GDPR směrnice a nařízení

• Stalo se vám už někdy, že volal teleshopping a divili jste se, kde vzali telefonní číslo?
• Nebo věděli, co jste si jinde kupovali?
• Dostali jste sms od subjektu, který neznáte s obchodní nabídkou?
• Je váš soukromý e-mail zaplaven nabídkami od firem, kterým jste své údaje nedávali?

TAK PRÁVĚ I PROTO JE TU GDPR - OCHRANA DIGITÁLNĚ ULOŽENÝCH OSOBNÍCH ÚDAJŮ JAKO PRIORITA SOUČASNÉHO ON-LINE SVĚTA.

Co je GDPR ve zkratce?

General Data Protection Regulation (dále jen GDPR) – v češtině Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je závazné pro všechny členské země EU a začíná platit 25. května 2018 včetně pro všechny subjekty, které jakkoliv nakládají s osobními údaji obyvatel EU. V České republice nahradí směrnici 95/46/ES a zákon o ochraně osobních údajů č. 101/2000 Sb. Kompletní znění v CZ jazyce je dostupné zde.

GDPR je ochrana a nařízení zacházení s osobními daty residentů EU, zejména pak u cloudových a on-line řešení při získávání, zacházení a ukládání dat online a přístupu pověřených osob k nim včetně práva dotčeného získat informace o tomto nakládání s jeho údaji.

Obecně řečeno nařízení GDPR má za úkol zabránit nekontrolovanému pohybu a sdílení osobních údajů (DPIA – identifikovatelná osobní data) obyvatel s dopadem na jakoukoliv firmu nebo společnost.

Koho se GDPR týká?

GDPR je nařízení, které je závazné pro všechny subjekty, které sbírají a zpracovávají osobní údaje fyzických osob žijících v EU včetně firem a institucí ze třetích zemí působících na evropském trhu. Jde i o ty, kteří sledují chování uživatelů například při využívání aplikací nebo online webu. GDPR je tedy o bezpečnosti a zvýšení důvěry občanů EU ve vztahu ke správcům a zpracovávatelům jejich osobních údajů. Naopak se netýká občanů EU, kteří využívají data pouze k osobní potřebě nebo pracují s anonymizovanými daty.

JAKÉ JSOU SANKCE ZA NEDODRŽENÍ GDPR?

Za nedodržení nařízení GDPR hrozí vysoké sankce až 20 miliónů Euro nebo 4% z ročních celkových příjmů, podle toho, co je větší a dle toho o jaké porušení z hlediska závažnosti jde. Logicky jednorázový i kontinuální náklad na implementaci a provádění GDPR (analýza GDPR, zavedení GDPR do všech systémů, opakované kontroly GDPR) vyjde proto podstatně levněji, než čelit pokutám za nedodržení GDPR.

Proč je GDPR potřeba?

Ochrana osobních dat nebo digitálních dat, která jsou nehmotná a mohou být snadno duplikována nebo ukradena bez dotčení originálních dat s nedozírnými ztrátami není výdobytek posledních let, ale existuje od nepaměti u mnoho profesních vztahů. Tak jako je vyžadován vztah mlčenlivosti mezi právníkem a klientem nebo doktorem a pacientem o nesdělení citlivých informací, tak stejně je třeba tento proces nastavit i u osobních dat fyzických osob.
Lékařský záznam (karta / zápis …) je převáděn do digitální podoby a je nutné jej i zde náležitě chránit.

6 pilířů GDPR

• Osobní data musí být zpracovávána dle zákonů, správně a transparentně
• Osobní data musí být sbírána pouze na specifické a legitimní účely
• Osobní data musí být adekvátní, relevantní a vztažená k danému účelu zpracování
• Osobní data musí být správná a udržována aktuální
• Osobní data musí být uložena po dobu nezbytně nutnou pro dobu zpracování
• Osobní data musí být zpracovávána tak, aby nedošlo k jejich ohrožení

Co jsou osobní data v pojetí GDPR?

OSOBNÍM ÚDAJEM GDPR JE JAKÁKOLIV INFORMACE VZTAHUJÍCÍ SE K IDENTIFIKOVANÉ NEBO IDENTIFIKOVATELNÉ FYZICKÉ OSOBĚ. COŽ JE NAPŘ.:

• jméno, pohlaví, věk, datum narození, osobní stav, osobní údaje dětí
• fotografie, videozáznam, čísla identifikačních průkazů, rodné číslo, občanství
• elektronický identifikátor – IP adresa, e-mail, poloha, cookies
• telefonní číslo, adresa trvalého i přechodného pobytu, pracovní adresa, další identifikační údaje vydané státem (např. SPZ)
• rasová, náboženská příslušnost, etnický původ, kulturní profil, politické názory, filozofické vyznání, členství v odborech atp.
• zdravotní údaje, sexuální orientace, genetické a biometrické údaje
• trestní delikty, pravomocné odsouzení

Z POHLEDU GDPR JSOU PAK NAOPAK VYLOUČENA TATO DATA:

• anonymní údaje
• údaje o zemřelých osobách
• údaje získané pro potřeby osobní povahy, které nikde nebudeme sdílet

Základní terminologie GDPR

• Biometrická data jsou osobní údaje, které individuálně popisují a odlišují osobu a dovolují její plnou identifikaci (otisky prstů, snímek obličeje, oční sítnice …).
• Zdravotní data jsou údaje o fyzickém i duševním stavu osoby včetně informace o zařízeních poskytujících zdravotní péči, jejichž odhalení by mělo za následek identifikaci fyzického nebo duševního stavu osoby. Tato data jsou pod zvláštní vyšší ochranou v rámci GDPR. Zvláštním segmentem těchto dat jsou genetická data, která identifikují osobu na základě genetických charakteristik (např. biologické vzorky atd.)
• Osobní data označují jakoukoliv informaci, identifikátor umožňující identifikovat osobu a to přímo nebo nepřímo či částečně – např. jméno, identifikační číslo, data o poloze, online identifikátor anebo jakýkoliv jiný identifikátor, který by odhalil identifikaci konkrétní osoby z hlediska fyzického, duševního, genetického, fyziologického, ekonomického, kulturního nebo sociálního faktoru. U každého dotčeného subjektu bude GDPR v tomto bodě zcela jinak aplikovatelné, protože jakákoliv informace, která vede k identifikaci reálné osoby na základě datového údaje je dotčena.
• Narušení ochrany osobních dat je označení, kdy dojde k náhodnému nebo cílenému zničení, poškození, změně nebo opisu / kopírování informace či k neoprávněnému přístupu v jakémkoliv kroku zpracování osobní informace.
• Nakládání s osobními údaji znamená pak jakoukoliv operaci, která je uskutečněna s osobními daty: sběr, nahrávání, organizace, třídění, ukládání, úpravy a přepis, vyhledávání, konzultace, zveřejnění při přenosu, šíření nebo jiná forma zveřejnění, omezení, mazání nebo zničení. Opět výčet není úplný a jakékoliv nakládání s osobními údaji je GDPR dotčeno. Proto je velmi důležité udělat podrobnou analýzu GDPR.
• Profilování je jakákoliv automatizovaná činnost s osobními daty za účelem zjistit konkrétní osobní elementy, které umožní cílit a analyzovat konkrétní osobu a využít je (např. ekonomická situace, zdravotní stav, chování, lokace atd.)
• Pseudoanonymizace je zpracování a uložení osobních údajů tak, že nadále nemohou být spojena s konkrétní osobou bez konkrétního klíče, který je uložen odděleně od těchto osobních údajů.
• Souhlas je vždy udělen svobodně, specificky jako potvrzení osoby, že uděluje možnost nakládat se osobními údaji, které se k ní vztahují.
• Zpracování osobních údajů napříč státy jsou data, která v rámci zpracování nebo procesu opouštějí hranici státu v EU.
• Reprezentant nařízení GDPR je ustanovený člověk v rámci organizace, který má odpovědnost za správnost aplikace GDPR.
• Kontroloři dat neboli subjekty co rozhodují, která jsou / nejsou citlivá = provozovatelé systémů a musí dohlédnout na to, aby všechny zapojené subjekty v procesu rovněž dodržely GDPR.
  
  Pozor na záludnosti, že např. provozovatel www stránky lékárny online má na www stránce formulář pro požadavek na nákup specifického léku, který není její, ale je nasazen třetí stranou. I tak provozovatel lékárny za tato data ručí.
• Správci dat neboli subjekty co data zpracovávají nebo jakkoliv s nimi nakládají. V mnoha případech tak správce a kontrolor dat bude 1 subjekt.
• Subjekt dotčený regulací je osoba, která jde pomocí identifikačních údajů zřetelně rozpoznat. Subjektem musí být osoba, nikoliv právnická osoba (společnosti, firmy) na které se GDPR nevztahuje.
• Datový systém je jakýkoliv databázový strukturovaný set údajů, které jsou přístupné dle určitých kritérií a to jak centrálně nebo lokálně = jakékoliv metody, které sbírají a nakládají s osobními údaji (skladování, zpracování nebo pohyb dat).
• Hlavní zřizovatel (zařízení) je potřeba stanovit u podniků s pobočkami ve více členských zemích EU, aby bylo zabezpečeno, která autorita je nadřazena.

GDPR v praxi

Z pohledu společnosti je třeba zajistit, že dopředu ví a avizuje, k čemu dané osobní údaje sbírá, a bude používat a zda přímo k danému úkonu a konkrétnímu zpracování má udělen souhlas a také zda se postará o dostatečnou ochranu těchto dat po celou dobu jejich uložení. Toto je nejdůležitější změna z pohledu GDPR a dotčená osoba bude mít možnost právně se bránit v případě porušení udělení souhlasu a není možné použít pro GDPR již minulé souhlasy.

„Pokud jakýkoliv krok v procesu zpracování osobních údajů může vést ke ztrátě bezpečnosti ochrany těchto osobních údajů, pak GDPR nemáte zavedené správně.“

Zároveň musí společnosti zajistit, že souhlas s udělením zpracování osobních údajů je jasný, výstižný a byl svobodně udělen před zpracováním daných údajů. Není možné např. nabízet již zaškrtnutý souhlas s nakládáním s osobními údaji nebo se vyvázat se větami typu „odesláním objednávky souhlasíte se zpracováním osobních údajů“ či informací „…protože jste našim zákazníkem“. Zároveň zpracování nebo proces nakládání s těmito údaji nesmí pokračovat, dokud dotčená osoba souhlas neudělí (např.: Nejde na pozadí online objednávkového formuláře zpracovávat údaje). Navíc, pokud se chystáme sbíraná data využívat k více úkonům, např. k analýze uživatelských nákupů a k rozesílkám email newsletterů a k rozboru návratnosti investic na reklamu, pak musíme mít souhlas na všechny tyto 3 aktivity specificky vyjmenovaný. Rovněž osoby mladší 16ti let nemohou toto povolení udělit. Důležitým bodem GDPR je také vlastnost „mít možnost odvolat souhlas kdykoliv“ a to jednoduše bez zbytečných překážek. Posledním bodem GDPR je právo „být zapomenut“, což znamená smazání všech dat i všech návazných údajů, které se k datům vztahují.

Klíčovým problémem GDPR je absence jakéhokoliv předpisu nebo dokumentace, která jasně a zřetelně specifikuje co je / není bráno jako porušení a jak dané úřady mají / nemají postupovat.

Osoba, o které společnost osobní data sbírá a ukládá, má nárok požadovat výpis nebo kopii těchto údajů a také požádat o poskytnutí těchto údajů dalším stranám. Nařízení nespecifikuje, jak tyto informace mají být předány, nicméně by zřejmě měly být dodrženy zásady GDPR i v tomto úkonu a měly by být předány ve strukturované a běžné formě ve strojovém zápisu. Toto je klíčový bod, který je třeba zautomatizovat a co nejvíce ve společnostech zefektivnit, aby náklady byly minimální. Ideálním způsobem je pak možnost tyto údaje vidět online.

Společnost je rovněž povinna vést záznamy o zpracování daných osobních údajů. Každý tento záznam musí obsahovat informace o tom, jaká data byla používána, kde a jak a proč. Tyto záznamy (logy) musí být přístupné na vyžádání kontrolními autoritami a tato část bude jedním z nejnovějších částí implementace GDPR, protože většina subjektů v současné době tyto informace neeviduje a systémy na ně nejsou nastaveny. Ve stručnosti jde tedy o tyto body:

• jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
• účely zpracování
• popis kategorií subjektů údajů a kategorií osobních údajů
• kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
• lhůty pro výmaz jednotlivých kategorií údajů
• popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Ustanovení osoby odpovědné a kontrolní za GDPR je požadováno, pokud jde o veřejnou společnost nebo jestliže jde o zpracování dat v obrovském měřítku, anebo při zpracování dat s kriminálním podtextem.

V případě bezpečnostního narušení z hlediska GDPR je třeba individuálně dotčené osoby informovat a zároveň i nadřazenou kontrolní GDPR instituci a to do 72 hodin od zjištění incidentu GDPR kontrolorem včetně informace jak dané bezpečností narušení bude vyřešeno. V případě prodlení je třeba dané zpoždění vysvětlit.

Společnostem se doporučuje projít všechny aktuální a minulé šifrovací metody, které používají při základním zabezpečení daty a doporučuje se přejít na normu FIPS 140. Také zvážit, zda kódování nepoužívat nejen na přímo ukládaná data, ale také na přenosy s těmito daty.

Co spadá do GDPR?

Další kategorií jsou velmi oblíbené „cookies“, kdy GDPR je označuje za on-line identifikátor a tím je definuje jako osobní údaj, který spadá pod GDPR.

IP adresa je bohužel považována za osobní identifikační údaj i přesto, že nejde bez dalších osobních údajů identifikovat osobu, která na dané IP operuje (může jich být několik).

Nákup databáze s kontakty, je stále dotčen GDPR a tedy musíte mít od prodávajícího prohlášení o GDPR, že s těmito údaje lze takto nakládat a má příslušné dotčené souhlasy a nebo si souhlasy musíte dodatečně opatřit sami, protože při manipulaci s daty se stáváte jejich správcem.

Jak postupovat při zavádění GDPR

1Audit dat – jaká osobní data jsou shromažďována a jak je s nimi nakládáno + jaká se mají v budoucnu sbírat. Jde i o procesy komu jsou data poskytována a jak (výměny informací mezi dodavateli nebo partnery atd.)

2Analýza GDPR pro online i offline procesy a stanovení všech bezpečnostních rizik, které je třeba vyřešit včetně prověření fyzických úložišť procesů, které data přenášení i online systémů.

3Nastavení plánu implementace GDPR, kdy jde o úpravu procesů a systémů, což může být měsíční soubor prací a úkonů za přispění všech podpůrných složek a dodavatelů systémů. Např. zavedení procesu pseudoanonymizace atd.

1. Minimalizace zpracování osobních údajů
2. Zajištění transparentnosti a legálnosti
3. Zajistit jen sběr dat, která jsou nutná k danému procesu
4. Aktualizace smluv a dohod o mlčenlivosti
5. Revize souhlasů se zpracováním osobních údajů
6. Aktualizace firemních směrnic
7. Proškolení zaměstnanců
8. Testovací procesy

1. Zajistit odolná technická opatření a systémy (Firewally, Antimalware, zálohy dat a jejich procesy, šifrování, práce s VPN, monitorování, ochrana proti ransomware, ochrany proti ztrátě dat, antispamm, kontroly koncových zařízení – USB, mobily, tablety atd., systém pro uchovávání logů, zabezpečení www aplikací a administrací
2. Zajistit obnovu dat a přístup k nim v případě poškození nebo nehody
3. Opakovaně a pravidelně testovat a hodnotit účinnost GDPR
   1. Nastavení vhodných technických a procesních opatření
   2. Zavedení pseudoanonymizace
   3. Zajistit správná a funkční technická opatření
   4. Umožnit osobám nahlížení do jejich dat
   5. Šifrovací metody

4Stanovení odpovědné osoby a provádění GDPR, které zejména se skládá z archivu souhlasů se zacházením s osobními údaji, tak i s danými databázemi a zároveň umožnění do těchto záznamů nahlížet. Je třeba mít základní dokumenty:

1. Prohlášení, že dochází ke sběru a zpracování osobních údajů včetně příčina tohoto zpracování
2. Záznamy o souhlasech se zpracováním osobních údajů
3. Záznamy o aktivitách nad těmito osobními záznamy
4. Záznam chráněných konkrétních osobních údajů
5. Informace o tom, jak jsou data chráněna (informace o zabezpečení, bezpečnostní politice, šifrování a procedurách, nákupy speciálního HW a SW atd.
6. Vypracování posouzení vlivu na ochranu osobních údajů = DPIA