GDPR ve vztahu k „malé“ firmě

Problematika nařízení Evropského parlamentu a rady EU č. 2016/679 (GDPR), je velmi často démonizována. Detailně se diskutují požadavky a dopady, ale velmi často plošně. Přitom toto nařízení míří zejména do oblasti „systematického a rozsáhlého hodnocení osobních aspektů týkajících se fyzických osob“, které provádějí velcí internetoví giganti (Google, Facebook atd.), marketingové firmy, e-shopy a podobně. Tam jsou toky dat tak rozsáhlé, složité a provázané, že bez jasného výkladu „co se vlastně chce“ je příprava na zajištění shody s GDPR problematická.

Ale pro menší firmy, které se přímo neživí rozsáhlým zpracováním osobních údajů (např. profilování osob za účelem cíleného ovlivňování jejich chování v oblasti spotřeby) se nic zásadního nemění, tedy pokud mají alespoň základní pořádek v datech a nějak řeší informační bezpečnost (smlouvy s citlivými údaji neposílají v otevřené formě Internetem, řídí přístup k citlivým informacím a podobně). V ČR totiž platí zákon č. 101/2000 Sb., o ochraně osobních údajů a kdo se zabývá například bezpečnostními systémy, má s jeho tvrdostí osobní zkušenosti (restrikce pro práci s kamerovými záznamy a podobně). V dalším textu se tedy pokusím o velmi stručné doporučení, pro „malé firmy“, které se zpracováním OÚ primárně neživí (malí výrobci a prodejci, servisní firmy a podobně).

GDPR ve vztahu k „malé“ firmě

Nejprve si dovolím uvést několik základních pojmů a zkratek:

osobní údaj: „cokoli“, co může identifikovat subjekt osobních údajů (dále jen OÚ), tedy nejen ty „běžné“ jako jméno, příjmení atd., ale také např. IP adresa,
správce: určuje účel, způsob a prostředky zpracování OÚ,
zpracovatel: zpracovává OÚ pro správce (podle jeho pokynů),
ÚOOÚ: Úřad pro ochranu osobních údajů,
analýza rizik: proces identifikace „ošklivých událostí“, které mají nějaký negativní dopad a stanou se s nějakou pravděpodobností; vysoké riziko je pak nutné snížit aplikací nápravného opatření.

V následujícím textu se pokusím popsat čtyři oblasti, kterými by se měla i malá firma, kterou neživí práce s informacemi, zabývat:

• pořádek v datech/informacích (zmapování agend, které pracují s osobními údaji a proč),
• analýza rizik a posouzení vlivu na ochranu osobních údajů,
• práva subjektů osobních údajů
• vztah se zpracovatelem osobních údajů (samotná firma osobní údaje nezpracovává, ale dělá to pro ni externí subjekt, „zpracovatel“).

Zmapování agend, které pracují s osobními údaji GDPR vyžaduje, aby měla firma pořádek v datech a proto stanovuje určité požadavky na to, jak tento „pořádek“ má vypadat. Naplnit tyto požadavky je možné například tím, že si firma vyplní přehledovou tabulku (jednotlivé níže uvedené položky jsou sloupečky této tabulky), díky čemuž bude mít přehled o datech na jednom místě.

1. Systém/agenda: jak danou agendu ve firmě nazýváte (práce a mzdy, účetnictví, ..).
2. Zákonnost zpracování: o co zpracování opíráte (obvykle „oprávněný zájem“).
3. Účel zpracování: jaký je důvod zpracování osobních údajů, proč to děláte.
4. Role firmy: správce (sami určujete, jak je agenda vykonávána), zpracovatel (zpracováváte OÚ pro někoho na základě jeho pokynů), uživatel (nic neurčujete, jen pracujete v rámci systému někoho jiného).
5. Správce (pracovní pozice a jméno): kdo (jaká pozice ve firmě) za danou agendu odpovídá.
6. Kategorie příjemců: Kdo má přístup k výstupům.
7. Předání do třetích zemí/organizací: GDPR explicitně mluví o potřebě zajistit odpovídající bezpečnost osobních údajů při předání do třetích zemí (mimo EU)
8. Záruky při předání do třetích zemí/organizací: Při předání osobních údajů mimo EU je nutné nějak zajistit jejich odpovídající zabezpečení (smluvně).
9. Doba uchování: GDPR vyžaduje minimalizaci doby uložení. Je potřeba buď stanovit konkrétně dobu, nebo alespoň princip (e-mailová schránka je smazána do měsíce po odchodu zaměstnance z firmy).
10. Opatření pro zajištění bezpečnosti a práv subjektů (výčet nebo odkaz): Obvykle zajištění řízeného přístupu k osobním údajům.
11. Posouzení negativního dopadu na subjekt osobních údajů: Ohodnotit (ne nutně podle nějaké „tvrdé“ metriky, ale klidně intuitivně), úroveň negativního dopadu na subjekt osobních údajů v případě jejich kompromitace (podrobněji viz níže „Analýza rizik“).
12. Kategorie subjektů OÚ: O kom osobní údaje firma shromažďuje a v dalších sloupcích jaké konkrétně.

Většinou stačí tato úroveň podrobnosti. Pokud ne, je možné danou agendu rozpracovat podrobněji v samostatném dokumentu/dokumentech (typicky personální a mzdová agenda) a v tabulce uvést odkaz (např. na dokumentaci k danému systému). Typicky je vhodné podrobněji popsat zabezpečení informací v rámci personální a mzdové agendy, ekonomické agendy a péče o zákazníky.

Při vyplňování kolonky „zákonnost zpracování“ mějte na paměti, že každé zpracování OÚ musíte mít „opřené“ o nějaký legitimní důvod. „Ideální“ je, když to vyžaduje zákon, protože tehdy nemusíte nic vymýšlet. Pokud to ale není zákonný důvod, snažte se najít „férový důvod“, proč takové zpracování k fungování firmy potřebujete (např. bez kontaktů na zákazníky byste nebyli schopni u nich provádět plánované servisní zásahy). V takovém případě se jedná o Váš „oprávněný zájem“. Pokud se Vám toto nepodaří „férově vymyslet“, pak musíte mít ke zpracování OÚ souhlas subjektu OÚ. A v takovém případě mějte na paměti: pokud subjekt souhlas odvolá, musíte jeho OÚ smazat. Souhlas je tedy z Vašeho pohledu ta poslední možnost (byť ji GDPR má na seznamu jako první).

Analýza rizik a případné přijetí nápravných opatření

GDPR v určitých situacích vyžaduje provedení tzv. „Posouzení vlivu na ochranu osobních údajů“. V zásadě se jedná o provedení analýzy rizik a přijetí nápravných opatření na jejich snížení v případě potenciálně vysokého dopadu nějakého zpracování osobních údajů na subjekt OÚ. Proto máme ve výše uvedené tabulce sloupeček „Posouzení negativního dopadu“. Pomocí něho jsou identifikovány ty agendy (ta zpracování), u kterých by vysoké riziko ohrožení práv a svobod subjektů OÚ mohlo potenciálně existovat. Například zpracováváte jméno, příjmení, adresu, datum narození/rodné číslo, počet dětí, výši platu, číslo účtu atd.. To je dost informací na jednom místě, které jsou vůči subjektu zneužitelné a mohou mu přivodit potíže. V případech, kdy je negativní dopad ohodnocen jako vysoký, je potřeba provést analýzu rizik.

Doporučuji zhruba následující postup:

• identifikujte v dané oblasti zpracování osobních údajů potenciální „ošklivé události“ a tyto události stručně popište,
• takto identifikované „ošklivé události“ ohodnoťte dopadem a pravděpodobností (ve třístupňové škále nízký/á, střední, vysoký/á - klidně intuitivně, pokud nemáte nějakou tvrdou metriku (např. událost způsobí přesně vyčíslitelnou škodu a úroveň pak můžete hodnotit podle její výše),
• tam, kde identifikujete vysoký dopad a zároveň vysokou pravděpodobnost, přijměte opatření na snížení úrovně takového rizika (s dopadem nic moc neuděláte, ale pravděpodobnost lze snížit zlepšením zabezpečení OÚ, lepším řízením přístupu k nim a podobně).

Pokud se Vám nepodaří navrhnout a implementovat opatření ke snížení vysokých rizik, je nutná konzultace s Úřadem pro ochranu osobních údajů.

Práva subjektů osobních údajů

Zásadním požadavkem GDPR je, chovat se vůči subjektům OÚ „fér“. To například znamená, že práva subjektu OÚ a Vaše právo podnikat by měly být v rovnováze (práva subjektů OÚ tedy nejsou absolutní, protože i podnikatel je člověk a má svá práva).

GDPR v rámci zavedení principu transparentnosti některá práva subjektů OÚ explicitně vyjmenovává a Vy jste tedy povinni se „férově zamyslet, jak tato práva subjektů OÚ neohrozit“.

Jedná se o tato práva:

• informovanost o rozsahu a způsobu zpracování OÚ (např. můžete umístit na Váš WEB stručnou informaci o tom, jaké OÚ v rámci jaké agendy sbíráte a jak s nimi pracujete, aby byly volně k nahlédnutí),
• přístup k OÚ a jejich oprava v případě nepřesností,
• vznést námitku,
• zažádat o omezení zpracování,
• požadovat přenositelnost (pokud subjekt sám OÚ poskytl nebo je zpracování založeno na smlouvě, má právo na jejich získání v „běžné elektronické podobě“),
• zažádat o výmaz (pokud je relevantní),
• požadovat lidský zásah v případě automatizovaného zpracování.

V případě, že subjekt svého práva využije, je správce povinen mu do měsíce (resp. v odůvodněných případech může tuto lhůtu správce prodloužit o dva měsíce) odpovědět. Měsíc je poměrně krátká lhůta, a proto je potřeba se na dotazy, námitky atd. připravit. Doporučuji proto následující postup:

• vytvořit jedno vstupní místo s předpřipraveným formulářem (cílem je standardizace vstupů od subjektů OÚ za účelem zrychlení předání žádosti vlastníkovi procesu/agendy a ideálním místem je Váš WEB, kam umístíte dotazníkový formulář),
• nastavit interní procesy vyřízení žádosti (např. jednotný proces oslovení správců z tabulky Záznamy o zpracování a jednotný formulář pro odpověď),
• předpřipravit si typové odpovědi,
• nastavit proces opravy a výmazu (v případě, že by bylo potřeba žadateli vyhovět).

Vztah správce – zpracovatel

Pokud není organizace sama zpracovatelem OÚ (má externího dodavatele nebo provozovatele aplikace), pak musí být činnost zpracovatele smluvně pokryta. A GDPR explicitně nařizuje, co musí taková smlouva obsahovat (viz článek 38 Nařízení).

Závěr

Prozatím neexistuje jasný výklad, co pro malé firmy, které se nezabývají hromadným zpracováním OÚ, GDPR znamená. Provedením výše uvedených doporučení si určitě nezajistíte ze „zkoušky připravenosti na GDPR“ jedničku. Ale jsem přesvědčen o tom, že uděláte dost pro to, abyste se vůči subjektům, jejich OÚ zpracováváte, chovali „fér“ a v nejhorším případě alespoň předešli pokutě.