PHARMA NEWS - odborný časopis
Nová ochrana osobních údajů z pohledu nezbytného minima pro lékárny
Nová ochrana osobních údajů z pohledu nezbytného minima pro lékárny
JUDr. Soňa Matochová, Ph.D., Úřad pro ochranu osobních údajů
Následující poznatky o obecném nařízení na ochranu osobních údajů, zpravidla označovaném jako GDPR z anglického General Data Protection Regulation (dále obecné nařízení)1 nepředstavují ani teoretické pojednání, ani vyčerpávající praktický návod, ale spíše přehledné shrnutí výchozích poznatků užitečných pro lékárníky, pracovníky či zaměstnance v lékárnách, kteří chtějí vykonávat své povolání odborně, v souladu s jeho etikou a také s právními předpisy na ochranu osobních údajů. Problematika je zasazena do širšího kontextu současného vývoje ve společnosti, který je charakterizován rychlým rozvojem technologií a globalizací na jedné straně, a ztrátou soukromí a obavami o osobní údaje fyzických osob na druhé straně. Účelem příspěvku je srozumitelné vysvětlení smyslu právní úpravy a představení způsobu uvažování o klíčových pojmech a tématech. Užitečnými podněty, jak k problematice přistupovat, pro mě byly diskuse s pracovníky lékáren, které proběhly v rámci seminářů pořádaných v květnu 2018 společností Erudikum a Českou lékárnickou komorou za účasti Úřadu pro ochranu osobních údajů (dále Úřad). V současné době by se měl v zásadě každý, kdo chce zodpovědně plnit povinnosti ve svém oboru podnikání, seznámit s novou právní úpravou ochrany osobních údajů, porozumět jí a případně si též položit některé obecnější otázky. Ty by se měly týkat především důvodů vzniku obecného nařízení, základních informací o jeho právním charakteru a zásad, na kterých je založeno. Dále je nutné vědět, jaká právní úprava bude platit od 25. května 2018 (datum účinnosti obecného nařízení), jaký je vhodný postup při implementaci nařízení a kde se dají získat potřebné informace.2 Stručné odpovědi na uvedené otázky jsou obsahem dalšího textu.
Proč vlastně obecné nařízení vzniklo, jaká práva chrání a koho se týká?
Jedním z určujících momentů pro vznik obecného nařízení byl rozšířený názor občanů Evropské unie včetně občanů ČR, že ačkoli považují za prospěšné online služby a dostupnost informací, domnívají se nicméně, že jejich soukromí a osobní údaje nejsou dostatečně chráněny, obávají se jejich zneužití či podvodů, jsou informováni o úniku informací z veřejných databází a domnívají se, že by měli být informováni, pokud dojde k úniku jejich osobních údajů (podle statistických průzkumů se jedná zhruba o 80 % občanů EU).3 Dále je podstatné, že pokud mluvíme o ochraně soukromí, osobních údajů, případně právu na informační sebeurčení, kterým rozumíme, abychom sami mohli rozhodnout, zda sdělíme vlastní osobní údaje jiným osobám nebo subjektům, jedná se o základní práva chráněná ústavním pořádkem ČR, evropským právem či lidskoprávními předpisy. Jde vlastně o hodnoty, jejichž nedostatečná ochrana může být považována za deficit demokracie či dokonce právního státu. Obecné nařízení se tedy snaží o nalezení vyváženého vztahu mezi rozvojem informačních technologií a ochranou osobních údajů. Za tím účelem stanoví důsledné mechanismy k prosazení ochrany fyzických osob, které se v terminologii nařízení označují jako subjekty údajů, přičemž posílení těchto práv vyžaduje zpřesnění a zpřísnění dosavadního zacházení s osobními údaji ze strany správců a zpracovatelů osobních údajů.
Jaké základní informace o obecném nařízení jsou potřebné?
O obecném nařízení je potřebné především vědět to, že je obecné, což znamená, že je založeno na obecných principech, které je potřebné aplikovat na konkrétní situace. Tímto způsobem si každý může zodpovědět otázky týkající se ochrany osobních údajů, které řeší ve své konkrétní provozovně a jedinečné situaci. Konkrétně se jedná o princip korektnosti (spravedlivosti), zákonnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnost, omezení uložení a integrity a důvěrnosti. Nejdůležitější je ovšem princip odpovědnosti správce, kterým se rozumí, že správce je odpovědný za dosažení souladu s právními předpisy na ochranu osobních údajů a tento soulad musí prokázat.4 Proto je také potřebné, aby porozuměl principům ochrany osobních údajů, a naučil se s nimi pracovat. Aplikace jednotlivých principů znamená odpovědět si na otázky:
– Mám některý ze zákonných právních důvodů ke shromažďování osobních údajů?5
– Zpracovávám osobní údaje jiných osob transparentně, plním vůči nim informační povinnost?
– Shromažďuji osobní údaje jiných osob pro určitý výslovný účel (účelové určení)?
– Shromažďuji tyto osobní údaje pouze v nezbytném rozsahu (minimalizace údajů)?
– Jsou osobní údaje, které zpracovávám, přesné případně aktualizované?
– Neukládám osobní údaje po dobu delší než je nezbytné pro stanovený účel (princip omezení uložení)?
– Jsou osobní údaje náležitě zabezpečeny pomocí vhodných technických a organizačních opatření (integrita a důvěrnost), přičemž technickými prostředky jsou např. vhodné IT programy či zařízení a organizačními prostředky interní předpisy na ochranu osobních údaj v dané provozovně.
Další důležitou informací je, že obecné nařízení je právním aktem práva EU, který je obecně závazný a bezprostředně použitelný v členských státech, aniž by musel být převeden do právního řádu členských států. To znamená, že nařízení bude účinné od 25. 5. 2018, i za současné situace, kdy nebudou přijaty doprovodné zákony, tedy zákon o zpracování osobních údajů a změnový zákon, které jsou v současné době projednávány Parlamentem ČR. Je také dobré vědět, že do přijetí nové právní úpravy bude platit stávající zákon č. 101/2000 Sb. v rozsahu, ve kterém nebude v rozporu s obecným nařízením. I z těchto důvodů je vhodné naučit se pracovat přímo s obecným nařízením.
Úřad ve svých veřejných vyjádřeních zpravidla uvádí, že kdo dodržoval současně platný zákon č. 101/200 Sb.,6 nebude mít problém s dodržováním nařízení. V zásadě lze říct, že většina institutů, povinností a pojmů je převzata z dosavadní právní úpravy ochrany osobních údajů v zákoně č. 101/2000 Sb., směrnice č. 95/46/ES, případně Úmluvy č. 108. Na druhé straně dochází ke zpřesnění právní úpravy a k jejímu rozšíření. Zůstávají zachovány tradiční pojmy ochrany osobních údajů a jejich definice jako např. osobní údaj, zpracování, správce či zpracovatel, zatímco nově se objevují pojmy jako profilování, pseudonymizace, kodexy chování či závazná podniková pravidla.
Jaký postup zvolit při implementaci ochrany osobních údajů do praxe, např. u lékáren?
Obecné nařízení stanoví obecná pravidla, ovšem jeho aplikace bude vždy zohledňovat specifika konkrétních oblastí, sektorů či subjektů, na které se vztahuje. V řadě případů tedy nestanoví konkrétní řešení a bude na povinných subjektech, jaká opatření či postup k zajištění ochrany osobních údajů zvolí. Mohou být proto velké rozdíly ve způsobu implementace nařízení i ve finančních nákladech, které jsou s těmto opatřeními spojeny. V každém případě lze doporučit, aby povinné subjekty zajišťovaly, pokud je to možné, ochranu osobních údajů vlastními pracovníky. Jde o to, že ochrana osobních údajů představuje určitou specializovanou znalost, která se bude vyvíjet v čase, a pro organizaci představuje i cenné know how v dané specifické oblasti. Např. pokud se bude jednat konkrétně o lékárny, implementace obecného nařízení bude záviset na velikosti lékárny a rozsahu služeb. Společné naopak bude, že lékárny pracují s údaji pacientů, které se týkají zdravotního stavu, tedy se zvláštními kategoriemi osobních údajů, pro které nařízení stanoví speciální režim ochrany oproti běžným osobním údajům. Při konkrétní implementaci obecného nařízení je potom vždy třeba vyjít z toho, jaký byl dosavadní stav ochrany osobních údajů v konkrétní provozovně. Od toho se totiž bude odvíjet náročnost přípravy. Jednoduše řečeno, kdo tzv. zákon č. 101 dodržoval, má určitý základ, který lze rozvíjet. Nicméně v tomto ohledu získal Úřad v průběhu příprav na obecné nařízení řadu poznatků o tom, že celá řada subjektů neuplatňuje důsledně současnou právní úpravu a neplní povinnosti, které ukládá.
V kontextu informací uvedených v předcházejícím textu by postup při implementaci obecného nařízení u lékáren mohl být v počátečním období např. následující:
– Prověření stávající zajištění ochrany osobních údajů;
– seznámení se s novou právní úpravou, zejména se zásadami, na nichž je založena, s právy subjektu údajů, povinnostmi správce a zpracovatele;
– aplikace výše uvedených zásad a povinností na konkrétní zařízení a situace;
– posouzení, zda má mít provozovna pověřence pro ochranu osobních údajů;
– příprava a vypracování záznamů o zpracování;
– posouzení, zda v provozovně existují riziková zpracování osobních údajů, která vyžadují zpracování posouzení vlivu na ochranu osobních údajů;
– posouzení, zda stávající smlouva se zpracovatelem, kterým bude zpravidla IT firma, odpovídá požadavkům nového nařízení;
– přijetí interních předpisů a technických opatření zohledňujících ochranu osobních údajů;
– pokyny upravující postup při realizaci práv subjektů údajů;
– pokyny upravující postup při hlášení bezpečnostního incidentu.
– proškolení stávajících pracovníků.
Závěrem je namístě říct, že ochrana osobních údajů se v souvislosti s obecným nařízením stala v poslední době předmětem velké pozornosti a také velkých obav. Domnívám se však, že náležitým vysvětlením lze obavy odstranit. Je třeba vidět, že jde o právní úpravu, která bytostně souvisí s naší dobou, s její dynamikou, možnostmi i nebezpečími. Pro jednotlivé podnikatele bude představovat splnění požadavků obecného nařízení dobrou vizitku a konkurenční výhodu. Cíl, který nařízení ukládá, je získání kontroly nad osobními údaji fyzických osob, tedy nad našimi osobními údaji a osobními údaji našich blízkých. V tomto smyslu lze chápat obecné nařízení jako výzvu, která ke svému naplnění vyžaduje pozitivní přístup a kreativní myšlení!
Poznámky:
1) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2) https://www.uoou.cz/.
3) http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf.
4) Čl. 5 obecného nařízení.
5) Čl. 6 obecného nařízení stanoví jako právní důvody zpracování, jimiž může bít smlouva, splnění právní povinnosti, ochrana nezbytně důležitých zájmů subjektů údajů, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, oprávněné zájmy správce a souhlas.
6) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění dalších předpisů.