Dne 27.7.2017 jsme organizovali další webinář na téma GDPR - obecné nařízení o ochraně osobních údajů. Tentokrát jsme se zaměřili na nejčastější dotazy a účastníci sami měli možnost se ptát na vše, co je zajímalo nebo nebylo jasné. Níže naleznete odpovědi na všechny z nich.
Je nějaká lhůta, do kdy musíme všechny informace o osobních údajích žadateli o tato informace, předat? Popřípadě požadavek na formu?
Mgr. Jiří Císek: Je stanoveno, že v případě žádosti žadatele musí správce informace předat bez zbytečného odkladu, nejpozději do 1 měsíce. V případě složitosti a počtu žádostí lze lhůtu prodloužit až o dva další měsíce. Jestliže žadatel požádal o informace elektronicky, správce by měl odpovědět též v elektronické formě. Žadatel také může požádat o jinou formu sdělení, např. písemnou.
Jak je to v rámci shromáždění osobních údajů v e-mailových konverzacích? V případě, kdy je e-mail zasílán s podpisem. V podpisu jsou poté uvedeny osobní údaje.
Mgr. Matej Zachar: Ano, tato data se považují za osobní údaje také. Jde o podobnou situaci jako s vizitkou. Když ji odevzdáváte, je to většinou k účelu, že očekáváte, že Vás někdo bude kontaktovat zpět a když Vás kontaktuje, je to z hlediska účelu v pořádku. Z hlediska bezpečnosti může být považováno zasílání osobních údajů v takové podobě akceptovatelné riziko (v závislosti na tom, kolik informací o sobě zaměstnanci v podpisu uvádí). Je možné také zvážit např. použití šifrovaného emailu jako alternativní formy komunikace.
Jak je to přesně sezpracováním dat z vizitek, případně volně dostupných údajů z internetu? Pochopitelně máme CRM, ve kterém jsou tato data ukládána... Dochází k zařazování dat do CRM.
Mgr. Jiří Císek: Pokud dochází k extrakci osobních údajů z vizitek do CRM systému, toto nakládání s osobními údaji spadá do působnosti GDPR. Pokud bude s těmito údaji nakládáno v souladu s účelem, pro který byly získány, tzn. pro účely obchodního styku, plnění smlouvy apod., není nutný souhlas s tímto zpracováním. Na správce těchto údajů se ale vztahují všechny povinnosti správce osobních údajů ve smyslu GDPR. Co se týče údajů z veřejně dostupných zdrojů, Úřad pro ochranu osobních údajů se vyjádřil, že i když jsou údaje veřejně přístupné, nelze je a priori bezmezně zpracovávat. V tomto případě tedy doporučujeme obezřetnost. Pokud by došlo např. k zahrnutí kontaktních údajů na určitou osobu z webových stránek cizí společnosti do CRM systému (které tam jsou právě za účelem kontaktu s jinými ekonomickými subjekty) za účelem obchodního styku či plnění smlouvy, domníváme se, že takové zpracování údajů je zákonné.
Řeší GDPR kvalitu, resp. sílu hesla k šifrování dat v databázích? Případně kvalitu šifry jako takové?
Mgr. Matej Zachar: GDPR přímo takto specifické požadavky neudává. Je na Vás, abyste si vyhodnotili riziko, které Vám plyne z faktu, že například nevynucujete určitou sílu hesla nebo používáte zastaralé algoritmy, které můžou být útočníkem prolomeny.
Týká se prosím DPO také veřejnosprávních organizací jako je např. Regionální rada regionu soudržnosti?
Mgr. Jiří Císek: Zákon č. 248/oceneni-a-uspechy2000 Sb., o podpoře regionálního rozvoje, stanoví v § 16 odst. 5, že Regionální rada vykonává působnost v oblasti veřejné správy. Regionální rada by tedy měla být veřejným subjektem ve smyslu GDPR, a tudíž bude muset mít jmenovaného pověřence pro ochranu osobních údajů.
Jaká konkrétní technická opatření by měla implementovat malá firma?
Mgr. Matej Zachar: Určitě to záleží od konkrétních zpracování, které vedete. Takhle obecně lze pouze poradit provedení GAP analýzy a zjištění, jestli jste připraveni na realizaci práv subjektů údajů po technické stránce (např. možnost exportovat data o jednom uživateli pro právo na přenositelnost nebo smazat tato data pro právo na výmaz). Další kapitola sama pro sebe je bezpečnost, kde opatření záleží od rizik, která si vyhodnotíte a technologiích, které aktuálně používáte.
Evidujete už iniciativu unifikace datového toku pro "přenositelnost údajů"?
Mgr. Matej Zachar: Z doporučení pracovní skupiny A29WP vyplývá, že tendence směřuje k používání otevřených formátů typu XML nebo CSV. A29WP dále doporučuje, aby firmy v podobných segmentech vedly diskuzi o jednoduchém propojení systémů, které běžně používají. Doporučujeme podívat se pro bližší informace na doporučení wp242.
Jak jde GDPR do historie? Když subjekt požádá o "zapomenutí", jak staré údaje musím vymazat? I údaje např. z roku 1992?
Mgr. Jiří Císek: GDPR bude účinné od 25. května 2018, a to na všechnu správu a zpracování osobních údajů. Nezáleží na tom, zdali je např. údaj o datu narození žijící osoby z roku 2017, 2015 nebo 1992. Nutno poznamenat, že i když Vás subjekt požádá o výmaz, nemusíte údaje vymazat, pokud Vám svědčí nějaký jiný důvod pro uchování osobních údajů. Může to být např. uchování účetních či daňových dokladů po určitou dobu, která je ze zákona daná. Samotný proces výmazu lze za určitých okolností modifikovat požadavkem splnění stanovených podmínek pro řádnou identifikaci data subjektu. Tyto podmínky nesmí být ovšem excesivní. Pokud byste chtěli tuto věc probrat více v konkrétnostech, můžeme ji probrat na bázi osobní konzultace.
Jak je to s údaji, které předáme dál, do jiné organizace a přijde nám požadavek na výmaz. Musíme zajistit výmaz ve třetí firmě?
Mgr. Jiří Císek: Jakožto správce údajů budete muset mít uzavřenou zpracovatelskou smlouvu se zpracovatelem údajů. Tato smlouva ze zákona musí obsahovat ustanovení o tom, že pokud správce rozhodne, zpracovatel musí vymazat údaje, pokud právo EU nebo státu nepožaduje uložení daných osobních údajů. Pomocí mechanismu zakotveného ve zpracovatelské smlouvě pak zajišťujete, že dojde k výmazu osobních údajů.
V případě, že byste jako správce osobní údaje zveřejnil, a zároveň byste byli povinni údaje vymazat, máte povinnost informovat další správce, kteří tyto údaje zpracovávají, že je subjekt údajů žádá, aby ti vymazali tyto údaje. To vše s ohledem na dostupnou technologii a náklady na provedení přiměřených kroků včetně technických opatření.
Je v GDPR výslovně nařízeno, kdo musí provést analýzu rizik úniku osobních dat? Je to výslovně DPO nebo to může být delegované na stávající IT specialisty = zaměstnance?
Mgr. Matej Zachar: Analýza rizik nemusí být provedena DPO, může být klidně provedena IT oddělením nebo outsourcována.
Pokud je citlivý údaj i údaj o zdravotním stavu a ve mzdách eviduji slevy na dani na invaliditu a ten, kdo zpracovává citlivé údaje, musí mít DPO, musí mít všechny firmy, které zpracovávají mzdy svým zaměstnancům, DPO?
Mgr. Jiří Císek: GDPR stanoví, že pověřence pro ochranu osobních údajů musí mít správce i zpracovatel v případě, kdy hlavní činnost správce nebo zpracovatele spočívá v rozsáhlém zpracování zvláštních kategorií údajů (což jsou i údaje o zdravotním stavu). Obecně lze říct, že zpracování osobních údajů v rámci pracovní a pracovně-daňové agendy svých zaměstnanců není hlavní činností správce nebo zpracovatele. Odpověď tedy zní ne. Skutečnost, že společnost zpracovává mzdy, a tudíž zpracovává i zvláštní kategorie osobních údajů, ještě nezakládá povinnost mít DPO.
Vedeme-li v IS číselník obchodních partneru, kde se eviduje jméno, funkce, adresa společnosti, ICO, DIC, zápis v obch. rejstříku (prakticky veřejně dostupné informace o firmě), jedná se potom o zpracovaní osobních údajů dle GDPR?
Mgr. Matej Zachar: Informace o firmě nespadají do definice osobní údaj, pokud tedy podnikáte v B2B a Vaši zákazníci jsou firmy, nepůjde o zpracování osobních údajů.
Data byla sebrána anonymně a předána se souhlasem poskytující osoby osobě třetí. Ta nyní zpracovává data, která pro ni nejsou obsahově relevantní, ani je nepropojuje s takovými databázemi, které by k identifikaci vést mohly. Neovlivní však obsah těchto záznamů, které jsou pro ni anonymní. Jedná se o záznamy hlasové konverzace používané při tvorbě systémů pro rozpoznávání hlasu. Má na takové nakládání se záznamy GDPR nějaký vliv? Jaký?
Mgr. Jiří Císek: Otázka takto položená je velmi komplexní pro jednoduchou odpověď. Záznam hlasu a jeho zpracování může být za určitých okolností považováno za údaj spadající do zvláštní kategorie osobních údajů, a tudíž zpracování se odehrává v přísnějším režimu. Otázka anonymizace je také problematická, protože i zdánlivě anonymní údaje mohou být z GDPR ne-anonymní. Pro korektní odpověď bychom potřebovali vědět více informací. Pokud byste měli zájem, můžeme věc probrat formou osobní konzultace či na bázi spolupráce.
Jak to je s údaji, které jsou součástí informačních systémů CRM, DOCHAZKA, SHAREPOINT, ACTIVE DIRECTORY a jejich zálohami. Tam se data nedají jen tak odstranit aniž by došlo k nějakému konfliktu nebo nekonzistenci.
Mgr. Jiří Císek: Ve vztahu k těmto údajům se uplatní vše, co zaznělo na webináři. Na tyto údaje a nakládání s nimi plně dopadá úprava GDPR se všemi konsekvencemi. GDPR bohužel přestavuje zátěž pro podnikatele a korporace, s kterou se budou muset vyrovnat. Pokud budete mít zájem, můžeme na bázi osobní konzultace probrat, jak situaci řešit.
Dobrý den, pokud uživatel pracuje v ERP systému, kde přichází do styku s údaji o osobách v adresáři, zaměstnancích ve mzdách, musí ERP systém logovat veškeré činnosti, které uživatel s údaji prováděl? Opravy, vkládání údajů, ale třeba i tisk, nahlížení na seznamy, exporty do externích systémů?
Mgr. Matej Zachar: GDPR v tomto smyslu tak konkrétní není, pro Vaši situaci bych to ale doporučil. Pokud totiž nebudete mít auditní záznamy, nebudete moct ani identifikovat, že došlo k narušení bezpečnosti, jak vyžaduje GDPR, ani mít podklady k další prioritizaci opatření pro zvýšení bezpečnosti osobních dat.
Máte další dotazy k GDPR? Kontaktujte nás a zjistěte, jak Safetica může pomoci vaší firmě se zabezpečením citlivých osobních dat v souladu s GDPR.
Mgr. Matej Zachar
Bezpečnostní expert Safetica Technologies. Odborník na oblast kybernetické bezpečnosti, mezinárodních standardů ochrany dat a realizaci bezpečnostních opatření.
www.safetica.cz
Mgr. Jiří Císek
Konzultant ve společnost Sedláková Legal. Již několik let věnuje právu informačních technologií a ochraně osobních údajů. V rámci právní praxe má za sebou několik desítek úspěšných auditů a GAP analýz společností na shodu s nařízením pro ochranu osobních údajů (GDPR), školení a konferencí, věnovaných této problematice.
sedlakovalegal.com
Safetica Technologies vynaložila veškeré úsilí pro zajištění přesnosti a spolehlivosti informací uváděných v tomto článku. Nicméně informace jsou podány "tak, jak jsou", bez jakýchkoliv záruk. Safetica Technologies nezodpovídá za přesnost, úplnost, legislativní správnost či spolehlivost informací poskytnutých v tomto článku.