Doporučený postup Per Partes pro dosažení shody ochrany soukromí s požadavky GDPR

Klasické pojetí úvodní GAP analýzy poukazuje hned v úvodu na nepřipravenost výchozího stavu, neposkytuje tedy žádný využitelný výstup směrem k GDPR dokumentaci a podle našeho názoru slouží zejména k "vystrašení" organizací. Ve výchozím stavu se totiž dá s jistotou říci, že naprostá většina organizací nesplňuje požadavky GDPR, tudíž výsledkem GAP analýzy bude obecná proklamace, že u vašich operací zpracování osobních údajů nesplňujete či splňujete jen částečně následující zásady čl. 5 GDPR:

  1. „zákonnost, korektnost a transparentnost“ (‘lawfulness, fairness and transparency’)
  2. „účelové omezení“ (purpose limitation)
  3. „minimalizace údajů“ (data minimisation)
  4. „přesnost“ (accuracy)
  5. „omezení uložení“ (storage limitation)
  6. „integrita a důvěrnost“ (integrity and confidentiality)
  7. „odpovědnost“ (accountability).

Navrhujeme postupovat podle našeho přístupu mnohem pragmatičtěji tak, aby se neprováděly zbytečné kroky a minimalizovala se pracnost zajištění souladu s GDPR. Náš doporučený postup udává následující etapy:

1. Identifikace zpracování osobních údajů

Zjištění, kde se v rámci obchodních, provozních či jiných činností organizace zpracovávají osobní údaje. Výstup: Tabulka obsahující pro identifikované operace zpracování údaje:

  • Název operace zpracování
  • Vstup osobních údajů do procesu
  • Popis zpracování osobních údajů (proces)
  • Jaké osobní údaje jsou využívány v procesu
  • Kdy končí potřeba údajů
  • K čemu se využívají (účel)

Tabulka operací zpracování osobních údajů je základem určujícím rozsah zpracování osobních údajů v dané organizaci.

2. Posouzení závažnosti zpracování osobních údajů

Posouzení, zda jde v identifikovaných operacích zpracování o hlavní činnosti organizace, tj. činnosti, které jsou nezbytné pro její působení na trhu, a zda je dle GDPR povinností či je z povahy závažnosti zpracování osobních údajů vhodné zavést roli pověřence na ochranu osobních údajů (DPO).

3. Posouzení vysokých rizik vč. inherentních rizik podle GDPR

Základní analýza rizik s posouzením, zda zpracování osobních údajů "bude pravděpodobně mít za následek vysoké riziko pro práva a svobody fyzických osob" (citace z GDPR). Posouzení vysokých rizik proběhne s ohledem na tzv. inherentní (z povahy vysoká) rizika dle návodu WP 248 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. GDPR rozlišuje v podstatě běžné riziko (mluví jen o "riziku") a "vysoké riziko". Návod na to, co je vysoké riziko, je ne zcela určitě dán ve WP 248. Pro posouzení vysokých rizik se využívají tato kritéria:

Označení Název kritéria
K1 Hodnocení včetně bodování, profilování, lokalizace a predikce chování.
K2 Automatizované rozhodování s právním nebo významným účinkem.
K3 Systematické monitorování a pozorování včetně veřejně přístupných prostor s nemožností vyhnout se zpracování údajů.
K4 Zpracování zvláštních kategorií osobních údajů včetně údajů o elektronické komunikaci, platebních údajů nebo údajů o čistě osobní nebo domácí činnosti.
K5 Rozsáhlé zpracování z hlediska počtu osob, objemu dat a rozsahu datových položek, doby trvání a geografického rozšíření.
K6 Sdružování, kombinování nebo porovnání osobních údajů z více zpracování pro různé účely nebo různými rozumně nepředpokládatelnými správci.
K7 Zpracování údajů zranitelných osob, které jsou v nerovnoprávném postavení vůči správci údajů a odmítnutí by jim způsobilo vážné problémy (zaměstnanec vůči zaměstnavateli, děti, ...).
K8 Inovativní využití technologií nebo nových technologických řešení s novými formami zpracování osobních údajů.
K9 Zpracování osobních údajů zabraňující osobě uplatnit právo využívat službu nebo smlouvu.
K10*) Předání osobních údajů přes hranice mimo území EU. *) pokyn WP 248 ze 4.4.2017

Obecně platí, že čím více kritérií je naplněno, tím jistější je závěr, že se jedná o inherentní "vysoké riziko" dle GDPR. Společnost Per Partes má zpracována interpretační pravidla vycházející ze síly kritérií vůči GDPR, tedy u některých kritérií stačí jeho jednotlivé naplnění, u jiných by se mělo objevit jejich spolupůsobení v kombinaci.

4. Odstupňovaný plán implementace

Doporučujeme postupovat při implementaci požadavků GDPR přes operace zpracování odstupňovaně na základě dvou základních myšlenkových přístupů:

a) Přístup shora dolů, tj. zaměřit se v prvé řadě na operace zpracování osobních údajů, které představují na základě výsledku posouzení vysokých rizik z perspektivy subjektu údajů vysoké riziko. Na tyto operace zpracování se vztahují přednostně požadavky GDPR na ochranu osobních údajů a je pro ně nezbytné provádět posouzení vlivu na ochranu osobních údajů - tzv. DPIA.
b) Paretův zákon 80/20, tj. zaměřit se přednostně na ta opatření, u kterých menšinové úsilí na realizaci způsobí většinový efekt směrem ke shodě s požadavky GDPR.

Odstupňovaný plán implementace vychází z rizikového apetitu na straně správce osobních údajů. Je potřeba rozumně stanovit, kam až opatření na snížení rizik ochrany soukromí mají být zavedena a jaká je tedy úroveň zbytkového rizika v operacích zpracování osobních údajů, přičemž je zřejmé, že zbytkové riziko nesmí být dle GDPR vysoké. Výsledkem aplikace výše uvedených pravidel jsou zpravidla tři skupiny operací zpracování:

  1. Zpracování osobních údajů s vysokými riziky: DPIA s návrhem opatření proti rizikům v plném rozsahu a hloubce dle WP 248.
  2. Zpracování osobních údajů se středními riziky: DPIA s návrhem opatření proti rizikům v plném rozsahu a základní hloubce.
  3. Zpracování OÚ s nízkými riziky: DPIA s návrhem opatření proti rizikům v základním rozsahu a základní hloubce.

5. (a) Implementace ochrany soukromí pro "plnou DPIA skupinu"

Je zřejmé, že řada organizací nemusí provádět zpracování osobních údajů v první prioritní skupině anebo je cílem organizací navrhnout v rámci plánování implementace takové úpravy operací zpracování, aby se první skupina minimalizovala.

(a) Provedení plné DPIA

Pro první DPIA skupinu operací zpracování je povinné dle GDPR zpracování posouzení vlivu zpracování osobních údajů na ochranu soukromí (práv a svobod jednotlivců). Zpracování DPIA obsahuje několik části a je pracné, zejména zahrnuje dle WP 248 následující kroky:

  1. podrobný popis všech činností při zpracování osobních údajů,
  2. zdůvodnění účelu zpracování pro jednotlivé činnosti,
  3. podrobná kontrola na splnění požadavků GDPR,
  4. detailní analýza rizik při zpracování osobních údajů z perspektivy subjektu údajů popř. z perspektivy organizace,
  5. návrh opatření k ošetření identifikovaných rizik (klíčová část dosažení "privacy by design"),
  6. nový návrh upraveného procesu zpracování osobních údajů po aplikaci navržených opatření od výchozího nastavení (klíčová část pro dosažení "privacy by default"),
  7. zdůvodnění zbytkového rizika a pokud je "vysoké", pak další povinnosti v součinnosti s ÚOOÚ.

Požadavky GDPR (krok 2.) nejsou nikde taxativně vyjmenovány a je třeba je dovodit z rozsáhlé a spíše obecné až vágní textace GDPR. Doporučujeme vycházet v tomto případě z německého dokumentu The Standard Data Protection Model (SDM), který odvozuje z GDPR následující cíle ochrany soukromí, jejichž splnění je možné lépe prověřovat:

  1. „Minimalizace dat“ (Data Minimisation)
  2. „Dostupnost“ (Availability)
  3. „Integrita“ (Integrity)
  4. „Důvěrnost“ (Confidentiality)
  5. „Nespojitelnost“ (Unlinkability)
  6. „Transparentnost“ (Transparency)
  7. „Intervence“ (Intervenability)
  8. „Pravost“ (authenticity)
  9. „Revidovatelnost“ (revisability).

(b) Zadání navržených opatření k realizaci

Jedná se o zadání úprav stávajících operací zpracování podle návrhu opatření provedeného v rámci DPIA.

(c) Vlastní implementace navržených opatření

Implementace navržených opatření vyplývajících ze zadání úprav požadovaných v DPIA. Jedná se o specifická řešení podle konkrétních podmínek daných zejména stavem informačních systémů v dané organizaci.

(d) Kontrola dosaženého stavu oproti zadání a DPIA

Výsledné úpravy by měly procházet kontrolou na dosažený stav oproti zadání a zpětně by mělo dojít k přezkoumání výsledného návrhu operací zpracování provedeného v DPIA. Tento krok je nezbytný z důvodu zajištění transparentnosti zpracování osobních údajů, tedy schopnosti doložit fakticky přesný popis operací zpracování.
Zpravidla dochází ke zpětné aktualizaci DPIA tak, aby došlo ke sjednocení reálně dosaženého stavu úprav s popisem operace zpracování osobních údajů, shody na požadavky GDPR a rizikovou analýzou provedenou v DPIA.

5. (b) Implementace ochrany soukromí pro "zjednodušenou DPIA skupinu"

Tato skupina odpovídá identifikovaným středním rizikům a proto doporučujeme provádět zjednodušenou formu DPIA při zachování struktury a kroků.

(a) Provedení zjednodušeného DPIA
(b) Zadání navržených opatření k realizaci
(c) Vlastní implementace navržených opatření
(d) Kontrola dosaženého stavu oproti zadání a zjednodušeného DPIA

5. (c) Implementace ochrany soukromí pro "skupinu bez DPIA"

Tato skupina odpovídá identifikovaným nízkým rizikům a proto není potřeba zpracovávat DPIA ani ve zjednodušené podobě. Přesto zůstává povinnost popsat operaci zpracování osobních údajů alespoň rámcově a provést kontrolu splnění požadavků GDPR, samotná podrobná analýza rizik s návrhem opatření proti rizikům už není nezbytně nutná.

6. Stanovení postupů povinné reakce dle GDPR

Doplnění postupů pro reakce na práva subjektu údajů a ohlašovací povinnosti při porušení zabezpečení osobních údajů směrem k ÚOOÚ.

7. Stanovení odpovědnosti do smluv se zpracovateli

Správce musí jasně stanovit, které povinnosti dle GDPR se týkají jej a které jsou z důvodu zpracování jiným subjektem převedeny na tento subjekt, zpravidla IT dodavatele.

8. Kompletace GDPR dokumentace

Dopracování a kompletace dokumentace k GDPR.

9. Nastavení pravidel pro udržitelnost systému pro ochranu soukromí

Systém ochrany soukromí podle GDPR musí být trvale udržitelný. Na tuto podstatnou povinnost je potřeba pragmaticky myslet již od prvotní etapy 1. Identifikace zpracování osobních údajů a dále ve všech navazujících etapách, zejména při analýze vysokých rizik a DPIA. Popis systému ochrany soukromí je potřeba udržovat v aktuální stavu odpovídajícím skutečnému provádění operací zpracování osobních údajů. V souvislosti s udržitelností systému pro ochranu soukromí musí být zaveden princip odpovědnosti (ve smyslu angl. "accountability", tj. jasné odpovědnosti za dodržení shody s GDPR ve všech částech systému ochrany soukromí). Dále je třeba vycházet z principu transparentnosti, což fakticky znamená, že úvahy a postupy provedené v předcházejících etapách jsou doložitelné z dokumentace a závěry zdůvodnitelné. Systém je tedy rozumné dokumentovat průběžně s ohledem na jeho budoucí údržbu.

Diagram postupu Per Partes při GDPR