GDPR rok poté: Spousta práce zůstává

11. 6. 2019

GDPR ‒ rok poté, tak se jmenoval seminář, který v úterý 21. května uspořádalo v Ballingově sále Národní technické knihovny v Praze sdružení CESNET. Název by snad mohl naznačovat, že seminář bilancoval, co vše se stalo od zavedení GDPR. Opak byl však pravdou: řešila se témata, která je potřeba dál rozvinout s přihlédnutím ke zkušenostem z prvního roku provozu.

Seminář zahájila Soňa Matochová z Úřadu pro ochranu osobních údajů. Zrekapitulovala důvody, jež vedly k zavedení GDPR a principy, na nichž bylo konstruováno. Vyzdvihla přínos GDPR, který spočívá ve zvýšeném standardu pro práci s informacemi. Zdůraznila přitom preventivní princip, s nímž je třeba počítat ještě před zavedením konkrétních technologií. Důležitou roli při ochraně osobních údajů představuje správce těchto údajů, který zná všechny potřebné okolnosti a je schopný připravit odpovídající řešení. Úřad pro ochranu osobních údajů umí pomoci metodicky, má funkci dozorovou a osvětovou. V této souvislosti Soňa Matochová připomněla, že Obecné nařízení je pouze základ a adaptační zákon, který u nás vyšel před měsícem, pouze upravuje, co vše toto nařízení připouští. Před přijetím adaptačního zákona úřad zpracoval 4160 podnětů či konzultací a 3161 stížností.

Skutečně víme, kde začíná a končí soukromí?

Jan Kolouch ze sdružení CESNET vystoupil v dopoledním i odpoledním bloku a své přednášky nazval „GDPR jako zaklínadlo na vše“ a „GDPR a technická data“. Klíčovým tématem jeho dopoledního vystoupení byla digitální stopa a s ní související otázky: Víme vůbec, kdo všechno a kde zpracovává a uchovává informace o nás? Co si představujeme pod pojmem soukromí? A doopravdy ho potřebujeme tak ochraňovat? Vždyť na jedné straně je usilovně bráníme, a na straně druhé dobrovolně poskytujeme providerům své osobní údaje. „Skutečně víme, kde začíná a končí soukromí? A co předáváme providerům?“ položil řečnické otázky Jan Kolouch a připomněl, že například 70 % lidí do 18 let je neustále online prostřednictvím svého mobilu. Proto je podle něj potřeba veřejnost neustále vzdělávat. Upozornil na technologie, které o nás sbírají data, a my jim to povolujeme, protože chceme danou službu používat.

Ukázal, jak se s GDPR vyrovnalo sdružení CESNET, které nabízí široký rozsah služeb velkému počtu uživatelů. Nejprve sdružení připravilo analýzu, kde všude dochází ke zpracování osobních údajů a na základě této analýzy byly u každé služby upraveny informace pro uživatele, přihlašovací formuláře aj. CESNET zároveň vypracoval tři základní dokumenty, které jsou k dispozici na jeho webu, a spolu s nimi interní směrnici o Ochraně osobních údajů, která je neustále revidována s ohledem na nové okolnosti, systémy a služby poskytované sdružením CESNET. Podle Jana Koloucha totiž neexistuje jednoduché řešení spočívající v najmutí si „GDPR guru“. I proto sdružení CESNET stále na svých systémech, službách, ale i směrnicích vztahujících se k ochraně osobních údajů pracuje. V průběhu své odpolední přednášky Jan Kolouch také vyzdvihl, že CESNET získal certifikaci ISMS, která potvrzuje, že se snaží řádně zabezpečit data svá i svých uživatelů.

Vědecká data a GDPR

Právě vědecká data ve vztahu k GDPR řešil ve svém příspěvku Petr Holub z Ústavu výpočetní techniky Masarykovy univerzity. Zaměřil se na soukromá data lidí určená pro vědecký výzkum. Většina z nás chce, abychom byli řádně léčeni. Vědci sice říkají, že GDPR se jich netýká, protože pracují s anonymizovanými daty. Ve skutečnosti to nejsou anonymizovaná data ale data pouze pseudonymizovaná. Data by totiž musela být zcela anonymizována, aby nemohla být přiřazena ke konkrétní osobě. Avšak takto anonymizovaná data jsou pak méně spolehlivá a neumožňují jejich zpětné mapování. Například studie zkoumající vliv anonymizace na výzkum, na matematickém modelu ukázala, že čím více chci chránit soukromí, tím menší je šance na kvalitní léčbu. I proto se sešli lidé z vysokých škol a vytvořili pracovní skupinu v rámci projektu CRP GDPR (Centralizované rozvojové projekty VŠ) a připravili společnou metodiku, v níž řeší celý životní cyklus vědeckých dat a přicházejí s obecnými doporučeními.

Soňa Matochová k tomu doplnila, že Úřad pro ochranu osobních údajů se zabývá i lékařskou etikou. Věda a výzkum podle ní mají mít maximální podporu, aby nebyly brzděny. Pro oblast klinických studií jsou připravena dobrá východiska i potřebné výjimky. Vždy je ale odpovědností správce, aby rozhodl, co je správné. Například u lékařských registrů nás čeká ještě hodně práce, jednou z cest by měly být kodexy chování na poli osobních údajů.

Zákon o zpracování osobních údajů

Dvě přednášky si na seminář připravil také Jakub Míšek z Ústavu práva a technologií Masarykovy univerzity. V té dopolední se zaměřil na zákon č. 110/2019 Sb., o zpracování osobních údajů, jehož hlavními cíli bylo upřesnit zpracování osobních údajů prováděného v souladu s Obecným nařízením o GDPR, upravit zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky a upravit postavení a pravomoci Úřadu pro ochranu osobních údajů.

Poměrně detailně se věnoval upřesněním zpracování osobních údajů prováděným například pro novinářské účely či pro účely akademického, uměleckého nebo literárního projevu. Zvolené formulace jsou podle Jakuba Míška často široké a nepřehledné, kvůli tomu je celý předpis velmi problematický, obsahuje řadu podivností. Dle Míška je zapotřebí zlepšit úpravu konfliktu ochrany osobních údajů a svobody projevu i úpravu ochrany osobních údajů v oblasti výzkumu. Zároveň je nutné zformulovat specifické výjimky s větším akcentem na oprávněný zájem správce.

Princip odpovědnosti správce osobních údajů

Své odpolední vystoupení Jakub Míšek zahájil tématem souhlasu s užitím dat informačních služeb, který se rozvinul během dopoledního programu. Jak míní Jakub Míšek, je nezbytné přijít s přesným textovým výkladem, který by vycházel ze širokého záběru. Zároveň ale musí zahrnovat flexibilitu, která bude vyhovovat jednotlivým případům. Podle něj je ideálním řešením vytvořit vnitřní systém, ve kterém budou aplikována performativní pravidla. Znovu přitom zdůraznil princip odpovědnosti správce, který má možnost tato interní pravidla tvořit.

Užitečný pomocník DPIA

Václav Stupka z Právnické fakulty Masarykovy univerzity se zabýval otázkou DPIA. DPIA představuje činnost spočívající v posouzení vlivu zpracování dat na ochranu osobních údajů. DPIA je dokumentovaný proces, v jehož rámci je hodnocen vliv zpracování na práva a svobody subjektů údajů. Spolu s tím se hodnotí i riziko vlivu na třetí osoby. Václav Stupka popsal oblasti, v nichž je DPIA nezbytné, věnoval se sféře identifikace a vyhodnocení rizik i tomu, jak je eliminovat. Na závěr svého vystoupení upozornil, že s DPIA to není třeba přehánět, nemusí jít o strašáka, naopak ‒ mělo by jít o užitečného pomocníka. Faktem navíc je, že dosud neexistuje závazná podoba DPIA.

Projekt GDPR v rámci vysokých škol

Celodenní program semináře uzavřel Miroslav Bartošek z Ústavu výpočetní techniky Masarykovy univerzity, který představil výsledky projektu CRP – GDPR. Zapojilo se do něj všech 26 veřejných vysokých škol. Východiskem projektu bylo připravit a implementovat komplexní řešení ochrany osobních údajů. Masarykova univerzita přitom využila svých zkušeností mimo jiné i z řešení projektu realizovaného díky Fondu rozvoje sdružení CESNET, který se zabýval GDPR v ICT prostředí. Během projektu CRP – GDPR bylo zapotřebí koordinovat osm pracovních skupin. Jednou ze skupin byla „Výzkumná data“, o které ve svém příspěvku mluvil Petr Holub z Masarykovy univerzity.

Jak vyplynulo ze všech vystoupení i z diskuse, GDPR je během na dlouhou trať. Shodli se na tom všichni přednášející. Je jasné, že i za další rok bude o čem debatovat. Třeba na podobné platformě, jakou vytvořil seminář GDPR ‒ rok poté. Jednotlivé prezentace a záznamy z vystoupení prezentujících najdete na webu semináře.

Autorka: Ilona Trtíková, CESNET

Zpět do rubriky Z domova

Související články