika přednášek na téma GDPR a vytvoření jakéhosi vzorového manuálu pro myslivecké spolky. O nabídce v konkrétních termínech a místech budeme informovat jak na webových stránkách www.myslivost.cz, tak na stránkách časopisu Myslivost.
vychází v 7:33 a zapadá v 17:55 vychází v 17:31 a zapadá v 4:33 Nákupní košík 0
 
Zpracování dat...