Mgr. Eva Škorníčková (www.eva.skornickova.cz, www.gdpr.cz) jako členka Pracovní skupiny Úřadu vlády ČR k legislativě v oblasti ochrany osobních údajů účastníky zasvěceně uvedla do problému ohledně nařízení GDPR. Jindřich Bajer jako specialista pojištění kybernetických rizik nás nechal nahlédnout do statistiky škod, které se úniku osobních údajů týkaly.
Cílem článku není přepis semináře, ale dovolím si upozornit na některé, dle mého názoru důležité poznatky, které mně i ostatním účastníkům toto školení přineslo.
Zásadní informací, kterou jsme se na semináři dozvěděli, je, že nařízení bylo schváleno Evropským parlamentem dne 14. 4. 2016 po čtyřletém vyjednávání, nahrazuje Směrnici 95/46EC s účinností od 25. 5. 2018 a v České republice nahrazuje zákon č. 101/2000 Sb. na ochranu osobních údajů. Nařízení vydaná Evropským parlamentem jsou účinná plošně v celé EU počínaje datem účinnosti stanovené Evropským parlamentem a není třeba je implementovat do národních právních řádů, jako je to u směrnic.
Mohlo by vás zajímat: Petr Borkovec: Nová pojišťovna se zaměří na jeden produkt
Naši zákonodárci by měli do doby účinnosti nařízení přijmout tzv. adaptační zákon, kterým mohou přizpůsobit některé články v nařízení dle našeho právního řádu, například věk dětí pro souhlas se zpracováním osobních údajů. Bohužel naši zákonodárci se v návrhu adaptačního zákona zabývají pouze procesy vůči Úřadu pro ochranu osobních údajů, a navíc jeho schvalování ani není na pořadu dne. Je tedy otázkou, zda do 25. 5. bude vůbec projednán.
Kdekdo se domnívá, že tím, že zákon není v našem Parlamentu zatím přijat, nic se pro něj vlastně nemění, a klidně dál vyčkává. To je ale omyl. Nařízení přijatá Evropským parlamentem mají větší sílu než národní právní řád a jejich dodržování je vymahatelné dnem účinnosti, tudíž od 25. 5. se všichni bez rozdílu musíme smířit s tím, že jakékoliv porušení - nenahlášení, nezřízení pověřence či jiné nedodržení nařízení - bude znamenat vystavit se riziku pokuty ve výši až 20 milionů eur.
Proč vlastně nařízení GDPR vzniklo? Odpověď je celkem jednoduchá: z důvodu posílení práva osob na kontrolu nad jejich osobními údaji. V našem přetechnizovaném světě, kdy je během jediné minuty odesláno téměř 21 milionů zpráv jen na WhatsApp, je snahou Evropského parlamentu nastavit rovnováhu mezi legitimními zájmy správců a zpracovatelů dat a právem osob na soukromí.
Mohlo by vás zajímat: SLASPO: Návrh daně z pojištění překvapil
Co si pod osobními údaji máme představit? Je třeba říci, že ochrana osobních údajů se týká pouze fyzických osob a podnikajících fyzických osob. Osobními údaji jsou veškeré informace vztahující se k identifikované nebo identifikovatelné osobě a mohou být obrazové (fotografie), slovní (hlasový záznam), IP adresa, rentgenový snímek nebo informace, které mají k osobě vztah svým obsahem (pracovní pozice).
Údaje se člení na osobní a organizační. Jistě jste zaznamenali, že ochrana osobních údajů se bude týkat i vašeho hlasu, neboli dávejte si pozor na všechny hovory, které s vámi chce někdo nahrávat. K nahrávání hlasu a pořizování videa i fotografií musí dát každá fyzická osoba nejprve souhlas, přičemž tento souhlas musí být výslovně vyjádřený, a to písemně nebo slovně. „Výslovně“ znamená např. kladná odpověď na otázku „Můžeme si hovor nahrávat z důvodu zkvalitnění služeb?“ Nestačí jen oznámit „Hovor bude nahráván.“
Stejné je to s fotografií. Pokud jste pořídili databázi fotografií zaměstnanců z důvodu identifikace například na průkazku, je všechno v pořádku a vy nepotřebujete souhlas zaměstnance. Ale pro uveřejnění fotografie ve firemním časopise nebo pořízení fotografie z firemní akce již souhlas potřebujete, a to souhlas písemný a konkrétní. Nelze si vyžádat souhlas s uveřejněním ve firemním newsletteru a pak fotografii umístit v marketingovém příspěvku v jiném časopise.
Mohlo by vás zajímat: Úraz na lyžích? Plnění pojišťoven se výrazně liší
Dalším ožehavým tématem jsou citlivé osobní údaje neboli veškeré údaje charakteru genetického nebo biometrického, například záznam o zdravotním stavu. Zpracování takových údajů je taxativně vymezeno buď výslovným souhlasem, nebo v nařízení k vyjmenovaným účelům. Každý, kdo má nějaké zaměstnance, a stačí jeden jediný, je zpracovatelem jak osobních údajů, tak i citlivých osobních údajů, tudíž 90% firem a institucí v ČR je zpracovatelem a musí se nařízením zabývat.
Co jsem si ze semináře odnesla nejdůležitějšího? Kdy může člověk nebo firma osobní údaje zpracovávat.
Může tak činit v okamžiku, kdy k tomu má zákonný důvod. V případě důvodu daného zákonem, např. zpracování osobních údajů zaměstnanců, pak správce údajů nemusí vyžadovat souhlas ke zpracování. Dokonce v případě, že bude i přes zákonný důvod souhlas vyžadován, budou dozorové orgány udílet pokuty. Myslete tedy na to, že domnělým posílením vaší pozice souhlasem navíc se ve skutečnosti vystavujete riziku postihu.
Dále lze osobní údaje zpracovávat v případě životně důležitých zájmů, například při ochraně zdraví obyvatel.
Mohlo by vás zajímat: UNIQA: Počet škod loni vzrostl téměř o 10 %
Třetí okolností umožňující zpracování osobních údajů je veřejný zájem nebo oprávněný zájem. V případě oprávněného zájmu musí být rovnováha mezi zájmy zpracovatele a subjektu dat, neboli oprávněnost zájmu je dána tím, že slouží ve prospěch subjektu dat.
Posledním okamžikem, který zpracovatele opravňuje ke zpracování dat, je souhlas, výslovný a konkrétní. Souhlas nesmí být součástí smlouvy. Souhlas musí být jednostranný akt, který nezpochybnitelně stanoví, jaké údaje a za jakým účelem lze zpracovávat. Pod tím si lze představit, že klient, kterému jste zprostředkovali pojištění vozidla, výslovně souhlasí s tím, že mu budete nabízet i jiné produkty. Pokud takový souhlas nemáte, nemůžete mu nabídnout žádné jiné pojištění než to, které jste s ním uzavřeli, je tedy možné nabídnout pouze úpravu smlouvy, případně jinou pojistnou smlouvu na vozidlo. Stejně tak banka, ve které máte běžný účet, vám může nabízet pouze produkty spojené s běžným účtem; nemůže nabízet investiční nebo jiné produkty, pokud jste nedali výslovný souhlas s tím, že máte o nabídku jiných produktů zájem.
Co vše si pod zpracováním osobních údajů můžeme představit? Je to shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledávání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení a výmaz či zničení.
Mohlo by vás zajímat: Jan Matoušek: Regulace zahltí pojišťovny i klienty
Novými termíny ve zpracování údajů jsou výmaz a právo být zapomenut. Kdy může subjekt osobních údajů požadovat výmaz a kdy právo být zapomenut? Právo na výmaz nebo zapomenutí má každý subjekt osobních údajů v okamžiku, kdy pominou důvody se zpracováním, nebo byly tyto důvody nezákonné. Toto právo však není absolutní, neboť důležitý je účel, za kterým správce údaj má, např. pojišťovna z důvodu pojistného rizika. Je třeba si ale uvědomit, že výmaz, pokud je oprávněný, musí proběhnout ze všech médií a ze všech míst, papír a email nevyjímaje. Makléři a pojišťovny, hýčkejte si „ajťáky“.
Každá fyzická nebo právnická osoba, která zpracovává některým z výše uvedených způsobů data, je zpracovatel. Správce je jakákoli fyzická nebo právnická osoba, která sama nebo s jinými určuje účel a způsoby zpracování. Rozdíl mezi správcem a zpracovatelem je v tom, že odpovědný bude vždy v konečném důsledku správce. Pojišťovací makléř je v pozici jak správce, tak zpracovatele. Přestože má makléř ke zpracování osobních údajů z pohledu své činnosti de facto ve všech případech zákonný důvod, doporučení lektorky pro makléře je uzavřít smlouvy s pojišťovnami, kde bude upraveno, která činnost je na straně správce a která na straně zpracovatele.
Dalším důležitým poznatkem je ustavení pověřence. Že pojišťovny a banky budou muset mít pověřence jakožto zpracovatelé rozsáhlého množství dat, je jasné asi každému. Méně jasné je, že tento pověřenec nesmí být v konfliktu zájmů, tudíž nemůže mít na starosti nic jiného. Pověřencem DPO nemůže být šéf IT oddělení, podnikový právník ani člen představenstva. A především by to měla být osoba, která má nemalé zkušenosti s ochranou dat a IT bezpečností.
Mohlo by vás zajímat: Nejčastější hrozby českého internetu v roce 2017?
Na závěr ještě náhled do budoucnosti. S nařízením GDPR mělo vejít v platnost i nařízení ePrivacy, které bude upravovat elektronickou komunikaci, nahradí náš zákon č. 480/2004Sb. a bude upravovat použití cookies, nastavení interní komunikace a další. Toto nařízení, opět s působností nad našimi zákony, se odkládá o rok, ale již dnes, při zavedení GDPR, na něj musíme být připraveni.
Možná jste již absolvovali několik školení k nařízení GDPR a možná si říkáte, že je to vše velká bublina, ale stačí malé zaškobrtnutí, jako v případě jedné personální pracovnice, která poslala bývalým uchazečům o zaměstnání osobní data 43 tisíc zaměstnanců, a průšvih je na světě. A tak vám všem držím palce, ať se zvládnete na účinnost nařízení připravit pořádně a včas.
Specialista na vzdělávání v oblasti korporátního pojištění
Zakladatelka E.G.I. Education Grow Insurance
Komentáře
Přidat komentář