General Data Protection Regulation (zkr. GDPR), v českém překladu Obecné nařízení o ochraně osobních údajů, je nové nařízení Evropské unie, které si klade za cíl lépe chránit osobní údaje občanů EU. Nařízení 2016/679 ze dne 27. dubna 2016 se dotkne každého subjektu, jenž zpracovává osobní údaje nejen v rámci Evropské unie, ale i mimo ni (pokud působí na evropském trhu).

Je nutné podotknout, že se nejedná o nic zcela nového. Správu osobních údajů určovala již směrnice 95/46/ES, která se tímto nařízením ruší. Stejně tak i v České republice existuje zákon č. 101/2000 Sb. o ochraně osobních údajů, který bude novelizován. V praxi to především znamená, že nová pravidla budou platná a jednotná pro všechny státy EU.

Nařízení vstoupí v platnost 25. května letošního roku, a i přesto, že již několik let byla v platnosti směrnice 95/46/ES a zák. č. 101/2000 Sb., GDPR s sebou přináší některé novinky. Zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů zavést technická, organizační a procesní opatření, která se budou shodovat s principy GDPR.

Pro začátek je nutné určit, co se skrývá pod pojmem osobní údaj. V podstatě se jedná o jakékoliv informace, ze kterých lze přímo identifikovat osobu (rodné číslo, číslo občanského průkazu), nebo se jedná o kombinace osobních údajů (např. jméno a datum narození, jméno a telefonní číslo), a nejen to. Jedná se i o údaje, které se dané osoby týkají (např. biometrické, kulturní, ekonomické apod.). Toto nařízení také říká, že osobním údajem nemusí být nutně jméno a výše popsané příklady, ale danou osobu můžeme dohledat i podle IP adresy či identifikátoru ve formě kódu (např. číslo průkazu uživatele knihovny). Z tohoto výčtu vyplývá, že osobní údaje prostupují mnoha činnostmi v pracovním procesu a zaměstnanec si nemusí uvědomovat, že údaj či kombinace údajů může podléhat GDPR. Jako příklad si představme běžné vedení pracovního diáře, kam si zapíšete jméno a telefonní číslo. Už toto je problém, a pokud k vedení diáře navíc používáte volně šiřitelný software nebo webové služby, může se jednat o pochybení z vaší strany a porušení ochrany osobních údajů.(1)

Nařízení stanovuje, jakým způsobem musí být s údaji nakládáno, a to korektně, zákonným a transparentním způsobem. Osobní údaje musejí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely. Dále musejí být přiměřené, relevantní a omezené na nezbytný rozsah účelu, pro který jsou zpracovány. Údaje musejí být přesné, aktualizované, uložené ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovány. A dále je nutné je dostatečně chránit a zabezpečit pomocí vhodných organizačních opatření před neoprávněným či protiprávním zpracováním, před náhodnou ztrátou, zničením či poškozením.

Výčet je opravdu rozsáhlý a uvést zde všechny informace ani nelze. Proto ještě stručně doplňme, že je potřeba veškeré nakládání s osobními údaji dokumentovat a dokladovat nejen ve formě smluv, ale i prostřednictvím tzv. katalogu (mapy) osobních údajů. Tyto podklady budou sloužit pro případnou kontrolu Úřadem na ochranu osobních údajů.

Za nedodržení tohoto Nařízení hrozí vysoké sankce. Maximální výše je 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti a její výše bude záviset na řadě faktorů, jako je např. míra škody, počet poškozených občanů, povaha, závažnost a délka porušování a mnoho dalších. Krom toho se zpracovatel či správce osobních údajů vystavují právním krokům ze strany občanů a žádostem o náhradu škody.

Z výše uvedeného vyplývá, že zavést GDPR do běžného procesu značí nesnadný a zdlouhavý úkol. Nařízení EU upravuje jednotlivé aspekty oproti současné legislativě daleko podrobněji. V praxi to znamená, že je třeba vytvořit smluvní doložky ke stávajícím smlouvám a nové smlouvy upravit tak, aby byly v souladu s tímto Nařízením. Doložit naplňování Nařízení pro příp. kontrolu ze strany ÚOOÚ. Je také nutné vytvořit vnitropodnikovou směrnici, která informuje zaměstnance o zásadách nakládání s informacemi, jakým způsobem mají informovat subjekty údajů, za jakým účelem údaje zpracovávají. Vnitropodniková směrnice ukládá zaměstnancům povinnosti dbát na správnost osobních údajů a jejich zabezpečení. Vymezuje též, jak postupovat v případě, že dojde k porušení zabezpečení a kam jej nahlásit.

V případě knihoven je nutné vytvořit nové pasáže Knihovního řádu a upravit klientské účty tak, aby uživatel mohl rozhodovat o způsobu nakládání se svými osobními údaji dle svého uvážení. Knihovny jako správci osobních údajů nebudou povinny ohlašovat nová zpracování osobních údajů ÚOOÚ, ale budou muset být schopny dodržování všech povinností v jakémkoliv okamžiku doložit. Je tedy důležité vědět, jaká data jsou zpracovávána, jak jsou uchovávána, chráněna, a kdo k nim má přístup. Jakmile má knihovna přehled o všech těchto procesech, je potřeba ke každému zpracování přidělit účel, proč tak činí. Knihovny totiž smí zpracovávat údaje pouze pro stanovené účely. Účelem může být ochrana knihovního fondu, poskytování knihovnických, informačních služeb, evidence uživatelů, statistiky apod. Dále je třeba tyto účely podložit právními důvody (viz. čl. 6 odst. 1 Nařízení). Jsou to např. plnění smlouvy, právní povinnosti, oprávněný zájem, souhlas se zpracováním osobních údajů apod.

Pokud potřebuje knihovna souhlas uživatele, musí tak učinit srozumitelnou a jasně graficky odlišitelnou formou od jiných sdělení. Souhlas je třeba žádat pro konkrétní účel a musí být poskytnut jednoznačně (tj. zaškrtnutím předvyplněného políčka, podepsáním souhlasu). Souhlas musí být odvolatelný.

Každý uživatel má právo vědět, jaké osobní údaje o něm knihovna zpracovává. Nejen ty, které on sám knihovně poskytl, ale i ty, které později vyplynou z jeho činnosti. Uživatel se může na tyto informace zeptat nebo si je vyžádat. Tyto údaje musí být přenositelné a primárně by je knihovna měla poskytnout v elektronické podobě, pokud si uživatel nezvolí jinak. Je vhodné si předem vytvořit postup pro vydání těchto údajů. Žádost o vydání informací by měla knihovna splnit co nejdříve, a to nejpozději do 30 dnů. Údaje je pak vhodné předat žadateli na základě ověření jeho totožnosti, zaslat do vlastních rukou nebo prostřednictvím datové schránky. Subjekt osobních údajů bude také moci žádat o jejich výmaz.

Na závěr se zmíníme o možnostech, jak může knihovna informovat své stávající či budoucí uživatele o zpracování osobních údajů. Vhodnými způsoby sdělení, kromě jejich uvedení v Knihovním řádu, je umístění na webu knihovny, v informačním letáku, prostřednictvím e-mailu nebo plakátu v knihovně.

Zdroje:

1. Nařízení evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). EUR-lex Přístup k právu Evropské unie. Informace [online]. 2016, [cit. 9. 3. 2018]. Dostupné z: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679
2. Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění účinném od 1. července 2017. Ústav pro ochranu osobních údajů. Informace [online]. 2017, [cit. 9. 3. 2018]. Dostupné z: https://www.uoou.cz/zakon-c-101-2000-sb-o-ochrane-osobnich-udaju-a-o-zmene-nekterych-zakonu-ve-zneni-ucinnem-od-1-cervence-2017/ds-3109/p1=3109
3. GDPR (obecné nařízení). Ústav pro ochranu osobních údajů. Informace [online]. [cit. 10. 3. 2018]. Dostupné z: https://www.uoou.cz/gdpr-obecne-narizeni/ds-3938/p1=3938
4. NEZMAR, Luděk. GDPR : praktický průvodce implementací. Praha: Grada Publishing, a.s., 2017. ISBN 978-80-271-0668-4
5. DANIELISOVÁ, Tereza; DENÁR, Michal; KOVÁŘOVÁ, Pavla. Ochrana osobních údajů – Příručka pro knihovny. Národní knihovna Praha. Informace [online] 2018. [cit. 13. 3. 2018]. Dostupné z: http://ipk.nkp.cz/legislativa/01_LegPod/ochrana-osobnich-udaju/ochrana-osobnich-udaju-prirucka-pro-knihovny

Pozn.: Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob a jejich kontaktních údajů.