Praha 31. ledna 2023 (PROTEXT) - GDPR je pořád stejné. Ani český zákon o zpracování osobních údajů z roku 2019, který nahradil do té doby platnou "stojedničku", čili zákon č. 101/2000 Sb., zatím nedoznal žádných změn. Znamená to snad, že se v této oblasti nic neděje?
Právě naopak!
28. ledna si i letos připomínáme Mezinárodní den ochrany osobních údajů. A za pár měsíců, v květnu, to bude už 5 let, kdy je s námi obecné nařízení o ochraně osobních údajů, tedy GDPR. Přímo účinné, přímo aplikovatelné a s dopadem do všech sektorů a oblastí.
Zákonodárci, ať už na EU úrovni nebo v České republice, chrlí další předpisy, které se zpracování osobních údajů více či méně dotýkají. Upravují pravidla pro využití dat v některých specifických oblastech, např. při marketingu, nebo upřesňují některé povinnosti, typicky zabezpečení dat.
Ani soudy nezahálejí. Soudní dvůr EU i české správní soudy se tématem zpracování dat pravidelně zabývají a upřesňují řadu sporných bodů. Například rozsah informací, které musí správce dotčeným osobám o zpracování jejich dat poskytnout, praktická pravidla pro uplatnění práva na výmaz atd.
A pak tu máme dozorové orgány, úřady pro ochranu osobních údajů. Dávají pokuty, vydávají metodiky a doporučení. A další, a ještě detailnější, metodiky vydávají pod hlavičkou Evropského sboru pro ochranu osobních údajů.
Pravidla pro zajištění souladu s GDPR, která byla nastavena v roce 2018, nutně zastarávají. Kvůli vnitřním změnám v organizaci, i díky změnám externího prostředí, vývoji regulace a výkladové praxe.
Pojďme si proto představit 5 nejdůležitějších aktuálních témat zpracování dat a ochrany soukromí pro rok 2023 a dále. Pokud chcete odstranit alespoň největší rizika týkající se zpracování osobních údajů, právě na tyto body byste se měli zaměřit.
- Transparentnost
- Informační bezpečnost
- Ochrana soukromí online
- Pověřenci pod drobnohledem
- A zase ty bezpečnostní incidenty
Geopolitická situace, zvyšující se hodnota dat, rostoucí počty bezpečnostních incidentů a úniků osobních údajů, nová regulace v oblasti kybernetické bezpečnosti (zejména NIS2). To vše vede k zesilujícímu důrazu na zabezpečení informací, včetně osobních dat.
Únik osobních údajů je nepříjemná věc. Kvůli veřejnosti, klientům, investorům, potencionálním kupcům, Úřadu pro ochranu osobních údajů. "Úspěšný" kybernetický útok, který na několik dní či týdnů "vypne" celý podnik, je ale ještě nepříjemnější.
Podívejme se na pár příkladů ze zahraničí.
Největší řecký mobilní operátor Cosmote dostal v roce 2022 od místního úřadu pro ochranu dat pokutu 6 milionů euro (asi 150 milionů korun) nejen za to, že mu unikla data více než 4 milionů zákazníků, ale rovněž kvůli tomu, že incident nedostatečně prošetřil. Do investigace totiž nezahrnul svoji mateřskou společnost, které se incident rovněž týkal.
Britský stavební podnik Interserve Group Limited pak dostal v loňském roce pokutu 4,4 milionů britských liber (zhruba 123 milionů korun českých) za to, že zabezpečení dat podcenil úplně. Používal neaktuální software, neměl nastavený proces pro řešení alertů, neškolil zaměstnance. A proto se mu jednoho stalo, že mu unikly údaje o zhruba 113.000 současných a bývalých zaměstnancích, včetně citlivých údajů o etnickém původu, zdravotním postižení atd.
Zabezpečit informace, zajistit kontinuitu provozu, chránit svoje ICT nástroje, školit management i zaměstnance a řešit bezpečnostní incidenty. To řadě organizací uloží také nová kyberbezpečnostní směrnice, tzv. NIS2. V režimu současného zákona o kybernetické bezpečnosti je zhruba 400 organizací, NIS2 dopadne na minimálně 6.000 tisíc. I proto se vyplatí bezpečnosti osobních údajů a dalších informací plnou pozornost už nyní, celý systém ochrany informací nastavit správně a doložit tak splnění více různých regulací, které na organizaci dopadnou.
Velmi dobrým návodem mohou být ISO normy řady 27000, které komplexně upravují celý systém informační bezpečnosti.
GDPR klade velký důraz na transparentnost zpracování ve vztahu k osobám, jejichž údaje jsou správce využívány.
Každý, kdo zpracovává osobní údaje, musí dotčené osoby, klienty, zaměstnance atd., o zpracování jejich dat informovat už na začátku, když je od nich získává. V průběhu vztahu pak může subjekt údajů kdykoliv přijít se žádostí o větší detail o zpracování jeho dat. A správce mu další, detailní, informace musí poskytnout.
Tato povinnost předpokládá kontrolu a znalost vlastní činnosti při zpracování dat. Aktuální přehled o účelech a právních titulech zpracování, datových toků, využívaných nástrojů, příjemců dat, retenčních dob atd.
Že to v praxi často není lehké, to dokládá i aktivita dozorových úřadů a soudů.
Evropský sbor pro ochranu osobních údajů (EDPB) v roce 2022 vydal návrh metodiky k uplatnění práva na přístup. Na krásných 60 stranách se zabývá všemi aspekty jednoho článku GDPR, konkrétně článku 15. Už jste tuto metodiku četli a zavedli do praxe?
Některé problematické body práva na přístup k osobním údajům upřesňují i soudy. Dotčená osoba má mj. právo vědět, komu dalšímu správce jeho osobní údaje poskytnul. GDPR k tomu používá trochu nejednoznačnou formulaci, že subjekt údajů musí být informován o "příjemci nebo kategoriích příjemců".
Konkrétní příjemci, nebo stačí jen jejich kategorie? Například "další členové podnikatelského uskupení" nebo "naši obchodní partneři uvedení na webových stránkách“?
Soudní dvůr EU v lednu letošního roku v kauze Rakouská pošta upřesnil, že pokud o to subjekt údajů požádá, správce mu musí sdělit, komu přesně jeho osobní údaje předal. Obecná kategorie typu „našich obchodní partneři“ nepostačí. A pokud toho správce nebude schopen, tak mu hrozí pokuta ve známé výši 20 milionů euro nebo 4 % z ročního obratu…
GDPR simulace: konkurenční útok na eshop
Evropský sbor pro ochranu osobních údajů i český ÚOOÚ se v roce 2023 zaměří na pověřence pro ochranu osobních údajů. Na jejich jmenování, kompetence, kvalifikaci, zdroje a organizační začlenění.
Role pověřence je u větších správců a zpracovatelů dat klíčová. Mají, resp. mají mít znalost vnitřních procesů a činností a jsou odpovědní za nezávislé monitorování toho, jak je GDPR v praxi dodržováno. Mají být zapojení do všech relevantních procesů, přípravy nových produktů, řešení případů porušení zabezpečení osobních údajů či vyřizování žádostí dotčených osob, např. uplatnění práva na přístup.
Má váš pověřenec dostatečné a aktuální znalosti? Je správně začleněn v organizační struktuře? Má kapacity na řešení všech požadavků vedení, byznysu i subjektů údajů? A není náhodou ve střetu zájmů, protože kromě role pověřence plní i jiné úkoly?
Velká část zpracování dat se odehrává online. Nabízení produktů a služeb, komunikace se zákazníky, marketing, sdílené služby v oblasti zpracování dat a ochrany informací atd.
V loňském roce došlo k úpravě zákona o elektronických komunikacích týkající se využití cookies a telemarketingu. V kostce řečeno, opět byl posílen důraz na transparentnost a souhlas dotčených osob. Kompetence k dozoru, včetně ukládání pokut, má jak Úřad pro ochranu osobních údajů, tak Český telekomunikační úřad (ČTÚ). Oba úřady vydaly návod, metodiku, jak se s novými pravidly popasovat. Ne všichni se jejich doporučením řídí, proto už začaly padat první pokuty. ČTÚ na konci roku 2022 udělil za protiprávní telemarketing pokutu ve výši 420.000 Kč.
Využívání sdílených nástrojů pro správu a uchování dat, automatické zpracování informací, přesun komunikace s klienty do online světa. To jsou jasné trendy. Z obchodního hlediska je důležité je sledovat, nezaostat za konkurencí. Stejně důležité ale je znát a aplikovat pravidla pro ochranu soukromí online, abyste si s využitím moderních nástrojů a produktů nezpůsobili víc škody než užitku.
Ještě jednou kyberbezpečnostní incidenty, tentokrát z trochu jiného úhlu pohledu.
Správce a zpracovatele osobních údajů můžeme rozdělit do dvou skupin: Ti, kteří už kyberbezpečnostnímu incidentu s dopadem na osobní údaje čelili, a ti, kteří o něm zatím nevědí. Jinak řečeno, k chybám a omylům dochází u každého. A k tomu ještě cílené útoky, vyhledávání slabin a jejich využívání ze strany kriminálních skupin. Nebo agresivní konkurence z druhé strany světa, která by se ráda dostala k vašemu kódu, pracovním postupům nebo klientské databázi.
Incidenty s dopadem do osobních údajů je nutno nejen včas zachytit, ale také řešit. V plném rozsahu, to znamená i ve vztahu ke svým dodavatelům, partnerským organizacím či dalším subjektům z podnikatelského uskupení.
Kromě toho je také nutné incidenty, které pro dotčené osoby představují významnější riziko, ohlásit dozorovému úřadu. GDPR říká, že to správce musí učinit bez zbytečného odkladu, nejpozději do 72 hodin. Správcům se to ne vždy podaří, proto jim evropské úřady poskytují i detailnější návody a formuláře.
Evropský sbor pro ochranu osobních údajů připravil dvě metodiky:
- K posuzování závažnosti incidentu, tzn. jaké riziko konkrétní incidentu představuje pro práva a svobody dotčených osob
- K procesu oznamování incidentů jako takovému
Český Úřad pro ochranu osobních údajů také nelenil. Pro správce připravil osmistránkový formulář, pomocí kterého mohou úřad o incidentu v dostatečném rozsahu informovat.
Kyberbezpečnostní nehody, incidenty a útoky tu s námi jsou a budou. Některé jsou navíc tak záludné, že je organizace musí hlásit jak Úřadu pro ochranu osobních údajů kvůli GDPR, ale do budoucna i Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), protože se bude jednat o incident podléhající NIS2. A třeba ještě dalším úřadům, kvůli sektorové regulaci v oblasti poskytování platebních služeb nebo služeb elektronických komunikací.
Proto je velmi rozumné incidentů předcházet. A nastavit rovněž komplexní systém pro včasné zachycení, identifikaci, řešení a notifikaci těch, které se přes všechnu vynaloženou snahu přece jenom stanou. A stanou se každému!
GDPR simulace: hackerský útok na nemocnice
Autor: František Nonnemann