Veľká záťaž pre prevádzkovateľov údajov

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

GDPR sa zameriava na zodpovednosť zainteresovaných strán. Na rozdiel od smernice z roku 1995 (prvého významného európskeho textu o ochrane údajov) nevyžaduje predchádzajúce povolenie ani vyhlásenie. Zo strany jej tvorcov je to šikovný krok: absencia predchádzajúcej kontroly pomáha zabezpečiť, aby bolo úsilie potrebné na dodržiavanie nových pravidiel prijateľné.

Ako sme videli, GDPR identifikuje v každej štruktúre „prevádzkovateľa údajov“, ktorý musí byť zodpovedný za zabezpečenie požadovaného súladu a následne za zabezpečenie riadneho fungovania spracovania údajov. Úlohy tohto prevádzkovateľa sú náročné: nielenže musí implementovať vhodné opatrenia, ale musí byť tiež schopný „preukázať“, že spracovanie sa vykonáva v súlade s nariadením (článok 24-1). Toto nie je povinnosť, ale odkaz na kódex správania (článok 40) alebo certifikáciu (článok 42) odporúčanú dozornými orgánmi môže uľahčiť požadované preukázanie.

Hlavná zásada prevádzkovateľa je jednoduchá: používať osobné údaje čo najmenej. Článok 25 preto odporúča „pseudonymizáciu“ a „minimalizáciu“, ktoré už boli spomenuté vyššie. Dopĺňa zásadu štandardnej ochrany údajov: „Prevádzkovateľ zavedie vhodné technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú iba osobné údaje, ktoré sú potrebné na každý konkrétny účel spracovania“ (článok 25-2). Na rozdiel od súčasných postupov, kde sa „vyberá všetko“, pokiaľ nie je výslovne uvedené inak, sa teraz musí použiť iba to, čo je nevyhnutne potrebné na dosiahnutie stanoveného cieľa. Štandardná ochrana v čase spracovania sa v istom zmysle javí ako doplnok minimalizácie údajov v čase zhromažďovania.

Za spracovanie môžu byť spoločne zodpovední dvaja odborníci; v tomto prípade je úloha každého z nich presne definovaná a dotknutá osoba je o nej informovaná (článok 26). Ak prevádzkovateľ(i) údajov nie sú usadení v Európskej únii, určia zástupcu so sídlom v jednom z členských štátov, ktorý bude poverený kontaktnou osobou pre dotknutú osobu a dozorné orgány (článok 27). Využitie služieb subdodávateľa je možné za predpokladu, že tento poskytne dostatočné záruky, že spracovanie sa vykonáva v súlade s GDPR (článok 28-1).

Vedenie „registra spracovateľských činností“ je povinné (článok 30). Musí obsahovať kontaktné údaje prevádzkovateľa, účely spracovania, kategórie osôb, údaje a dotknutých príjemcov, akékoľvek prenosy do tretej krajiny, lehoty na vymazanie a všeobecný opis bezpečnostných opatrení. Tento register musí byť sprístupnený dozornému orgánu, ak o to požiada. Nie je povinný pre spoločnosti alebo organizácie s menej ako 250 zamestnancami, „pokiaľ spracovanie, ktoré vykonávajú, pravdepodobne nepredstavuje riziko pre práva a slobody dotknutých osôb, ak nie je príležitostné...“ (článok 30-5). Preto buďte opatrní: samotná veľkosť spoločnosti nie je dostatočným kritériom na oslobodenie od registra. Ak spracovávate údaje často alebo ak vašu činnosť možno akýmkoľvek spôsobom spojiť s „právami a slobodami jednotlivcov“, ste povinní viesť register vykonávaných činností.

Nariadenie nie je technická príručka. Článok 32, venovaný bezpečnosti spracovania, však pripomína niektoré základné princípy: pseudonymizáciu a šifrovanie, prostriedky na zaručenie dôvernosti a integrity, obnovenie dostupnosti údajov a prístupu k nim v prípade incidentu. Autori textu nezanedbávajú ani riziko hackerského útoku: „Pri posudzovaní primeranej úrovne bezpečnosti sa osobitne zohľadnia riziká, ktoré predstavuje spracovanie, vyplývajúce najmä z náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného zverejnenia prenášaných, uchovávaných alebo inak spracovaných osobných údajov alebo neoprávneného prístupu k takýmto údajom“ (článok 32-2). Inými slovami, systém spracovania sa bude považovať za vyhovujúci len vtedy, ak ponúka potrebné záruky, aspoň maximálne, pokiaľ ide o ochranu a bezpečnosť údajov. Pamätáme si rozruch spôsobený hackerským útokom na databázu členov severoamerickej zoznamky pre manželov, keď sa na internete objavili desaťtisíce dôverných profilov.

Ak sa napriek prijatým opatreniam zistí porušenie ochrany osobných údajov, prevádzkovateľ musí do 72 hodín informovať dozorný orgán, „pokiaľ nie je pravdepodobné, že by dané porušenie predstavovalo riziko pre práva a slobody fyzických osôb“ (článok 33-1). Táto výhrada poskytuje určitú voľnosť, aj keď celý text naznačuje, že by sa nemal zneužívať na zatajenie problému. Správa musí uvádzať povahu porušenia, približný počet dotknutých osôb, pravdepodobné dôsledky tohto porušenia a prijaté alebo navrhnuté opatrenia na nápravu problému alebo obmedzenie jeho dôsledkov.

Prevádzkovateľ údajov musí tiež čo najskôr informovať obeť porušenia (článok 34). Táto komunikácia nie je potrebná, ak sú ukradnuté údaje „nezrozumiteľné“, napríklad z dôvodu šifrovania, alebo ak prijaté opatrenia znamenajú, že neexistujú žiadne riziká pre práva a slobody dotknutej osoby, alebo ak by si takáto komunikácia „vyžadovala neprimerané úsilie. V takýchto prípadoch sa namiesto toho vykoná verejné oznámenie alebo podobné opatrenie, ktoré umožní dotknutým osobám byť informované rovnako účinným spôsobom“ (článok 34-3c). Tento odsek sa zameriava na hromadné hackerské útoky a oslobodzuje prevádzkovateľov údajov od posielania personalizovaného e-mailu každej osobe v ich súboroch.

Na záver si ujasnime, že duch GDPR je jednoznačný: v spoločnosti organizovanej s dcérskymi spoločnosťami sú povinnosti týchto spoločností rovnaké ako povinnosti materskej spoločnosti.