GDPR v sociálních službách - úvod do tématu Ing. Jaroslav Dolanský 1 1

GDPR Obecné nařízení o ochraně osobních údajů (Global Data Protection Regulation) Týká se pouze všech živých fyzických osob Vstoupí v platnost 25. 5. 2018 (přijato bylo 26. 5. 2016) Je nadřazeno zákonu č. 101/2000Sb. O ochraně osobních údajů a nástupcem směrnice 95/46/ES V české legislativě bude doplněn zákonem o ochraně osobních údajů a zákonem, kterým se mění některé zákony v souvislosti s přijetím předchozího zákona Vlastně dochází k úplnému nahrazení stávajících zákonných předpisů na ochranu osobních údajů a v zákoně 101/2000 zůstává pouze definice a kompetence úřadu, jako dohledového a sankčního orgánu. Netýká se pouze fyzických osob, která údaje shromažďují pro svoji potřebu (např. seznam kontaktů), ale paradoxně už se týká firem, které jim k tomu poskytnou prostředky (např. google) 2

Co hrozí Při nedodržení nařízení hrozí zpracovateli: - Pokuty 1.000.000,- až max. 10.000.000,- Kč, lze je ale i prominout Žaloby fyzických osob Trestně právní odpovědnost právnických osob Reputační rizika, ztráta důvěry apod. Pozor! – odpovědnost nese vždy statutární zástupce – (a může jí pouze částečně přenést na zaměstnance) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 3

Zásada přiměřenosti Všechna opatření zavedená pro zabezpečení osobních údajů a jejich zpracování musí (dle čl. 24 a 25): - odpovídat rizikům a pravděpodobnosti a výši škody, která může nastat - odpovídat situaci a možnostem správce Pozor! – tímto není dotčena základní povinnost správce osobní údaje zabezpečit a především minimalizovat množství a rozsah, který zpracovává Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 4

Co jsou osobní údaje Osobní údaj je jakákoli informace o fyzické osobě, pokud lze tuto osobu kýmkoli identifikovat. Patří sem tedy např.: - jméno, pohlaví, věk, adresa - telefon, email, uživatelské jméno, cookies, IP adresa - fotografie, video, zvukový záznam - zvláštní osobní údaje: rasa, politické názory, náboženství, sexuální orientace, genetické a biometrické údaje a informace o zdravotním stavu Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 5

Jak pracovat s osobními údaji - se souhlasem subjektu, ve veřejném (tj. zákonem vyžadovaném), nebo oprávněném (tj. účelem vyžadovaném) zájmu, na základě smluvního ujednání, nebo splnění právní povinnosti - minimalizovat údaje a uložení - dodržovat transparentnost, tj. informovat o zpracování - aktualizovat údaje, opravovat je a včas mazat - zabezpečit je proti zneužití Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 6

Používání souhlasu a dodatků - v případě poskytovatelů sociálních služeb se téměř nebudou používat, protože většina zpracování je založena na základě smluvního vztahu, nebo veřejném, či oprávněném zájmu - smluvní dodatky pro zpracovatele (externí dodavatele) by měl definovat úřad (§52 odst.1 písm. g) adaptačního zákona) - první vzory souhlasu a dodatků ze strany MPSV budou k dispozici přibližně na začátku května Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 7

Jak dodržet GDPR 5. Vyhodnocovat události a hlásit incidenty ÚOOÚ. 4. Stále zjišťovat funkčnost zavedeného systému a systém zlepšovat – auditní proces (accountabilita) 3. Zavést systém ochrany osobních údajů a dokumentovat záznamy a účely zpracování 2. Vědět kde osobní údaje jsou, kdo k nim přistupuje, co s nimi dělá a jaká rizika jim hrozí. 1. Vědět které údaje shromažďuji a proč. Kdo nehlásí incidenty, ten je nerozpozná, tedy nemá zavedeno GDPR a je nezbytná jeho kontrola. Je to popsáno úmyslně pozpátku, protože ÚOOÚ od počátku říkalo, že zavedení směrnice nic neznamená. Opak je ale pravdou, protože hlavní povinnost hlásit a vyhodnocovat incidenty nutí všechny zpracovatele na sebe hlásit každé porušení směrnice a provést o tom i o řešení záznam. Abych mohl hlásit incident, musím vést dokumentaci a abych mohl vést dokumentaci musím vědět o čem a tím se nakonec dostávám k nutnosti zásadně měnit všechny svoje procesy ve společnosti. Největším problémem potom je, že neexistence hlášení je pro ÚOOÚ vlastně podezřelá, protože naznačuje, že směrnici nedodržuji a stávám se podezřelým. 8

Jak na to? 1. využití ISO 9001 a ISO 27001 Řešením je zavedení politiky ochrany osobních údajů - GDPR se v uvedených normách inspirovala Tato varianta je ale velmi drahá a pro většinu organizací velmi náročná 2. využití centrálních metodik a kodexu chování (čl. 40) Profesní sdružení, nebo metodicky řízené organizace mohou využít společných metodik a vzorové dokumentace, čímž je možné výrazně snížit náklady i složitost implementace Uvedené ale vyžaduje unifikaci postupů a částečně i technického vybavení jednotlivých organizací. 3. individuální implementace Vyžaduje velké časové a / nebo finanční náklady. 4. kombinace variant V našem případě navrhujeme postupovat kombinací bodů 2 a 3. Při nasazení hrozí vysoké náklady, které obsahují mj. Úpravy interních systémů a změnu pracovních náplní (někdy dokonce i přijímání nových pracovníků – minimálně DPO „Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Vše lze minimalizovat, ale i tak je nezbytné nechat část formulářů buď získat, nebo koupit od odborné firmy, nebo někoho, kdo se zabývá implementací řízení kvality, nebo centrální metodikou. V případě minimalizace opatření a investice musím předpokládat vyšší trvalé náklady na udržení, vyhodnocování a kontrolu takto vytvořeného systému. V případě pečovatelských služeb je to ale asi jediná možnost jak takový systém vůbec zavést a nezruinovat společnost. Teoreticky by zde měl být návrh jak jim MPSV pomůže, ale pravděpodobně se nebudeme moci zmínit o naší roli jinak než velmi obecně, tj. Že se jim budeme snažit pomoct. 9

Jak na to - konkrétně 1. Analýza stávajícího stavu 2. Analýza rizik (body 1 a 2 viz. prezentace Analýza a její přílohy) 3. Definice a implementace procesů GDPR 4. Definice a implementace nápravných opatření 5. Zavedení řízené dokumentace (body 3 až 5 viz. prezentace Metodika a její přílohy) Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 10

DPO - pověřenec Fyzická osoba – externí spolupracovník, nebo zaměstnanec, ale nesmí zároveň zpracovávat osobní údaje Kontaktní osoba pro ÚOOÚ Vlastní auditor a kontrolor, ale bez pravomoci udělovat sankce DPO komunikuje jménem správce, nebo zpracovatele, ale nemá žádnou odpovědnost a ani ji na něj nelze přenést Zákon byl přijat jako nástroj ochrany spotřebitelů a zamezení šíření spamu, ale sankce jsou natolik astronomické, že má spíše likvidační charakter a dále omezuje možnosti podnikání. I nejmenší udělené sankce jsou pro neziskové organizacelikvidační. Poskytovatelé údajů mají navíc zaručeno právo na náhradu nehmotné újmy, kterou není možné dopředu odhadnout. Nelze zapomenout ani na možnou ztrátu klientů, případně vlastní licence. 11

Kde hledat pomoc? Úřad pro ochranu osobních údajů: www.uoou.cz – web ÚOOÚ, metodiky, výklad ustanovení, definice pojmů MPSV: www.mpsv.cz/cs/13916 – kodex chování + metodika implementace a vzorová dokumentace Odd. koncepce sociálních služeb jaroslav.dolansky@mpsv.cz karel.svarc@mpsv.cz Naštěstí existuje již mnoho specializovaných portálů, které se na tuto problematiku specializují. Kromě ÚOOÚ, jsem zde uvedl tři další, ale je jich mnohem víc. Problematice se také věnují velké právní kanceláře. Problém je pouze v tom, že většinou se jedná o prezentaci konzultantských kapacit a snahu přilákat zákazníka nabídkou prací, které vedou na zavedení systému typu ISO za stovky tisíc. Lze ale předpokládat, že s blížícím se termínem GDPR se bude objevovat více portálů nabízejících informace, podporu a vzory dokumentů za minimální peníze. 12