Nezávislé informace o vědě a výzkumu

GDPR v oblasti výzkumu a vývoje – desatero povinností

26. 1. 2018
GDPR v oblasti výzkumu a vývoje – desatero povinností

Do nabytí účinnosti nového obecného nařízení o ochraně osobních údajů (GDPR) 25. května 2018 zbývají přibližně čtyři měsíce. Na seminářích a konferencích, jakož i v rámci každodenního poradenství, dostáváme četné dotazy týkající se této nové úpravy. Tento článek shrnuje, co je potřeba s ohledem na náběh účinnosti GDPR udělat, a vybírá desatero základních povinností z pohledu výzkumných organizací v ČR.

V praxi se setkáváme jak s přeceňováním významu GDPR, tak s jeho podceňováním. V prostředí ČR se objevuje celá řada subjektů, které se této problematice věnují s různou mírou odbornosti a porozumění prostředí, ve kterém se GDPR aplikuje. Domníváme se, že v oblasti vzdělávání, výzkumu a vývoje lze identifikovat několik zajímavých specifik.

GDPR obecně - co je nového

Na úvod je nutno předeslat, že úprava GDPR nepřináší zásadní obrat ani významné zpřísnění oproti stávající úpravě v zákoně č. 101/2000 Sb., o ochraně osobních údajů. Lze upozornit zejména na následující významnější změny:

  • povinnost být schopen doložit soulad s GDPR, tedy jakési obrácení důkazního břemene na správce údajů;
  • zrušení oznamovací povinnosti (ohledně prováděného zpracování osobních údajů - OÚ) vůči Úřadu;
  • souhlas subjektu údajů již koncepčně není primárním preferovaným titulem ke zpracování OÚ;
  • nový právní titul ke zpracování OÚ - nezbytnost pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
  • pověřenec pro ochranu OÚ – povinnost pro vybraný okruh subjektů;
  • institut osvědčení o souladu s GDPR od akreditovaného subjektu;
  • vyšší limit maximálních pokut (až 20 mil. EUR nebo 4 % celosvětového obratu).

Jaké kroky jsou obecně nezbytné k zajištění souladu

Domníváme se, že každý subjekt, na který se GDPR vztahuje, by měl před nabytím účinnosti GDPR provést následující kroky:

  • inventura zpracovávaných osobních údajů, identifikace dotčených subjektů údajů a způsobů zpracování osobních údajů, analýza titulů zpracování a inventarizace osob s přístupem k osobním údajům; v tomto kroku je vhodné soustředit se na zákonné tituly (důvody) zpracování osobních údajů a k souhlasu přistupovat pouze tam, kde nám zákonný titul nesvědčí a nepostačuje, a analyzovat důsledky neudělení nebo následného odvolání souhlasu (opouští se dosavadní koncepce „raději mít na všechno ještě souhlas“); zajímavá je též otázka umístění údajů na serverech mimo Evropský hospodářský prostor;
  • analýza rizik ve vztahu k subjektům údajů, ale i ve vztahu ke zpracovateli a osobám s přístupem k osobním údajům; tj. zejména jaká jsou rizika tzv. bezpečnostních incidentů a jaké jsou potenciální dopady aktivace těchto rizik, jaké sankce hrozí správci, jakých nároků by se mohly dožadovat subjekty údajů apod.;
  • implementace vhodných opatření (technických a organizačních, tzv. TOMs); např. zpracování interní směrnice na ochranu osobních údajů, uzavření/aktualizace smluv se zpracovateli a osobami s přístupem k osobním údajům, zabezpečení údajů (technické a na úrovni IT), apod.;
  • zdokumentování výše uvedeného; každý správce by měl vést k GDPR spis, v rámci nějž plní povinnost dokumentovat (viz níže) a který slouží i jako nástroj doložení plnění povinností dle GDPR.

Při realizaci těchto kroků je možné se inspirovat mimo jiné metodikou GDPR zpracovanou Ministerstvem školství, mládeže a tělovýchovy, která je dostupná zde.

Tato metodika obsahuje některé velmi zajímavé závěry, proto se jí budeme věnovat v dalším článku.

Výchozí situace výzkumné organizace

Je nepochybné, že situace ochrany osobních údajů, míra rizik a vázanosti jednotlivými povinnostmi se bude v rámci každé výzkumné organizace lišit. Bude záležet i na míře dosavadní pozornosti věnované problematice ochrany osobních údajů. Domníváme se však, že z hlediska GDPR lze vymezit několik typických situací:

  • situace veřejné výzkumné instituce nebo jiné formy výzkumné organizace, která zpracovává pouze standardní okruh osobních údajů (typově zaměstnanci a obchodní partneři-FO nebo zástupci obchodních partnerů);
  • situace vysoké školy, která kromě výše uvedeného okruhu osobních údajů zpracovává také osobní údaje rozsáhlého počtu studentů;
  • situace výzkumné organizace, která zpracovává rozsáhlá data v rámci realizovaného výzkumu (data respondentů) nebo spravované výzkumné infrastruktury (data uživatelů);
  • situace fakultní nemocnice, která nad rámec výše uvedeného zpracovává také vesměs citlivá data pacientů.

Zatímco první situace bude zpravidla vyžadovat pouze aplikaci jakéhosi minimálního standardu naplnění povinností dle GDPR (v tomto smyslu lze odkázat na náš předchozí článek na téma Nařízení GDPR a zaměstnavatelé), další situace mohou být již složitější a mohou s sebou nést povinnost plnit některé nové a specifické povinnosti dle GDPR.

Desatero povinností dle GDPR

1) Prokázat soulad s GDPR, tj. naplňování dalších jednotlivých povinností

Tato povinnost se vztahuje na každého správce osobních údajů. Může se jevit, že absolutní splnění této povinnosti prakticky není možné, protože by znamenalo zdokumentovat veškerou činnost správce a jeho zaměstnanců.

Vychází se však z toho, že prokázat soulad lze jedním z těchto základních nástrojů:

  • zdokumentování situace osobních údajů, analýzy rizik a přijatých opatření; viz výše;
  • získání osvědčení od akreditovaného subjektu; počítá se s tím, že bude zřízena akreditační autorita, která bude udělovat akreditaci subjektům, které budou moct vydávat správcům osvědčení o souladu; lze jen doufat, že se toto osvědčení nestane povinnou součástí žádostí o poskytnutí dotace;
  • přihlášení se k oborovému kodexu; počítá se s tím, že zájmová sdružení budou vydávat specializované kodexy chování, k nimž budou moct správci dobrovolně přistoupit; takovýto kodex chování ve smyslu GDPR bude muset být schválen dozorovým úřadem.

2) Dodržovat zásady zpracování OÚ

Další povinností, která se bude vztahovat na všechny výzkumné organizace, je povinnost dodržovat zásady GDPR. Ty se do značné míry neliší od zásad, na nichž je postaven stávající zákon.

GDPR upravuje zejména následující zásady:

  • Zákonnost
  • Korektnost a transparentnost
  • Účelové omezení
  • Minimalizace údajů
  • Přesnost
  • Omezení uložení
  • Integrita a důvěrnost
  • Odpovědnost správce

Novinkou je zejména zásada odpovědnosti správce za dodržení základních zásad (a celkově povinností dle GDPR) a schopnost tento soulad doložit.

3) Používat vhodná technická a organizační opatření (TOMs)

GDPR stanoví pro všechny správce povinnost zavést a pravidelně aktualizovat systém tzv. technických a organizačních opatření (TOMs; z angl. Technical and Organisational Measures).

Rozlišují se nástroje tzv. standardní ochrany – „privacy by default“, která zahrnuje automatizované systémové nástroje k omezení zpracování osobních údajů na nezbytné minimum (například automatické vymazávání údajů po určité době), a nástroje tzv. záměrné ochrany – „privacy by design“, tedy jakéhosi principu neustálého sledování a vyhodnocování situace osobních údajů v průběhu činnosti správce a přijímání odpovídajících opatření.

GDPR poskytuje vodítko pro implementaci TOMs v tom smyslu, že jejich implementace by měla zohlednit:

  • charakter zpracování;
  • rizika zpracování OÚ;
  • stav techniky;
  • náklady na provedení.

Toto vodítko je z hlediska praktických dopadů GDPR velmi důležité, je odrazem zásady přiměřenosti, která se prolíná celým GDPR. Znamená, že je nutno vzájemně zohlednit na straně jedné zejména rizika zpracování pro subjekty údajů vyplývající z rámce (povahy, rozsahu) zpracování; a na straně druhé zejména faktické možnosti na straně správce, a to zejména pokud jde o stav technický, tak z hlediska nákladů na provedení (co si správce může dovolit).

Rozlišují se opatření fyzické ochrany, jako například ostraha a zabezpečení objektu a místností, mříže, fyzické umístění serverů apod., a opatření ochrany na úrovni IT, například antivirová ochrana, správa účtů a hesel, omezení přístupu do zaměstnaneckých mobilních zařízení apod. Organizačními opatřeními je zase např. přijetí směrnice pro oblast osobních údajů, školení zaměstnanců či vedení vhodné dokumentace prokazující soulad s GDPR.

4) Minimalizovat zpracování OÚ

Tato povinnost je vyjádřením zásady minimalizace údajů a znamená povinnost omezit zpracování údajů z hlediska formy a (věcného či časového) rozsahu na nezbytné minimum. Tato povinnost se v čase může vyvíjet a může znamenat povinnost revidovat zpracovávané údaje.

Například citlivý údaj v životopise se po přijetí do zaměstnání může stát irelevantním (zejména nevyžádaný irelevantní údaj); během experimentu může být na místě pseudonymizace dat, po ukončení experimentu může být vhodné data anonymizovat.

5) Informovat subjekty údajů o zpracování

Stejně jako dle dnešního zákona má správce údajů povinnost informovat subjekty údajů o zpracování údajů. Zajímavé je rozlišování situace, kdy má správce údajů informaci přímo od subjektu údajů, a situace, kdy informaci poskytla třetí osoba (například údaje o pacientovi od jeho rodinných příslušníků, údaje o studentovi od jeho původní školy, údaje o subjektu experimentu od jiného subjektu apod.).

V praxi může být otázkou, jakou formou tuto povinnost plnit. Zda má jít o přímou ad hoc konkrétní komunikaci (například konkrétní informace pacientovi o tom, že rodinný příslušník sdělil specifikovaná data z anamnézy pacienta), nebo zda je vhodná rámcová, obecnější forma (například obecná informace, že nemocnice obdržela informace o anamnéze).

6) Usnadňovat výkon dalších práv

Další povinností, která se vztahuje obecně na všechny správce, je povinnost usnadňovat subjektům údajů výkon jejich práv.

Práva subjektů údajů zahrnují zejména práva na:

  • přístup;
  • opravu;
  • výmaz - „právo být zapomenut“;
  • omezení zpracování;
  • přenositelnost;
  • námitky.

Obecně platí, že výkon práv je bezplatný.

Nové je zejména právo subjektu údajů požadovat strojově čitelnou „sjetinu“ zpracovávaných údajů a její předání přímo novému správci (např. „přestup“ studenta na jinou vysokou školu).

Způsoby, jakými lze usnadňovat výkon práv, zahrnují například:

  • poučení a informace pro subjekty údajů;
  • implementace procesů – v reakci na žádosti subjektů údajů;
  • příprava formulářů, které mohou subjekty vyplnit;
  • ustanovení kontaktního místa pro uplatnění nároků.

To, jakým způsobem jsou tyto nástroje implementovány, záleží do značné míry na situaci konkrétního správce. Jiný standard lze zřejmě požadovat po veřejné výzkumné instituci, která zpracovává pouze data několika desítek zaměstnanců, a jiný po vysoké škole, která zpracovává data desítek tisíc studentů, nebo po nemocnici, která zpracovává velké množství pacientských dat.

7) Vést záznamy o činnostech zpracování

Každý správce, který zaměstnává 250 a více osob, nebo jehož zpracování údajů není pouze příležitostné či zahrnuje zpracování citlivých údajů anebo je jinak rizikové, je vedle zaznamenávání samotných údajů povinen v souladu s GDPR vést pravidelné záznamy o činnostech zpracování (jakýsi obecný přehled o situaci zpracování a ochrany osobních údajů v organizaci). Tyto záznamy opět mohou sloužit jako nástroj prokázání souladu s GDPR.

8) Ohlašovat a oznamovat bezpečnostní incidenty

GDPR zavazuje správce údajů oznamovat a ohlašovat tzv. bezpečnostní incidenty. Tuto povinnost plní v závislosti na rizicích a přijatých opatřeních vůči (i) subjektům údajů a (ii) vůči Úřadu.

Je zajímavé si uvědomit, že bezpečnostním incidentem nemusí být pouze „hackerský“ útok studenta nebo zaměstnance, ale i například ztráta počítače nebo chytrého mobilního telefonu zaměstnance, pokud obsahují osobní údaje nebo umožňují přístup k nim. V praxi je proto vhodné se zamyslet zejména nad standardem ochrany přístupu z těchto zařízení.

9) Jmenovat pověřence pro ochranu osobních údajů

GDPR upravuje povinnost určitých typů subjektů jmenovat tzv. „pověřence pro ochranu osobních údajů“.

V praxi výzkumných organizací v ČR se domníváme, že povinnost mít pověřence se bude týkat vysokých škol z důvodu naplnění pojmu „veřejný subjekt“ s ohledem na skutečnost, že vysoké školy v procesu podléhajícím správnímu řádu přijímají rozhodnutí o právech studentů.

Pro ostatní subjekty je v praxi výklad bohužel do značné míry nejasný. Další podmínky totiž zahrnují výklad nařízením nedefinovaných pojmů „rozsáhlé pravidelné a systematické monitorování subjektů údajů“ a „rozsáhlé zpracování“ tzv. citlivých údajů, přičemž zejména není jasné, zda prvek rozsáhlosti znamená desítky, stovky, tisíce, statisíce nebo miliony údajů.

10) Provést posouzení vlivu a projít předchozí konzultací

GDPR v některých případech požaduje vypracování zvláštního dokumentu, tzv. posouzení vlivu, a jeho případnou povinnou předchozí konzultaci s Úřadem. Domníváme se, že tato povinnost bude pro oblast výzkumných organizací spíše okrajová a bude se týkat zejména situací rozsáhlejšího a rizikovějšího zpracování dat nebo citlivých dat subjektů výzkumu, pacientů či studentů.

Závěr

Lze shrnout, že každá výzkumná organizace, ať z veřejné sféry nebo z privátního sektoru, by se měla problematikou GDPR zabývat a přinejmenším provést základní kroky popsané výše. Dodržení této povinnosti je nepochybně součástí péče řádného hospodáře osob v pozici volených orgánů výzkumných organizací (ředitelů v.v.i., děkanů a rektorů veřejných vysokých škol apod.).

Složitější situace je nepochybně u vysokých škol (veřejných i soukromých) s ohledem na rozsáhlé zpracování studentských dat, jakož i situace, kdy výzkumná organizace zpracovává rozsáhlým způsobem data nebo dokonce citlivá data pacientů nebo jiných subjektů výzkumu.

 

Autor: Matej Kliman

holeczuska logoRGB