Be Soulad

Ochrana osobních údajů už od návrhu a standardní nastavení ochrany osobních údajů

Jako správce údajů, a to jak při navrhování operace zpracování, tak v době zpracování, musíte zavést vhodná opatření a záruky, které zajistí dodržování zásad ochrany osobních údajů. Musíte také zajistit, aby byly standardně zpracovávány pouze osobní údaje, které jsou nezbytné pro každý konkrétní účel (to se týká množství údajů, rozsahu zpracování, omezení ukládání a jeho dostupnosti).

Jinými slovy, organizace, která uplatňuje záměrnou a standardní ochranu údajů, je organizací, která zvažuje a začleňuje ochranu údajů a soukromí jednotlivců do všech aspektů a ve všech fázích svých operací zpracování, do používaných nástrojů nebo jakékoli jiné obchodní činnosti.
Za tímto účelem musí vaše organizace před zahájením jakýchkoli operací zpracování vzít v úvahu:

• povahu, kontext a rozsah plánované operace zpracování;
• rizika, která mohou vyplývat z plánovaných operací zpracování nebo jiných obchodních činností, které mohou mít dopad na osobní údaje fyzických osob;
• technická a organizační opatření, která by měla být zavedena ke zmírnění zjištěných rizik, a tím zajistit odpovídající ochranu osobních údajů fyzických osob;
• technická a organizační opatření nebo postupy, které mají být zavedeny k zajištění toho, aby zpracování osobních údajů (zejména včetně shromažďování, uchovávání a celkového využívání údajů fyzických osob) bylo omezeno na to, co je nezbytné s ohledem na sledované cíle.
   
• Knihkupectví chce zvýšit své příjmy prodejem knih online. Majitel knihkupectví chce vytvořit standardizovaný formulář pro objednávkový proces. V první řadě vlastník stanoví, že všechna pole ve formuláři jsou povinná, včetně data narození zákazníka, telefonního čísla a adresy bydliště. Ne všechna pole ve formuláři jsou však nezbytná pro účely prodeje a dodání knih.
  Například při objednávce e-knihy si zákazník může stáhnout produkt přímo do svého zařízení. Jako taková nemohou být vyžadována některá pole ve webovém formuláři pro objednání knih. Majitel internetového obchodu se proto rozhodl vytvořit dva webové formuláře: jeden pro objednání knih s polem pro adresu zákazníka a jeden internetový formulář pro objednání elektronických knih bez pole pro adresu zákazníka. Vlastník přitom dbá na to, aby byly shromažďovány pouze údaje nezbytné pro zpracování.
• Lékařská praxe zaměstnávající několik lékařů shromažďuje údaje o svých pacientech ve svém organizačním informačním systému. Různí lékaři mohou potřebovat přístup ke složkám pacientů, například když se starají o pacienty jiného lékaře, který je nepřítomen, a aby ho mohli informovat o svých rozhodnutích. Ta se mohou týkat péče o pacienty, jejich léčby a dokumentace všech přijatých diagnostických, pečovatelských a léčebných opatření. Ve výchozím nastavení je přístup umožněn pouze těm lékařům, kteří jsou přiřazeni k léčbě příslušného pacienta.
   

Je užitečné vést záznamy o těchto posouzeních a opatřeních, abyste mohli prokázat, že dodržujete zásady záměrné a standardní ochrany údajů. Schválený mechanismus pro vydávání osvědčení lze rovněž použít jako prvek k prokázání souladu se záměrnou a standardní ochranou osobních údajů.

Povinnost vést záznamy o zpracování údajů

Jako organizace máte povinnost vést záznamy o svých činnostech zpracování údajů. Tyto záznamy by měly být vedeny písemně, a to i v elektronické podobě.

Takový záznam poskytuje přehled o vašich činnostech zpracování. Chcete-li takový záznam vytvořit, měli byste určit, které z vašich činností vyžadují zpracování osobních údajů (například nábor, správa mezd, školení, správa odznaků a přístupu, seznam potenciálních zákazníků atd.). Každá z těchto operací zpracování musí být popsána v záznamu s těmito informacemi:

• účel zpracování (např. loajalita zákazníků)
• kategorie zpracovávaných údajů (např. pro mzdy: jméno, křestní jméno, datum narození, plat atd.)
• kdo má k údajům přístup (příjemci – např.: oddělení odpovědné za nábor, služby IT, řízení, poskytovatele služeb, partnery...)
• případně informace týkající se předávání osobních údajů mimo Evropský hospodářský prostor (EHP)
• pokud je to možné, dobu uchovávání (dobu, po kterou jsou údaje užitečné z provozního hlediska a z hlediska archivace)
• je-li to možné, obecný popis bezpečnostních opatření.

Za záznamy o činnostech zpracování odpovídá vedoucí vaší organizace. Tento záznam musí být na požádání k dispozici úřadu pro ochranu údajů v zemi EHP, kde působíte. Organizace zaměstnávající méně než 250 osob nemusí ve svých záznamech uvádět čistě příležitostné činnosti (např. údaje zpracovávané pro jednorázové události, jako je např. otevření obchodu). 
 

Jak provést posouzení vlivu na ochranu osobních údajů (DPIA)?

Co je posouzení vlivu na ochranu osobních údajů?

Pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, musí správce údajů provést posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů je písemné posouzení plánované operace zpracování osobních údajů. Pomůže vám určit vhodná ochranná opatření ke zmírnění rizik a prokázat dodržování předpisů.

Kdy provést posouzení vlivu na ochranu osobních údajů?

I když je vždy vhodnější předvídat dopad plánovaných operací zpracování vaší organizace provedením posouzení vlivu na ochranu osobních údajů, je povinné provést takové posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Konkrétně se jedná o případ, kdy zamýšlené zpracování zahrnuje:

• rozsáhlé zpracování osobních údajů zvláštní kategorie a údajů týkajících se rozsudků v trestních věcech;
• systematické a rozsáhlé hodnocení osobních aspektů fyzické osoby založené na automatizovaném zpracování, včetně profilování, na němž jsou založena rozhodnutí, která mají pro dotčenou fyzickou osobu právní účinky nebo se jí obdobným způsobem významně dotýkají;
• systematické monitorování veřejně přístupných prostor ve velkém měřítku.

Ve většině případů by operace zpracování, které splňují dvě z následujících kritérií, měly být posouzeny prostřednictvím posouzení vlivu na ochranu osobních údajů:

1. hodnocení nebo bodování
2. automatizované rozhodování s právním nebo obdobným významným účinkem
3. systematické sledování
4. citlivé údaje nebo údaje vysoce osobní povahy = osobní údaje zvláštní kategorie
5. údaje zpracovávané ve velkém měřítku
6. přiřazování nebo kombinování souborů údajů
7. údaje týkající se zranitelných subjektů údajů
8. inovativní používání nebo uplatňování nových technologických nebo organizačních řešení
9. pokud zpracování samo o sobě brání fyzickým osobám ve výkonu práva nebo v používání služby nebo smlouvy.
    

Obrátit se na orgán pro ochranu údajů v zemi EHP, v níž má vaše organizace sídlo, a zjistit, zda má veřejně dostupný dokument, v němž jsou uvedeny podmínky, za nichž budou operace zpracování vyžadovat posouzení vlivu na ochranu osobních údajů a které operace zpracování posouzení vlivu na ochranu osobních údajů (DPIA) nebudou potřebovat.

Příklady, kdy může být vyžadováno posouzení vlivu na ochranu osobních údajů:

• zpracování biometrických údajů, například skenování otisků prstů nebo obličejových rysů za účelem identifikace pacientů;
• používání údajů o zranitelných osobách pro marketingové účely, například k předvídání jejich nákupů;
• mobilní aplikace, která sleduje polohu jednotlivce.

Příklady případů, kdy posouzení vlivu na ochranu osobních údajů (DPIA) nemusí být vyžadováno

• plánované zpracování je velmi podobné zpracování, které bylo předmětem posouzení vlivu na ochranu osobních údajů
• zpracování je uvedeno na nepovinném seznamu operací zpracování (stanoveném vaším vnitrostátním orgánem pro ochranu údajů), na které se nevztahuje posouzení vlivu na ochranu osobních údaj
• operace zpracování je povolena podle právních předpisů EU nebo vnitrostátních právních předpisů
   

Co je třeba zahrnout do posouzení vlivu na ochranu osobních údajů?

Vaše posouzení vlivu na ochranu osobních údajů by mělo zahrnovat:

• popis plánované operace zpracování a jejího účelu
• posouzení nezbytnosti a přiměřenosti
• rizika, která může operace zpracování představovat
• opatření k řešení rizik

Předchozí konzultace během posouzení vlivu na ochranu osobních údajů

Pokud správce údajů nemůže nalézt dostatečná opatření ke snížení rizik na přijatelnou úroveň (tj. zbytková rizika jsou stále vysoká), je nutná konzultace s orgánem pro ochranu údajů. V takovém případě musí správce údajů poskytnout tyto informace:

• příslušné odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování
• účel zpracování a způsob, jakým bude zpracování prováděno
• plánovaná opatření na ochranu osobních údajů fyzických osob
• případně kontaktní údaje pověřence pro ochranu osobních údajů vaší organizace
• dotčené posouzení vlivu na ochranu osobních údajů

Po posouzení vlivu na ochranu osobních údajů - otestujte, vylepšete, zkontrolujte!

Jakmile je posouzení vlivu na ochranu osobních údajů vypracováno, musíte jej otestovat. V případě potřeby je zdokonalit,  provádět operace zpracování, znovu posoudit, zda se vaše posouzení vlivu na ochranu osobních údajů shoduje s operací zpracování a provedení kontrolní kontroly.

Codes of Conduct

Depending on where your organisation is located in the EEA, there may be associations or other bodies representing data controllers or processors. These associations and bodies may prepare codes of conduct, including data protection mechanisms, that data controllers and processors may adhere to in order to help ensure that individuals’ personal data is respected according to the GDPR.

More specifically, these codes of conduct put in place are to ensure, for instance:

• that personal data is processed in a fair and transparent way;
• that the purposes for which individuals’ personal data is processed are legitimate;
• how to pseudonymise personal data;
• that transparent information is given to individuals’ whose personal data is processed;
• that consent to the processing of individuals’ data, especially personal data related to children, is appropriately sought;
• that all technical and organisational measures are put in place to ensure the secure processing of individuals’ data;
• that procedures for the notification of personal data breaches are followed;
• that procedures, including safeguards, related to transfers of personal data to non-EEA countries and organisations are followed;
• that procedures related to court proceedings and dispute resolutions are followed.

Top tip

You should get in touch with the relevant association or body that prepares GDPR Codes of Conduct, as these may help you with your GDPR compliance.

Certification

What is a GDPR certification?

An organisation that obtains a GDPR certification can use this certification to demonstrate compliance of its processing operations with the GDPR.

The EEA data protection authorities may, for example:

• issue GDPR certifications in respect of its own certification scheme;
• issue GDPR certifications itself, in respect of its own certification scheme, but delegate the entire, or part of the assessment process to third parties;
• create its own certification scheme, and entrust specific bodies to issue these certifications;
• encourage the market to develop certification mechanisms;
• assess the certification schemes of certification bodies.

A certification body is tasked with issuing, reviewing, and withdrawing certifications on a basis of a certification mechanism and approved criteria.

Certification bodies must document their assessment of your organisation’s processing operations for which a GDPR certification may be issued.

My organisation has received a GDPR certification, what’s next?

The GDPR certification of a processing operation that your organisation carries out is valid for a maximum of 3 years, but can be renewed or revoked. To keep this certification, your organisation must continuously and consistently put into practice the measures surrounding the data protection operation that was certified.