JAROSLAV CÍSAŘ ctenar@svkkl.cz

Osobní údaje pod dohledem

Pětadvacátého května 2018 vstoupí v platnost obecné nařízení EU o ochraně osobních údajů, které je spíše známé pod anglickou zkratkou GDPR (General Data Protection Regulation). Bude mít dopad i na činnost knihoven – mj. v souvislosti s nakládáním s osobními údaji jejich uživatelů. V ČR je dozorovým orgánem pro dodržování této legislativní úpravy Úřad pro ochranu osobních údajů (ÚOOÚ), proto jsme požádali o rozhovor Miroslavu Matoušovou, odborného radu z této instituce; mimochodem – vystudovala obor knihovnictví a vědecké informace a pracovala v informačních službách.

Materiál, který byl schválen již 27. dubna 2016, se oficiálně nazývá Nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů.

Nová legislativní úprava nahradí dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů. Současně se předpokládá, že zákon č. 101/2000 Sb. bude novelizován (pozn. red.: blíže viz text na s. 348). Kdy bude novela k dispozici a co přinese navíc oproti GDPR? Souvisí s tím deklarace, že GDPR poskytuje členským státům určitý prostor ke stanovení vlastních pravidel?

Rozsah změn navozených obecným nařízením a současně s ním publikovanou směrnicí, která upravuje ochranu osobních údajů v souvislosti s jejich zpracováním pro prevenci, vyšetřování, odhalování a stíhání trestných činů a výkonu trestů, je tak velký, že bylo potřeba vypracovat návrh nového zákona. Pracovní název tohoto zákona, který by měl být předložen až nové vládě a nové Poslanecké sněmovně Parlamentu České republiky, je zákon o zpracování osobních údajů. Nový zákon by měl nabýt účinnosti 25. května 2018, tedy ve stejný den jako obecné nařízení. Nový zákon má poněkud širší záběr než adaptaci na obecné nařízení. Pokud zůstaneme jen u promítnutí zmocňujících ustanovení obecného nařízení, pak v této fázi návrh zákona využívá jen některá z nich – a ne všechna v plném rozsahu. Jsou například upravena některá omezení práv subjektu údajů, jež jsou ovšem kompenzována tím, že jednotlivé případy jejich použití správce oznamuje Úřadu pro ochranu osobních údajů. Obecné nařízení však obsahuje také několik ustanovení, která přímo a bez výjimky předpokládají přijetí vnitrostátního právního předpisu. To platí zejména pro dozorové úřady. Předpokládá se, že v České republice bude nadále působit jediný nezávislý dozorový úřad, a to stávající Úřad pro ochranu osobních údajů se sídlem v Praze. Dále návrh zákona smiřuje právo na ochranu osobních údajů podle obecného nařízení s právy na svobodu projevu a informací, včetně zpracování pro účely novinářské a účely akademického, uměleckého a literárního projevu, tedy oblastí s významem pro knihovny.

Předpokládejme, že knihovna dodržuje stávající zákon č. 101/2000 Sb. Co nejprve musí udělat, aby se vyhnula střetu nových legislativních úprav o ochraně osobních údajů? Musí provést posouzení vlivu na ochranu osobních údajů?

Jestliže veřejná knihovna vykonává obvyklé činnosti, které veřejné knihovny vykonávají, zpracovává tomu odpovídající osobní údaje a používá k tomu místu a době odpovídající technické prostředky a informační technologie, pak není důvod k obavám. Určitě je vhodné – pokud tak ještě knihovna neučinila – bez prodlení provést inventuru (nebo revizi?) nakládání s osobními údaji, a to jak uživatelů knihovny, tak jejích zaměstnanců. Z této inventury, kterou nepůjde úspěšně provést bez nějaké dokumentace, vyplyne přehled o prováděných zpracováních. Na základě prověření účelu (důvodu), pro který jsou osobní údaje zpracovávány, stavu zabezpečení a plnění povinností vůči zaměstnancům a uživatelům se dojde ke zjištění, co a kde je třeba změnit. Předpokládám, že půjde o změny dílčí. Pravděpodobně bude třeba upravit formuláře a některé další dokumenty určené uživatelům, zejména v důsledku změny „pravidel“ pro souhlas a podrobnější úpravy práv subjektu údajů.

K tomu, aby se na nic nezapomnělo, je dobré postupovat podle čl. 30 odst. 1 obecného nařízení a vypracovat jednorázové záznamy o činnostech zpracování, i když se na příslušnou knihovnu vztahuje výjimka z povinnosti záznamy o činnostech zpracování vést. Za výše uvedeného předpokladu – knihovna vykonává obvyklé činnosti a osobní údaje zpracovává v rozsahu těmto činnostem odpovídajícím a je v souladu se stávajícím zákonem o ochraně osobních údajů – nemá povinnost posouzení vlivu zamýšleného, tj. připravovaného nebo inovovaného zpracování osobních údajů provést. To by samozřejmě neplatilo, pokud se knihovna – zřejmě ve spolupráci s nějakým externím partnerem – zapojí do projektu „chytré (neboli smart) cokoli“. Tam jsou jednoznačně splněny podmínky pro povinnost posouzení vlivu provést. A začít bude třeba ne od internetových technologií, ale od práv a svobod, které mohou být zamýšlenou aplikací nebo jejími vazbami na aplikace jiné dotčeny nebo dokonce ohroženy.

Většina knihoven provozuje komerční automatizovaný knihovní systém nebo si systém kupuje formou služby. Jsou stále častější případy, kdy veškerá data knihovny a jejích uživatelů jsou uložena v cloudu. Co by knihovna měla na svém dodavateli požadovat ve smyslu uplatnění GDPR? Stačí, když dodavatel poskytne prohlášení, že jeho systém odpovídá požadavkům GDPR?

Možná je dobré začít tím, že bez ohledu na rozsah a formu zapojení komerčního dodavatele bude knihovna ve vztahu k osobním údajům svých uživatelů a zaměstnanců zásadně v postavení správce, se všemi povinnostmi, které z toho vyplývají. Knihovna musí nadále požadovat všechny náležitosti podle zákona o ochraně osobních údajů, tedy záruky o technickém a organizačním zabezpečení ochrany osobních údajů. Na tom obecné nařízení nic nezmění. A stejně jako dnes nebude stačit jednoduché prohlášení. Knihovna se musí přiměřeným způsobem ujistit, že takové prohlášení je něčím podloženo. K tomu slouží mj. obecně užívané nástroje dodržování kvality, jako např. doklad souladu s příslušnými technickými normami, v případě cloudu přihlášení se k Evropskému kodexu chování pro cloudy poskytovatelů takových služeb působících v Evropě (byť zatím jde o dokument nikým mimo komunitu samotných poskytovatelů takových služeb „neschválený“). Jako záruky mají být zpracovatelem nabídnuty a správcem vyžadovány i další postupy prosazující ochranu osobních údajů v souladu s obecným nařízením, včetně např. periodického prověření stavu u zpracovatele.

Knihovnám jako správcům osobních údajů by mohly pomoci různé kodexy, osvědčení, certifikáty jako vodítka správné praxe. Kdo by měl takový kodex připravit? Jsou již k dispozici nějaké kodexy z jiných oblastí, kterými by se dalo inspirovat?

Kodexy chování, osvědčení o ochraně údajů, pečetě a známky dokládající ochranu osobních údajů mají v konečném důsledku pomoci zejména uživatelům knihoven a současně usnadnit život správcům, kteří budou tyto doklady souladu s obecným nařízením a možná i vnitrostátními předpisy využívat při volbě technických řešení jednotlivých zpracování. Knihovny budou stejně jako mnozí jiní správci bez dalšího ověřování důvěřovat poskytovateli služeb nebo dodavateli řešení, který se něčím takovým může prokázat. Úřad pro ochranu osobních údajů se k žádnému návrhu kodexu chování zatím nevyjadřoval; v budoucnu bude jeho úkolem vypracování kodexu chování podporovat. Z jiných oborů víme, že cesta ke schválenému kodexu chování je dlouhá a nákladná, zejména na úrovni Evropské unie. Předchůdce budoucího Evropského sboru pro ochranu osobních údajů byl v loňském roce osloven zpracovatelem kodexu pro ochranu soukromí v mobilních zdravotnických aplikacích. Komunikaci je nutno označit za předběžnou; naostro vše započne až po 25. květnu 2018.

Každý uživatel knihovny je při registraci požádán o souhlas se zpracováním osobních údajů. Budou muset knihovny v této oblasti něco přehodnotit nebo změnit svou praxi?

Na rozdíl od správců v řadě jiných odvětví jsou změny týkající se souhlasu subjektu údajů pro knihovny mimořádně významné a skutečně navozující potřebu zásahu do komunikace se subjekty údajů. Zatímco podle stávajících tuzemských pravidel je souhlas subjektu údajů základním právním titulem pro zpracování osobních údajů v souladu se zákonem, od 25. května příštího roku je jedním ze šesti rovnocenných titulů. Knihovny se budou muset předem ujistit, proč – tedy pro jaký účel – vlastně osobní údaje zpracovávají a ujasněný účel poměřit s podmínkami, které vymezují zákonnost zpracování (v článku 6). Lze předpokládat, že budou osobní údaje zpracovávat jednak pro splnění smlouvy se subjektem údajů, jednak pro splnění své vlastní právní povinnosti. Souhlas uzavřený „ pro jistotu“ jako „plošný“ bez ohledu na právní základ prováděného zpracování určitě nebude v pořádku, i když taková „rada“ se objevuje. Obecné nařízení stanoví pro získání souhlasu v souvislosti s nabídkou služeb informační společnosti přímo dítěti věkovou hranici 16 let, umožňuje však členským státům stanovit nižší věk, ne však nižší než 13 let. Právě tuto spodní hranici má zavést zákon o zpracování osobních údajů. Je nicméně třeba počítat s tím, že příprava zákona je spíše v první polovině a mnohé se může změnit.

Před krátkým časem zahájil provoz Centrální portál knihoven, který umožní, aby uživatel mohl využívat služby i těch knihoven, kde není registrován. To bude vyžadovat přenositelnost údajů o uživateli. Jaké podmínky je nutno splnit pro zajištění přenositelnosti?

Z toho mála, co o portálu vím, soudím, že ani v tomto případě není důvodu mít z nabytí účinnosti nového zákona a obecného nařízení obavu. To platí i pro přenositelnost, která je stejně tak novou dílčí funkcionalitou ve zpracování osobních údajů, jako docela velkou neznámou. Právo na přenositelnost se v rámci využívání vnitřních služeb portálu určitě nepoužije. Podle zveřejněných informací portál zajišťuje jednotný přístup ke službám participujících knihoven v České republice, zahrnující do určité míry také sdílení osobních údajů uživatelů více správci. To je ale něco jiného než přenesení osobních údajů k jinému správci. Podmínky pro využití práva na přenositelnost by nastaly při odchodu uživatele z knihovny zapojené do portálu do knihovny nezapojené do portálu.

Většina knihovních systémů je dostupná na internetu prostřednictvím protokolu „http“. Budou muset knihovny přejít na užití protokolu „https“?

Už dnes Úřad pro ochranu osobních údajů nepovažuje za odpovídající zákonu, když správce organizuje komunikaci se subjekty údajů tak, že připouští používání nezabezpečených komunikačních kanálů. Obecné nařízení určitě nepřináší snížení nároků na zabezpečení. Na druhé straně ovšem neplatí, co se někdy uvádí, totiž že pro přenos osobních údajů musí být vždy použito šifrování. Pro rozhodování o úrovni zabezpečení jsou klíčové současně povaha, rozsah, účel a kontext zpracování a technické a ekonomické možnosti správců na straně jedné a rizikovost operací s osobními údaji na straně druhé. Tady je potřeba si uvědomit, že komunikace subjektu údajů s knihovnou je pro posuzování rizikovosti také stálým, trvale používaným kanálem, který je zabezpečen za použití velice široce dostupných nástrojů.

Častou otázkou je, zda knihovny budou muset využívat funkci pověřence pro ochranu osobních údajů. Vztahuje se toto ustanovení také na ně? Například řada knihoven působí jako organizační složka obecního úřadu.

Česká republika podle návrhu připravovaného zákona o zpracování osobních údajů nebude využívat možnosti uvalit povinnost jmenovat pověřence pro ochranu osobních údajů v jiných případech, než ve kterých to jednoznačně stanoví čl. 37 obecného nařízení. Kromě toho okruh skutečně povinných správců podle odst. 1 písm a) také závisí na právních řádech jednotlivých členských států. Značně vágní pojem „veřejný subjekt“ bude pravděpodobně vymezen jako orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Tyto podmínky knihovny nenaplňují. To je ale stav k dnešnímu dni, v průběhu projednávání návrhu zákona může v tomto ohledu dojít ke změně. A i když stávající představa dojde naplnění, určitě bude vhodné, aby v knihovnách s metodickou působností a ve velkých knihovnách, pokud nenaplňují předchozí podmínku, působila osoba, která má znalosti a úkoly jako pověřenec pro ochranu osobních údajů. Je třeba dát pozor na to, že pokud knihovna nebude mít povinnost pověřence jmenovat a interního odborníka na ochranu osobních údajů označí jako pověřence, budou se na ni vztahovat všechny povinnosti z nařízení.

Nařízení povoluje určité odchylky pro organizace s méně než 250 zaměstnanci, což – pokud se nemýlím, s výjimkou NK ČR – platí pro všechny ostatní knihovny v ČR. V čem odchylky spočívají?

Odchylky spočívají v úlevě u některých povinností. Ze záměru brát na malé a nejmenší správce ohled, který je potvrzen i deklaratorními ustanoveními preambule obecného nařízení, jsou nakonec v normativním textu tři. My už jsme se první z nich podle systematiky obecného nařízení dotkli: je to výjimka z povinnosti vést, tj. vypracovat a průběžně doplňovat a jinak udržovat záznamy o činnostech zpracování podle článku 30. Tato úleva je výrazem jednoho z konstrukčních principů obecného nařízení – principu založeného na riziku, podle něhož se nároky (a náklady) na ochranu osobních údajů odvíjejí z inherentního rizika každého konkrétního zpracování osobních údajů. Na malé správce pamatuje obecné nařízení také tím, že při vypracovávání kodexů chování a uvedení mechanismů pro vydávání osvědčení v život mají být brány ohledy na potřeby mikropodniků a malých a středních podniků. Tito správci by z nich ideálně měli mít největší relativní profit.

Jaké nástroje bude mít ÚOOÚ jakožto dozorový orgán pro uplatňování nové směrnice EU?

Úřad pro ochranu osobních údajů bude mít pro uplatňování obecného nařízení a implementované trestně právní směrnice k dispozici všechny stávající nástroje, tj. pravomoci poradní, vyšetřovací a nápravné. V České republice máme všechny už teď, jen je označujeme jinými slovy. Používání všech nástrojů bude postupně čím dále více ovlivňováno unijním rozměrem dozoru nad ochranou osobních údajů. Ostatně sjednocení dozoru nad ochranou osobních údajů v celé Evropské unii je jednou z mála skutečně podstatných změn, i když osobně označení „revoluční“ nevolím. Zcela obecně to lze podat tak, že podstatně výraznější bude unijní sjednocování názorů na řešení praktických problémů, včetně ukládání pokut za porušení obecného nařízení a opatření k nápravě, byť i s dílčími modifikacemi stanovenými vnitrostátními předpisy.

Kde mohou případně knihovny a podobné instituce žádat o pomoc, konzultace a návrh řešení?

Knihovny a podobné instituce mohou samozřejmě žádat o bezplatné konzultace také Úřad pro ochranu osobních údajů. Jiná pomoc a návrh řešení jejich vnitřních problémů nejsou úkolem Úřadu, ale věcně příslušných resortních institucí. Necítím se natolik informována, abych uváděla jakoukoliv referenci.