Automa

Noční můra jménem GDPR

Obecné nařízení k ochraně osobních dat (General Data Protection Regulation, GDPR) je doposud nejobsáhlejší a také nejpřísnější opatření EU k ochraně osobních dat. K tomu je potřeba vědět, že legislativa EU může mít formu směrnice, nebo formu nařízení. Laicky řečeno, směrnici musí přijmout a do formy zákona zpracovat národní parlamenty – zatímco nařízení EU platí rovnou, národní parlamenty ho nemohou změnit, ale naopak mají povinnost upravit ostatní zákony tak, aby byly s nařízením v souladu. V případě GDPR už nařízení platí a jeho účinnost začne 25. května 2018. Bohužel, podrobnější rozpracování, prováděcí předpisy ani závazné výklady dosud nejsou a není žádný důvod očekávat, že by před datem účinnosti došlo k nějakému podstatnému zlepšení.

Protože byla nová pravidla přijata formou „nařízení“, platí ve všech státech EU jednotně a konzistentně. Nařízení s sebou nese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzivnější spolupráci dozorových orgánů. Pokuty mohou být pro české firmy až likvidační – dosahují i 20 milionům eur, případně až čtyř procent celosvětového obratu. Většina společností, kterých se GDPR týká, přitom zachovává přezíravý klid. Mlčky – avšak nesprávně – předpokládají, že otázky ochrany osobních dat za ně vyřeší jejich dodavatel IT. Mnozí totiž ani nevědí (či nechtějí vědět), jestli se na ně GDPR vztahuje. Bohužel, oproti dřívějšímu zákonu je nařízení EU mnohem přísnější. Vedle takových odvětví, která jsou výslovně vyjmenována (například zdravotnictví, školství) se vztahuje na kamerové systémy, na veškeré internetové obchody, věrnostní karty, zaměstnavatele s větším množstvím zaměstnanců. Vztahuje se též na orgány samosprávy a orgány veřejné moci. Obce při plnění většiny svých úkolů osobní údaje zpracovávají (tzn. shromažďují, zaznamenávají, strukturují nebo pozměňují údaje schopné přímo či nepřímo identifikovat subjekt údajů – fyzickou osobu), čímž se ocitají v roli správce, popř. zpracovatele dle Nařízení.
Veškeré subjekty se musí připravit:

•    na realizaci informační povinnosti vůči fyzickým osobám,
•    na nová či rozšířená práva fyzických osob (např. právo na omezení zpracování, právo na přenositelnost osobních údajů, právo na opravu osobních údajů),
•    na povinnost vést záznamy o činnostech zpracování.

Je pravdou, že řada mechanismů, které GDPR obsahuje, je nám již známa z dosavadní právní úpravy. Ale dochází také k rozšíření definice osobních údajů: nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je také kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu. Zavádí však i nové povinnosti pro zpracovatele údajů.

Protože situace v každé firmě nebo ve správním orgánu je jiná, individuální, musí také být individuální jejich projekt práce s osobními údaji. Prakticky není možné, aby se nějaký subjekt spolehl na obecnou šablonu, například od svého dodavatele IT. Navíc, práce s dokumentací GDPR není jednorázová akce, ale dlouhodobý a složitý proces.

Všichni, kdo se stanou správci osobních údajů podle GDPR, mají povinnost si ustanovit tzv. pověřence pro ochranu dat (DPO, Data Protection Officer). Na jednu stranu je to vcelku pochopitelné, protože povinnosti plynoucí z GDPR jsou náročné, a tak se jim musí věnovat vyškolený pracovník. Na jeho odbornost jsou kladeny dosti vysoké nároky, protože DPO jednak musí mít odpovídající znalosti o výpočetní technice, ale na druhé straně také musí mít právní znalosti, zejména z oblasti správního práva (veškerá jednání před Úřadem pro ochranu osobních údajů se odehrávají podle správního řádu). A navíc, protože situace je velmi zamlžená, musí mít dostatek času (a také trpělivosti), aby sbíral a vyhodnocoval jednotlivé kousky judikátů, výkladů a vysvětlení, jak budou postupně vznikat. Na druhé straně však, jako odborník, ponese značnou odpovědnost.

Ze všech těchto důvodů není možné reálně očekávat, že by funkci DPO na sebe vzal dodavatel výpočetní techniky. Spíše lze předpokládat, že takto vzniklé mezery na trhu se ujmou specializované firmy, které budou DPO „pronajímat“ na obchodní bázi. Jejich zázemí bude pokrývat jedna nebo několik advokátních kanceláří, specializovaných na správní právo. Na druhé straně budou disponovat odborníky, akreditovanými pro GDPR. Jedna z takových firem, společnost GDPR Systems s.r.o., bude sponzorovat školení, které uspořádá náš časopis Automa.

Jiný velký problém je hlášení incidentů. Nařízení GDPR není naivní a neočekává, že by nemohlo dojít k porušení pravidel pro manipulaci s osobními údaji. Striktně však předepisuje, aby každý takový incident byl okamžitě nahlášen Úřadu pro ochranu osobních údajů. Pro nahlášení stanovuje dobu maximálně 72 hodin, což je potřeba chápat jako krajní mez, jejíž překročení bude sankcionováno. Pro mnoho firem nebude snadné toto dodržet.
GDPR zavádí složitý komplex pravidel a povinností. Navíc v situaci, kdy chybí jakákoliv prováděcí legislativa a judikatura. Časopis Automa proto ve spolupráci s Komorou soudních znalců ČR, sekcí IT, uspořádá školení, které zájemcům poskytne základní seznámení s problematikou.

Lékárník

Ochrana osobních dat – neznalost za 540 miliónů

Evropská unie přišla s novou právní úpravou ochrany osobních dat. Naše legislativa k ochraně osobních dat (Zákon o ochraně osobních údajů a o změně některých zákonů č. 101/2000 Sb.) je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například cloudová úložiště, sociální sítě či e-shopy. EU přijala nařízení č. 2016-679, GDPR (General Data Protection Regulation). Toto nařízení je již platné a začne se vymáhat v květnu 2018. Problémem je, že nařízení sice už platí, ale výkladů a prováděcích předpisů k němu existuje jen naprosté minimum. Nedá se očekávat, že by se situace před datem účinnosti nařízení významně zlepšila.
Lékárny někdy zpracovávají i speciální kategorie osobních údajů, jako jsou např. údaje o zdravotním stavu fyzických osob, pro které platí ještě přísnější právní úprava. Obecně lze říci, že povinnosti správce osobních údajů ve smyslu GDPR bude mít každá lékárna, která má více zaměstnanců (osobní údaje zaměstnanců), pracuje s internetovým obchodem, poskytuje jakékoliv slevové karty nebo třeba pracuje s elektronickým receptem. V podstatě lze shrnout, že s výjimkou úplně malých lékáren a výdejen, se bude režim GDPR vztahovat na většinu lékáren. Bude to pro ně mimo jiné znamenat:
•    informační povinnost vůči fyzickým osobám,
•    reagovat na nová či rozšířená práva fyzických osob (např. právo na omezení zpracování, právo na přenositelnost osobních údajů, právo na opravu osobních údajů),
•    realizovat povinnost vést záznamy o činnostech zpracování,
•    povinnost ustanovit svého Pověřence pro ochranu dat (DPO), který nesmí být zaměstnancem lékárny, aby jej nebylo možno ovlivňovat,
•    zajistit, aby jakýkoliv bezpečnostní incident byl během 72 hodin nahlášen Úřadu pro ochranu osobních údajů.
S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
Zajímavé je, že vynucování GDPR bude podporovat i výška pokut, které mohou dosáhnout až 20 miliónů EUR (!), tedy v našich podmínkách jsou naprosto likvidační.
Pokud jde o osobu Pověřence pro ochranu dat (Data Protection Officer, DPO), musí splňovat dosti protichůdné požadavky. Z pochopitelných důvodů se musí vyznat v informatice, ale současně musí mít také dobré znalosti správního práva. Veškeré úkony ve vztahu k Úřadu pro ochranu osobních údajů totiž probíhají v režimu Správního řádu, což není běžná náplň ani u většiny advokátních kanceláří. Navíc se tomuto tématu musí dlouhodobě věnovat, protože příslušná legislativa, judikatura a výkladový aparát se budou teprve budovat. Přitom osobně nese značnou odpovědnost. Z tohoto důvodu nelze reálně očekávat, že povinnosti a odpovědnost Pověřence na sebe za lékárnu vezme dodavatel výpočetní techniky. Nemluvě už o tom, že dodavatel výpočetní techniky může mít postavení Zpracovatele dat (v terminologii GDPR), takže by mohlo jít o konflikt zájmů.
Způsobů, jak situaci vyřešit, je několik, včetně možnosti nasmlouvat si DPO jako placenou službu od odborné firmy. Bližší seznámení s Nařízením a s možnostmi řešení přinesou přednášky, které připravila ApatykaServis s.r.o. ve spolupráci s Komorou soudních znalců ČR, sekcí informatiky.

Pharma Profit

GDPR – výhoda nebo neštěstí?

Tak trochu obojí. GDPR (General Data Protection Regulation) je název pro novou právní úpravu ochrany osobních dat. Ta původní, daná současným Zákonem o ochraně osobních údajů č. 101/2000 Sb., pochází z roku 1995. V současnosti je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například sociální sítě či cloudová úložiště. Nová úprava má formu nařízení EU, které už je platné, účinné (a vymahatelné) a bude účinné od května 2018. Jedná se o zásadní téma, avšak dosud je k dispozici jen minimum metodických materiálů a zdá se, že vláda nemá koncepci, jak zajistit splnění povinností dle Nařízení. Hrozí, že se lékárny budou muset přizpůsobovat novým povinnostem „na poslední chvíli“. Možná i proto je vztah lékárníků k GDPR, k jejich vlastní škodě, přezíravý. Vesměs nesprávně předpokládají, že se o ochranu osobních údajů postarají jejich dodavatelé softwaru. Bohužel, je to hluboký omyl.
Lékárny při plnění mnoha svých úkolů osobní údaje zpracovávají (tzn. shromažďují, zaznamenávají, strukturují nebo pozměňují údaje schopné přímo či nepřímo identifikovat subjekt údajů – fyzickou osobu), čímž se ocitají v roli správce, popř. zpracovatele dle Nařízení. Nejmenších lékáren a výdejen se povinnosti plynoucí z GDPR vztahují jen okrajově, ale na naprostou většinu lékáren dopadnou naplno. Zejména se budou vztahovat na lékárny, které provozují internetový obchod, nebo které používají jakýkoliv věrnostní program, nebo lékáren pracujících s elektronickým receptem. GDPR se dokonce vztahuje i na bezpečnostní kamerové systémy.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná. Protože situace každé lékárny je jiná, individuální, celý soubor dokumentů k ochraně dat také musí být individuální, aplikovaný na konkrétní situaci lékárny.
Nejčastěji zmiňovanou a mediálně probíranou stránkou regulace GDPR jsou postihy, které mohou dosáhnout až 20 milionů EUR, nebo 4% obratu…podle toho, co je vyšší.
Asi nejvíce bolestivé budou pro lékárnu dvě nové povinnosti: ustanovit si Pověřence pro ochranu dat (Data Protection Officer, DPO) a zajistit ohlašovací povinnost.
Pokud jde o Pověřence pro ochranu dat, nepochybně o ně bude nouze, protože se jedná o úplně novou profesi. Bude nezbytné, aby v sobě spojoval znalosti informatiky, slušnou znalost správního práva (protože veškeré jednání s Úřadem pro kontrolu osobních údajů se povede v režimu Správního řádu) a navíc zkušenost a trpělivost úředníka. Jako schůdná se jeví možnost nasmlouvat si Pověřence jako službu od specializované firmy.
Podrobnější seznámení s problematikou GDPR mohou lékárny získat na školení, které pořádá ApatykaServis ve spolupráci s Komorou znalců ČR v květnu tohoto roku.

Tel.: +420 234 723 584, +420 603 829 210
info@sluzbyproveduavyzkum.cz
Copyright Jizu.cz © 2017. All Rights Reserved.