Záměrná a standardní ochrana osobních údajů

Privacy by Design

Podstata této povinnosti spočívá v nutnosti věnovat se ochraně osobních údajů již v počátečních fázích a během celého vývoje a posléze i při nasazení nových produktů, procesů nebo služeb (souhrnně dále též „produkt“). Jinými slovy je třeba zahrnout ochranu osobních údajů již od počátku vývoje, jako součást budoucího produktu, nikoliv ji odsouvat až na závěrečnou compliance fázi. 
GDPR obsahuje ustanovení čl. 25 odst. 1 upravující Privacy by Design, které ji vymezuje takto:

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.

Z výše uvedeného ustanovení tedy vyplývá povinnost věnovat se ochraně osobních údajů jak v době vývoje, tak posléze již po uvedení produktu na trh. Dále uvádí GDPR kritéria pro vyhodnocení, jaká technická a organizační opatření bude třeba zavést:

• stav techniky
• náklady na provedení
• povaha, rozsah, kontext a účelům zpracování
• rizika pro práva a svobody fyzických osob

GDPR uvádí, že za tím účelem je třeba zavést vhodná technická a organizační opatření (GDPR uvádí jako příklad pseudonymizaci nebo minimalizaci údajů). Cílem těchto opatření je splnění požadavků GDPR a ochrana práv subjektů osobních údajů (tj. obvykle uživatelů).

Privacy by default

Podstatou povinnosti Privacy by Default je povinnost správce osobních údajů zavést vhodná technická a organizační opatření zajišťující, aby byly zpracovávána pouze takové osobní údaje, které jsou nezbytné pro daný účel. GDPR obsahuje ustanovení čl. 25 odst. 2 upravující Privacy by Default, které ji vymezuje takto:

Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Z ustanovení vyplývá, vedle jejího vymezení, především rozsah této povinnosti. Jedná se tak o:

1. množství shromážděných osobních údajů
2. rozsah zpracování osobních údajů
3. doby uložení osobních údajů
4. dostupnost osobních údajů

Cílem je pak omezit přístup veřejnosti k osobním údajům. Otázkou je, zdali GDPR směřuje s tímto cílem jen k, poslednímu, 4. bodu ve výše uvedeném seznamu nebo k celému rozsahu, když např. množství shromážděných osobních údajů nemůže mít na jejich přístupnost vliv.

Jak postupovat při zavádění Privacy by Design a Privacy by Default

Jak již vyplývá z výše uvedeného, bude povinností správce provést zavést opatření směřující k ochraně práv subjektů (uživatelů) spočívající především v zabezpečení osobních údajů a jejich určení v co nejmenším rozsahu. Bude tak záležet z větší části na správci, jaké prostředky pro dosažení výše uvedeného cíle zvolí. GDPR nově upravuje institut posouzení vlivu na ochranu osobních údajů (anglicky též označováno Privacy Impact Assesment, zkráceně PIA). Povinnost jeho provádění se týká zpracování, jež bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Příkladmo uvádí GDPR případy, kdy na základě automatizovaného zpracování osobních údajů dochází k právním účinkům vůči subjektům, zpracování zvláštních kategorií osobních údajů (příkladem může být např. členství v odborech) nebo osobní údaje o trestních věcech a systematické monitorování veřejně přístupných prostorů.
Minimální obsah PIA je dle čl. 35 odst. 3 GDPR následující:

1. systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
2. posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
3. posouzení rizik pro práva a svobody subjektů údajů uvedených; a
4. plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Dle nařízení je tak povinné provádět PIA je v některých případech. Je však vhodné doporučit jeho provedení pokaždé, protože poslouží jako dobré vodítko pro vyhodnocení produktu z hlediska ochrany osobních údajů. Rovněž je vhodné připomenout, že správce musí zajistit a být schopen doložit, že zpracování je prováděno v souladu s nařízením. Bude-li zpracování osobních údajů probíhat u osoby odlišné od správce, tj. zpracovatele, tak bude třeba ve smluvním vztahu s ním co nejvíce omezit rizika a tomu přiměřeně rozdělit odpovědnost. Během navrhování produktu bude třeba dbát na zjištění potřebného rozsahu osobních údajů. Hlediskem zde bude omezení sbíraných osobních údajů v co největší možné míře. Ve výsledku by tak mělo dojít k co největšímu omezení sbíraných osobních údajů (např. by neměla nastat situace, kdy by za běžných okolností e-shop vyžadoval datum narození u člověka). GDPR předpokládá omezení doby uložení osobních údajů. Za tím účelem bude vhodné zavést postupy, které tohoto cíle dosáhnou, např. automatické odstraňování osobních údajů, pokud již nebudou využívány, nebo jejich označení k odstranění po určité době atp.

V neposlední řadě bude vhodné (a někdy povinné) zavést technická a organizační opatření pro zacházení s osobními údaji, tj. např. omezení okruhu osob majících přístup k osobním údajům, omezení rozsahu přístupných osobních údajů nutných pro danou činnost a sledování případů porušení zabezpečení.
Požadavkem GDPR, jak již bylo řečeno, je povinnost správce doložit, že zpracování je prováděno v souladu s ním. Toho může být např. dosaženo uschováním vývojové dokumentace a prokázáním zavedených technických a organizačních opatření. Rovněž lze však využít institutu osvědčení zavedeného nařízením vydávaného akreditovaným subjektem. Zatím však není příliš jisté, nakolik se osvědčení uplatní, neboť GDPR výslovně uvádí, že osvědčením se nesnižuje odpovědnost správce nebo zpracovatele za soulad s nařízením.

Nedodržení výše uvedené úpravy je sankcionováno pokutou ve výši až 10 000 000 EUR nebo až 2 % celkového ročního obratu celosvětově za předchozí finanční rok.