Obecné nařízení o ochraně osobních údajů neboli General Data Protection Regulation, známé pod zkratkou GDPR, vstupuje v účinnost již 25. května 2018 a přináší revoluci v ochraně osobních údajů pro celou EU a též hrozbu vysokých pokut za její porušování. Hlavní analytik naší společnosti, Ing. Tomáš Budil, se proto obrátil na doc. JUDr. Aleše Rozehnala, Ph.D., z advokátní kanceláře Rozehnal & Kuchař, předního odborníka na obchodní a autorské právo, aby nám zodpověděl několik otázek k tomuto mediálně probíranému tématu.
Pane docente, všichni se ptají a hledají nějaké „noty“, podle kterých by mohli ověřit připravenost své společnosti, svých informačních systémů na toto GDPR nařízení. Je to skutečně tak složité nějaký postup stanovit, nebo komplikovanost spočívá v něčem jiném? Například z řady probíhajících komerčních školení na toto téma máme pocit, že se ve směs jedná o silně teoretické rady, které nikam nevedou a ani nic moc konkrétně nevyjasňují…
GDPR je poněkud odlišnou právní normou než zákony, nařízení a vyhlášky, které známe ze svého běžného života. Je to nařízení, které je přímo vykonatelné na celém území Evropské unie, takže bychom tuto normu mohli označit spíše za právní rámec ochrany osobních údajů. Nařízení stanovuje cíle, kterých je nutno dosáhnout, ale metody a postupy, jak těchto cílů dosáhnout ponechává na národních státech, regulátorovi, ale i samotných uživatelích.
Je tedy možné říci, že nekonkrétnost tohoto nařízení je záměrná? Že se úmyslně nechává na jednotlivých společnostech evidujících osobní údaje z různých důvodů, aby pro jejich ochranu udělali maximum možného?
Skutečně jde hlavně o to, aby zpracovatel vynaloží maximální úsilí, aby nedošlo k neoprávněnému zpracování osobních údajů a aby byl schopen toto maximální úsilí doložit. Pokud budou jeho postupy na patřičné úrovni, je tak trochu jedno, jakou technologii při implementaci nařízení použije
Rozumím. Vraťme se nyní k meritu věci. Které údaje považuje směrnice za osobní údaje? Je alespoň toto možné jednoznačně definovat?
Osobní údaje jsou veškeré informace vztahující se k fyzické osobě, kterou je možno identifikovat. Patří mezi ně jméno, pohlaví, věk a datum narození, osobní stav, IP adresa, zachycení podoby, e-mailová adresa, telefonní číslo atd. Dále mezi osobní údaje patří údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci, uložených trestech, genetické, biometrické údaje a osobní údaje dětí.
Takže s takovými údaji se v lékárně běžně setkáváme např. po načtení eReceptu z úložiště SÚKLu. Kromě určení osobních údajů, směrnice „pracuje“ i s termínem citlivé osobní údaje. Může se i s takovými údaji např. lékárník setkat, ačkoliv nemá přístup do zdravotnické dokumentace pacienta nebo plného lékového záznamu?
Možné to je. Citlivým osobním údajem jsou totiž nejen údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, biometrický nebo genetický údaj, ale i údaje o zdravotním stavu a sexuálním životě pacienta, které jsou z receptu seznatelné.
Existuje něco jako nárok na evidenci osobních údajů bez souhlasu konkrétní fyzické osoby, v důsledku jiných existujících právních norem nebo pravidel. Mám na mysli třeba to, že v lékárně shromažďuji např. čísla pojištěnců nikoliv proto, že je chci mít, ale proto, že je mít musím, abych byl schopen zdravotní pojišťovně správně vykázat dávky s výdeji, kterých je číslo pojištěnce nedílnou součástí.
To žádný problém nepředstavuje, protože osobní údaje, jejichž zpracování vyplývá ze zákona lze bez dalšího zpracovávat. Není tedy zapotřebí žádných zvláštních souhlasů. Ochrana těchto údajů je pak stejná jako před nabytím účinnosti nařízení.
Výborně děkuji, to se mi ulevilo. Ale teď z jiného soudku. Kdo je v ČR národní autoritou, která bude dodržování směrnice GDPR kontrolovat? Nebo takových autorit je nebo může být i více?
Národní autoritou v oblasti ochrany soukromí je Úřad pro ochranu osobních údajů. Nicméně je potřeba dodat, že kontrola na úseku ochrany soukromí a osobnostních práv zaměstnanců je také v pravomoci inspektorátů práce. Inspektoráty práce mohou zjišťovat, zda zaměstnavatelé dodržují povinnosti při monitorování pracoviště kamerovým systémem, při sledování služebních vozidel prostřednictvím GPS nebo při monitorování e-mailů nebo aktivity zaměstnance na internetu.
… a na základě čeho se ÚOOÚ může (ke mně do lékárny) „přijít na kontrolu“, a jakou mi může udělit pokutu, pokud zjistí nějaké mé, byť nechtěné, provinění či něčeho nesplnění?
Dozorová činnost Úřadu pro ochranu osobních údajů je zcela v diskreci tohoto úřadu, takže o provedení kontroly si úřad rozhoduje sám. Správce a zpracovatel osobních údajů však mají celou řadu oznamovacích povinností, jejichž splnění může být podnětem pro kontrolu. Správce je povinen ještě před zahájením samotného zpracování provést posouzení dopadu na ochranu osobních údajů, tedy zejména posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality, včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Posouzení dopadu bude nutné, např. v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst nebo systematického a rozsáhlého vyhodnocování osobních aspektů fyzických osob. Správce bude muset v posouzení dopadu rovněž jasně definovat přijatá bezpečností opatření a záruky, které by měly přispět k tomu, že předem definované vysoké riziko bude přijatými opatřeními eliminováno. Úřad nevydal seznam takových rizikových zpracování a rizikovost zpracování posuzuje ad hoc v rámci konkrétního šetření. Nařízení ukládá povinnost v některých případech provedenou analýzu úřadu předložit předem úřadu k posouzení v rámci předběžných konzultací. Správce osobních údajů má povinnost zpracování konzultovat s úřadem v případě, pokud by z posouzení dopadu vyplynulo, že zpracování je vysoce rizikové a riziko by nebylo možno zmírnit. Úřad by měl následně zkoumat soulad zamýšleného zpracování s nařízením, přičemž může doporučit správci upravit zpracování tak, aby případná rizika byla dostatečným způsobem omezena. Další oznamovací povinností je povinnost ohlašovat případy narušení bezpečnosti osobních údajů.
Vraťme se k povinnostem provozovatele lékárny. Vy tedy radíte, aby si lékárna resp. její provozovatel připravil souhrn interních směrnic, doporučení, smluv, souhlasů a nařízení, kterým bude dávat svému okolí i kontrolním autoritám prokazovat, že doporučení dodržuje. Je ale pro lékárnu běžného komerčního typu nezbytné, aby též jmenovala osobu Pověřence, který bude na správnost dodržování směrnice ze své pozice dohlížet?
Podle nařízení mají správci a zpracovatelé povinnost jmenovat pověřence pro ochranu osobních údajů také v případě, že jejich hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů, tedy i citlivých údajů. Rozsáhlé je zpracování, při kterém dochází k zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohlo mít dopad na velký počet subjektů. Správce by měl při posouzení rozsáhlosti vzít do úvahy počet zasažených subjektů, množství osobních údajů, dobu či stálost zpracování a geografický rozsah zpracování. O rozsáhlé zpracování osobních údajů se nejedná například v případě zpracování osobních údajů samostatným lékařem, ale zpracování údajů pacientů v rámci nemocnice se za rozsáhlé zpracování považuje. Mám za to, že samostatné lékárny pověřence jmenovat nemusí, u sítě lékáren je vhodné zhodnotit rozsáhlost zpracování podle řečených kritérií.
… a u nemocničních lékáren je to tedy jinak?
Bude to nutné posoudit případ od případu, ale i u nemocničních lékáren platí, že pokud se jedná o samostatnou lékárnu, byť nemocniční, pověřence jmenovat nemusí, u sítě lékáren to však bude jinak.
A poslední dotazy budu směřovat na lékárenské informační systémy. Tyto systémy musí jistě dodržovat nějaká bezpečností pravidla. Musí mít nějakou certifikaci?
Osvědčení, tedy certifikát o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení certifikačním orgánem, kterým správce nebo zpracovatel prokazuje zajištění souladu s požadavky nařízení. Kromě získání certifikátu jsou jinými možnostmi prokázání souladu s nařízením podpis a dodržování kodexu chování, pokud pro danou oblast existuje, nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly Úřadu pro ochranu osobních údajů. Získání tohoto osvědčení je dobrovolným rozhodnutím správce osobních údajů.
Je získání osvědčení povinné?
Jak už jsem uvedl, získání tohoto osvědčení je dobrovolným rozhodnutím správce osobních údajů, nikoli jeho povinností. Neexistuje tedy povinnost žádat o vydání osvědčení certifikátu a jedná se o jednu z volitelných variant.
K čemu mi bude osvědčení?
Osvědčení je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s nařízením. Může usnadnit nákup produktů nebo služeb, pokud se prodejce, výrobce nebo poskytovatel prokáže osvědčením, který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením.
Osvědčení může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se přejímající osoba prokáže platným osvědčením.
Je tedy možné odpovědnost vzhledem k dodržování směrnice GDPR „přehodit“ bezvýhradně na dodavatele těchto systémů. Nebo bude možný problém hledat spíše v rovině „jak ten systém použiji, co v něm eviduji a co komu za data předám“. Jinými slovy „to“ celé zůstane na mně, jako na uživateli libovolného informačního systému coby provozovateli lékárny.
Tak jednoduché to není. Pokud vztáhneme nařízení na oblast činností vaší společnosti, jsou lékárny správci osobních údajů, jelikož vykonávají určitou činnost, jejíž nezbytnou součástí je zpracování osobních údajů, a určují prostředky jejich zpracování. Správci mohou zpracováním osobních údajů, resp. jeho částí pověřit třetí osobu, zpracovatele, nicméně správcem údajů přesto zůstávají, neboť určili účel zpracování a jeho prostředky. Odpovědnost tedy bude na lékárně a zcela „přehodit“ jí nelze. Naopak zpracovatel se pouze proto, že provádí zpracování, např. shromáždění, utřídění, archivace, likvidace údajů, nestává správcem. Takovým zpracovatelem je například poskytovatel cloudového řešení, pokud toto bude sloužit ke zpracovatelským operacím s osobními údaji.
Kdo je tedy vlastně správce a kdo zpracovatel osobních údajů a jaký je mezi tím rozdíl?
Správce osobních údajů je subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Správce primárně odpovídá za zpracování osobních údajů. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Naproti tomu zpracovatel osobních údajů je ten, kdo jménem správce zpracovává osobní údaje. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Z vašich odpovědí mám pocit, že problematice bezezbytku rozumíte. Využiji této příležitosti a dovolím si Vás atakovat myšlenkou, zdali byste se nechtěl Vy, nebo někdo z Vaší advokátní kanceláře zúčastnit připravovaných seminářů k tématu GDPR, které bude případně organizovat společnost Lekis s.r.o. pro své zákazníky z řad lékárníků na přelomu dubna a května 2018?
Vzhledem k určité netradičnosti této právní úpravy není asi nikdo, kdo by problematice rozuměl beze zbytku, ale rád se těchto seminářů budu účastnit.
Tak to je skvělá zpráva. Děkuji vřele za rozhovor.
Ing. Tomáš Budil, hlavní analytik společnosti Lekis s.r.o.