Ministerstvo vnitra zveřejnilo článek o tom, jak implementují GDPR ve Francii a připravuje obdobné články o implementacích GDPR i v dalších zemích.
Článek Mgr. Stanislavy Stojanové z MVČR naleznete zde. Celý článek naleznete jako pdf ke stažení v příloze.
Z článku Vám přinášíme to nejzajímavější:
„Více práv pro vaše údaje!" zněl slogan, kterým spustil svou komunikační kampaň úřad CNIL (Commission Nationale de 1'lnformatique et des Libertés), francouzský ekvivalent českého Úřadu pro ochranu osobních údajů, který byl pověřen implementací GDPR.
CNIL o novém nařízení začal na svých stránkách informovat již v roce 2014, tedy v době jeho příprav. Kromě oficiálních textů (evropské nařízení č. 679/2016 a směrnice č. 680/2016) vychází z výsledků pracovní skupiny WP29, která představuje nezávislý, konzultační orgán Evropské komise sestavený ze zástupců evropských úřadů pro ochranu osobních údajů. Mimochodem předsednictví této pracovní skupiny od roku 2014 drží právě Francie. Mezi texty dále nalezneme také jejich inovativní zpracování v podobě interaktivní mapy Dataviz, která vznikla ve spolupráci s Oxfordským internetovým institutem a společností JISC, poskytovatelem digitálních řešení pro britské vzdělávání a výzkum.
Vizuální navigace Dataviz zobrazuje vztahy mezi jednotlivými články a tématy nařízení a mapuje tak jejich vzájemné závislosti. Umožňuje vyhledávání na základě klíčových vstupů, tedy dle článků, dle témat a dle čísla odůvodnění.
V březnu 2017 byla stejným úřadem zveřejněna metodika příprav v šesti etapách. Konkrétně se jedná o etapy:
- určení pověřence,
- zmapování zpracovávaných údajů,
- stanovení priorit činností,
- řešení rizik,
- uspořádání interních procesů,
- doložení shody.
Materiál přehledným způsobem „krok za krokem" vysvětluje, jak se připravit na nadcházející změny. U každého kroku nalezneme také konkrétní, použitelné podklady k realizaci a doporučení, respektive „kontrolní otázky", které umožňují postoupit do další etapy.
Podle francouzské metodiky je prvním krokem určení tzv. pověřence (DPO, Data Protection Officer), tedy osoby, která bude spojujícím bodem mezi kontrolním úřadem a zpracovatelem dat. Jeho funkce je nejen informační a poradní, ale také kontrolní. Jeho jmenování je povinné pro všechny veřejné subjekty. V této souvislosti je zajímavé zmínit skutečnost, že institut pověřence není ve francouzském prostředí novinkou. Současná francouzská legislativa upravující ochranu osobních údajů ho do praxe zavedla v roce 2005 jako tzv. korespondenta (CIL, Le Corespondant Informatique et libertés). Jeho funkce jsou srovnatelné s funkcemi pověřence, jeho jmenování ovšem dosud zůstalo pro všechny subjekty nepovinné. Nutno podotknout, že subjekty, které tohoto korespondenta určily již v minulosti, získaly nezpochybnitelný náskok, který jim nyní umožní plynulý přechod do nového režimu. Stejně tomu je i pro obecnou rovinu metodologického zpracování jeho úkolů, práv a povinností, jak dokládají dostupné materiály sestavené právě pro původní funkci korespondenta.
Druhý krok znamená odpovědět na zdánlivě jednoduché otázky „kdo", „co", „proč", „kde", „do kdy" a „jak" sloužící ke zmapování zpracovávaných údajů, což by mělo následně umožnit posouzení konkrétních dopadů evropského nařízení na provozovanou činnost. Druhá etapa v sobě tedy nese identifikaci a rozdělení zpracovávaných údajů do kategorií, stanovení účelu, za jakým se tyto údaje zpracovávají a uchovávají, určení místa, kde se údaje uchovávají a kam mohou být eventuálně postoupeny, stanovení doby archivace a popis bezpečnostních opatření, která by měla snížit rizika nedovoleného nakládání s osobními údaji. Za tímto účelem je k dispozici následující modelový formulář.
Ve třetí etapě je třeba identifikovat ty údaje, jejichž zpracování sebou nese zvláštní rizika, tzv. citlivé údaje. Do této kategorie patří zejm. údaje o původu, vyznání nebo politickém smýšlení, zdravotní, genetické a biometrické údaje nebo údaje o přestupcích a odsouzení. Dále pak údaje, které jsou výsledkem systematického sledování veřejných míst nebo údaje, které se posílají ke zpracování do další země.
Pro každou z těchto kategorií se ve čtvrtém kroku doporučuje realizovat analýzu dopadů na ochranu osobních údajů PIA (Privacy Impact Assessement), nebo také DPIA (Data Protection Impact Assessement). K dipozici je dána praktická příručka. Novinkou je možnost využití volně stažitelného programu určeného pro potřeby analýzy PIA, který je kompatibilní s operačními systémy Windows, Linux i Mac OS.
Pátým krokem je organizace interních procesů tak, aby byla zaručena permanentní ochrana osobních údajů, a to i v případě náhlého incidentu. Minimalizace sběru dat, délka jejich archivace, komunikace a školení osob nakládajících s osobními údaji, řešení reklamací atd. Důležité je vědět, jak reagovat a na koho se obrátit v případě, že dojde k porušení zabezpečení osobních údajů. Nové nařízení totiž stanovuje povinnost ohlašování incidentů na příslušný kontrolní orgán, a to ve lhůtě 72 hodin. Úřad CNIL, který je tímto kontrolním orgánem ve Francii, plánuje na květen 2018 spuštění centralizovaného systému ohlašování, neboli otevření jednotné „přepážky".
Šestá a zároveň poslední etapa formalizuje ty předchozí. Jedná se o doložení shody, tedy vytvoření složky, která by měla obsahovat jednak informace o zpracovávaných údajích (registr zpracovávaných údajů, výsledky analýzy PIA, postupy při předávání údajů mimo EU), dále pak postupy, jakými se údaje shromažďují (např. jakým způsobem se získává souhlas se zpracováním osobních údajů) a také dokumenty, jako jsou smlouvy s externími zpracovateli dat nebo již zmiňované souhlasy se zpracováním osobních údajů.
Dle vyjádření úřadu CNIL představuje nařízení GDPR z obecného hlediska znatelné snížení administrativní zátěže. Současný, tzv. deklarativní režim s sebou totiž nesl řadu předběžných ohlašovacích administrativních povinností, které budou zrušeny. Pro francouzské prostředí podle francouzského úřadu pro ochranu osobních údajů tedy nové nařízení přináší nejen více práv, ale i méně povinností.