GDPR - 3. díl: Vedení záznamů o činnostech zpracování osobních údajů
Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 22. 11. 2017 12:16 | Přečteno: 15333XObecné Nařízení Evropského Parlamentu a Rady č. 2016/679 - obecné nařízení o ochraně osobních údajů (dále „Nařízení”), obecně známé jako „GDPR“ a účinné od května 2018, vychází z obdobných principů, na jakých je postavena předchozí právní úprava Směrnice č. 95/46/ES o ochraně osobních údajů, promítnutá do aktuálně účinného zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen „ZOOU“). Mnoho práv a povinností správců osobních údajů však podrobněji rozvádí, případně je zasazuje do nových souvislostí. Jednou z těchto povinností je vedení dokumentace ke zpracování osobních údajů, nazvaná v čl. 30 Nařízení jako vedení „záznamů o činnostech zpracování“.
Dokumentace dle ZOOU
Co se týče průběžného vedení jakékoli dokumentace týkající se zpracování osobních údajů, stanoví ZOOU správcům výslovně povinnost dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy (§ 13 odst. 2 ZOOU). Tato povinnost se tedy vztahuje pouze k zabezpečení zpracovávaných osobních údajů, které se (obdobně s Nařízením) realizuje prostřednictvím opatření technické a organizační povahy. Opatření technické povahy zahrnují mj. fyzickou bezpečnost datových nosičů a prostor, v nichž ke zpracování dochází, zavedení elektronických prostředků ochrany jako management hesel, anti-malware ochrana nebo zavedení logů ke zpětnému zjištění přístupu k údajům ze strany jednotlivých osob. Opatření organizační povahy zahrnují zavedení účinného managementu přístupových práv jednotlivých uživatelů systému, klasifikace uživatelů (zaměstnanců) podle míry potřeby jejich přístupu k údajům, nebo nastavení interní hierarchie za účelem kontroly zpracování a účinných postupů v případě porušení zabezpečení údajů. Tato opatření by tedy měla být zachycena formou písemného či elektronického dokumentu, případně formou vícero samostatných dokumentů tak, aby je byl správce schopen v případě potřeby prokázat (zejména v případě kontroly). Nejedná se však o komplexní dokumentaci jednotlivých aspektů zpracování, tedy včetně těch, které se přímo netýkají zabezpečení osobních údajů.
Účel vedení záznamů o činnostech zpracování
Nařízení jde v otázce vedení dokumentace správcem dále, když stanoví povinnost vedení tzv. záznamů o činnostech zpracování (čl. 30). V bodě 82 Recitálu Nařízení (který není právně závazným textem, ale přesto je důležitým interpretačním vodítkem pro výklad a aplikaci samotného textu Nařízení) se uvádí: „Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.“ Z tohoto uvozujícího textu lze vyvodit tři důležité závěry k porozumění účelu záznamů o činnostech zpracování:
1) Záznamy slouží k doložení souladu činností správce nebo zpracovatele s Nařízením. Jedná se tudíž o klíčový projev aplikace zásady odpovědnosti, stanovené čl. 5 odst. 2 Nařízení, která je tou nejobecnější zásadou, mající dopad na všechny povinnosti správce či zpracovatele. Tato zásada zastřešuje všechny ostatní základní zásady zpracování osobních údajů, formulované čl. 5 odst. 1 Nařízení (jako je např. zásada účelového omezení zpracování osobních údajů, zásada zákonnosti, transparentnosti a korektnosti nebo zásada přesnosti) s tím, že správce osobních údajů odpovídá za dodržení těchto zásad a musí být schopen soulad s těmito zásadami doložit. Tuto zásadu si tak lze představit jako „maximum možného“ – každý správce by si měl důkladně analyzovat jednotlivé aspekty zpracování a rizika s nimi spojená, pro naplnění každé ze zásad udělat maximum, přičemž musí být kdykoli schopen provedení tohoto maxima prokázat. Nevedení záznamů o činnostech zpracování v případech, kdy je správce nebo zpracovatel vést má (výjimky z této povinnosti viz níže) tak bude nepochybně považováno za známku porušení zásady odpovědnosti.
2) Povinnost vedení záznamů o činnostech zpracování dopadá jak na správce, tak i na zpracovatele osobních údajů. Je to celkový projev vyššího důrazu na povinnosti zpracovatele osobních údajů, které Nařízení zavádí a které tak zpracovatele staví v mnoha případech naroveň správci. Může tak docházet k situaci, kdy na zpracovatele budou dopadat povinnosti, které však zároveň nedopadají na správce, neboť tento nesplňuje potřebná kritéria. Proto i zpracovatelé musí analyzovat, zda na ně povinnost vedení záznamů dopadá, a implementovat tuto povinnost do své praxe, což se zajisté významně dotkne mimo jiné poskytovatelů cloudových a telekomunikačních služeb.
3) Záznamy musí být možno zpřístupnit dozorovému úřadu za účelem umožnění monitoringu zpracování osobních údajů. Jsou tedy důležitou dokumentací, která může determinovat další postup dozorového orgánu v rámci kontroly. Je pochopitelné, že za tímto účelem musí být záznamy vedeny ve formě, která je zachytitelná a v případě kontroly snadno předložitelná. Každý systém umožňující vedení záznamů o činnostech zpracování by měl umožňovat jejich export do standardních formátů, samozřejmě bez jakékoli nadměrné zátěže pro systém správce či zpracovatele. Nařízení v čl. 30 odst. 3 výslovně stanoví, že záznamy je nutno vést písemně, počítaje v to i elektronickou formu (prozatím tedy nic nenasvědčuje tomu, že by tato povinnost neměla být splněna např. vedením tabulkového dokumentu např. v aplikaci MS Excel).
Obsah záznamů o činnostech zpracování
Podíváme-li se na výčet informací, které mají tvořit obsah záznamů o činnostech zpracování, nalezneme zde údaje jako:
- jméno a kontaktní údaje správce;
- účel pracování;
- popis kategorií subjektů údajů a kategorií osobních údajů;
- kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
- informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci;
- je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
- je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.
Upozorňujeme, že kompletní výčet informací tvořících obsah záznamů je uveden v čl. 5 odst. 1 (pro správce), resp. v čl. 5 odst. 2 (pro zpracovatele), přičemž je pojat jako výčet vyčerpávající, nikoliv pouze demonstrativní. Každému, kdo někdy prováděl oznámení o zpracování osobních údajů ve smyslu § 16 ZOOU, tedy registraci jakožto správce osobních údajů na stránkách Úřadu pro ochranu osobních údajů, jistě nebude výše uvedený výčet neznámý. Obsah záznamů o činnostech zpracování se skutečně do velké míry překrývá s obsahem informací, poskytovaných dozorovému úřadu v rámci ohlášení zpracování osobních údajů, které je prozatím povinen každý správce provádět na základě § 16 ZOOU. Nařízení upouští od všeobecné ohlašovací povinnosti správce, a nahrazuje ji vlastní odpovědností správce za dodržování jednotlivých zásad zpracování a konkrétních povinností (viz výše uvedená zásada odpovědnosti) a přísnou ohlašovací povinností v případě zjištění jakéhokoli porušení zabezpečení osobních údajů, a to jak vůči dozorovému úřadu, tak i vůči samotným subjektům údajů.
To znamená, že stejně jako doposud musí správce (nově však i zpracovatel) sám provést analýzu zpracování jednotlivých aspektů osobních údajů, její výsledky však neposkytne dozorovému úřadu v rámci plnění ohlašovací povinnosti, ale promítne je do záznamů o činnostech zpracování osobních údajů.
Zjednodušeně řečeno, měly by informace, zpracovávané v rámci záznamů o činnostech zpracování, zodpovědět na následující otázky:
- Kdo? Tedy kdo je správcem, případně zpracovatelem údajů, zda existuje společný správce (jedna z novinek zavedených Nařízením), zda má správce či zpracovatel pověřence pro ochranu osobních údajů (tzv. „DPO“).
- Proč? Tedy za jakým účelem dochází ke zpracování údajů. Vymezení účelu je vhodné věnovat náležitou pozornost, protože má zásadní vliv na mnoho dalších aspektů a povinností (zejm. na odlišení jednotlivých činností zpracování, na dosah a použitelnost souhlasu uděleného ze strany subjektů údajů apod.).
- Co? Tím se rozumí popis jednotlivých kategorií zpracovávaných osobních údajů i subjektů (tedy fyzických osob), jichž se tyto osobní údaje týkají.
- Kde? Je nutno náležitě lokalizovat samotné procesy zpracování osobních údajů (tedy stanovit, kde k němu reálně dochází) a lokalizovat rovněž jejich příjemce (primárně z hlediska jejich umístění v rámci nebo vně EHP).
- Jak dlouho, do kdy? Je nutno stanovit, jak dlouhá má být doba zpracování ve vztahu ke každému konkrétnímu účelu, to vše především s přihlédnutím k zásadě minimalizace údajů, podle níž má být zpracování přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou údaje zpracovávány.
- Jak? Tedy jak je zajištěna bezpečnost zpracovávaných údajů s ohledem na výše zmíněná technická a organizační opatření ochrany osobních údajů.
I přestože je výše uvedený výčet informací koncipován jako úplný (v čl. 30 odst. 1 je uvozen spojením „Tyto záznamy obsahují všechny tyto informace…“), lze doporučit, aby v něm správce nad tento rámec vedl rovněž alespoň údaje o právním základu zpracování ve vztahu ke každému konkrétnímu účelu, o případných identifikovaných porušeních zabezpečení údajů, případě další informace.
Kteří správci nemusí vést záznamy o činnostech zpracování?
Nařízení stanoví povinnost vedení záznamů o činnostech zpracování jako obecnou povinnost pro všechny správce a zpracovatele. Z této povinnosti v čl. 30 odst. 5 stanoví jednu poněkud nešťastně formulovanou výjimku – povinnost vedení záznamů o činnostech zpracování nedopadá na správce nebo zpracovatele který je podnikem či organizací, zaměstnávající méně než 250 osob. Takto rozsáhlá výjimka by pochopitelně stavěla vedení záznamů o činnostech zpracování do zcela odlišného světla, kdy by z této povinnosti činila záležitost týkající se pouze velkých korporací. Bohužel však uvedené ustanovení pokračuje výčtem několika „výjimek z výjimky“, tedy případů, kdy se výše uvedené kritérium počtu zaměstnávaných osob neuplatní, a kdy musí záznamy o činnostech zpracování vést i menší organizace bez ohledu na počet zaměstnanců. Záznamy tedy bez ohledu na počet zaměstnanců musí vést správce nebo zpracovatel:
- pokud zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů;
- provádějící zpracování které není příležitostné, nebo;
- provádí zpracování které zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 Nařízení nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Právě výjimka týkající se „příležitostného zpracování“ dle našeho názoru činí kritérium 250 zaměstnanců prakticky neaplikovatelným, když u většiny organizací nalezneme minimálně jedno, většinou však několik zpracování osobních údajů, které není příležitostné – typicky zpracování v rámci vedení personální agendy. Vedle této výjimky pak ostatní dva případy pozbývají důležitost. Případ, kdy by se výjimka týkající se příležitostného zpracování skutečně nemusela uplatnit, si lze představit zejména u zpracovatelů, pověřených správcem osobních údajů zpracováním probíhajícím na velice příležitostné a nárazové bázi. U správců si však obdobnou situaci lze představit jen stěží. V každém případě lze doporučit, aby jakýkoli správce či zpracovatel, který dojde k závěru, že podle výše uvedených kritérií záznamy o činnostech zpracování vést nemusí, měl tento závěr podložen dostatečně detailní interní analýzou, kterou by byl schopen v případě kontroly předložit dozorovému úřadu a rovněž ji obhájit.
Závěr
V této souvislosti je nutno uvést, že porušení povinnosti vést záznamy o činnostech zpracování je Nařízením výslovně sankcionováno, když spadá do „nižšího“ pásma pokut, pro něž je stanoven strop 10 miliónů EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Ačkoli obvyklá výše ukládaných pokut bude v praxi nepochybně řádově nižší (čl. 83 odst. 2 Nařízení stanoví poměrně detailní rozpis kritérií, k nimž musí dozorový orgán přihlédnout při stanovení výše pokuty), bude nevedení záznamů o činnostech zpracování porušením velice snadno zjistitelným, a tudíž i snadno sankcionovatelným.
Tento článek vyšel v časopise IT Systems č. 10/2017 v rámci seriálu "GDPR od A do Z".
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.