GDPR bububu!

Dne 27.4.2016 schválil EU parlament nové nařízení General Data Protection Regulation (GDPR)Cílem bylo sjednotit ochranu osobních údajů v celé EU. Jednotlivé státy tak aplikovaly nařízení do své legislativy. U nás ustanovení GDPR nahradí původní  Zákon na ochranu osobních údajů č.101/2000 Sb. a to od 25.5.2018. Ve vlastním zákoně 101/2000 zbudou jen ustanovení týkající se českých specifik, především pravomocí a organizace Úřadu pro ochranu osobních údajů.

Podle GDPR je nutné chránit osobní data fyzických osob (tzv. subjektů). Tuto ochranu jim musejí poskytovat všechny právnické osoby v EU, které s daty dané fyzické osoby přijdou do styku (tzv. zpracovatelé údajů nebo správci). V probíhající rivalitě mezi bankami a fintechy si banky konečně zamnuly ruce: došlo i na ostatní. Také musejí řešit ochranu, compliance a podobné „nevýdělečné“ činnosti. Pro banky ochrana osobních údajů není nic nového a požadavky GDPR všechny slušné banky splní s relativně malým úsilím. Zapotí se ale další subjekty. Jen si představte, kde všude znají vaše jméno, adresu…

Základní požadavek definovaný 18 let starým zákonem, tj. ochrana osobních údajů, se s GDPR nemění! Co jsou tedy hlavní změny proti současné ochraně:

Povinnost informovat subjekty o jejich právech

Právo na přístup – subjekt si může vyžádat výpis, co vše o něm správce ví

Právo na opravu – Pokud má správce nepřesná data a subjekt se to dozví a upozorní na to, má správce povinnost data opravit

Právo na výmaz – Subjekt může požadovat výmaz svých dat. To je u bank tricky, protože banky zároveň musejí schraňovat klientské údaje ještě 10 let poté, co klient odešel/zrušil účet. Tuto povinnost bankám ukládá ne jeden, ale dokonce dva zákony.  Zákon o bankách § 21 odst. 2, a  Zákon proti praní špinavých peněz § 3 odst. 2. Takže ano, lze požádat o výmaz dle GDPR, ale nejdříve 10 let po zrušení účtu. Před uplynutím této lhůty by mohl subjekt požadovat výmaz údajů, které nejsou potřebné pro účetnictví, např. biometrie, foto apod. Bude zajímavé sledovat, kdo komu dá za pravdu, až takové situace nastanou.

Zpracování osobních údajů je i výmaz a zničení! (Viz čl.4 odst 2). Interpretace by mohla vést k absurdní situaci: Banka má klientovo data z historie. Klient odmítne vydat souhlas ze zpracováním osobních údajů. Banka je nesmí smazat. Protože mazání je zpracování.

Právo na přenositelnost – Banky znají mobilitu klienta. Přijdu do nové banky, řeknu kde mám starý účet, nová banka si data o mém účtu (trvalé příkazy, souhlasy s inkasem…) vyžádá u staré banky a ta je musí poskytnout. Klient tak ve staré bance nemusí nic řešit. Přenositelnost dle GDPR je to samé, jen pro osobní data.

Právo na námitku.

Právo nebýt předmětem profilace – Profilace je automatizované rozhodování. Banky tomu obvykle říkají scoring. To bude od května možné jen pokud je to nezbytné k uzavření či plnění smlouvy (např. žádost o úvěr) a na základě výslovného souhlasu. Pro banky tedy nic nového.

Povinnost hlásit porušení zabezpečení ochrany osobních údajů do 72hod.

 

Souhlas se zpracováním osobních údajů

Tohle je jedna z klíčových změn. Přechod závaznosti starých souhlasů podepsaných klienty na novou legislativu je možný jen pokud souhlas splňuje podmínky čl.7, odst 2:

“Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.”

Takže už nepůjde nechat klienta podepsat několikastránkovou smlouvu, kde jeden z odstavců bude Souhlas ze zpracováním osobních údajů. Případně jen nechat odkliknout jeden checkbox…Navíc klient může souhlas kdykoli odvolat.

 

Perlička s rodným číslem

Původní idea Úřadu na ochranu osobních údajů byla, že rodné číslo je velmi osobní údaj, k jehož využití banky musejí získat souhlas klienta nebo jeho použití dokonce r. 2005 ukončit. Banky prolobovaly možnost využívat RČ pozměňovacím návrhem do druhého čtení Zákona o finančních konglomerátech. Ten obsahuje čl. 23, kterým se doplňuje Zákon o bankách:

V § 37 odst. 2 větě první se za slova „údaje o osobách“ vkládají slova „včetně rodného čísla, pokud bylo přiděleno“.

Takže rodné číslo je osobní údaj jako každý jiný. O tom jak hořce to nese UOOU viz zde.

Osobní selfie

Poněkud pružná je definice ochrany fotografie: fotografie není citlivým osobním údajem, pokud není použita pro biometrii.

S citem na citlivé údaje

GDPR definuje ochranu zvláštních „citlivých“ osobních údajů prakticky totožně jako starý zákon 101/2000. Jde o údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuální orientaci, stejně tak o biometrické údaje. Zajímavé je, že ve stejné větě, kde nařízení mluví o citlivé „rase“, se hned píše, že tento přístup přeci v EU nepoužíváme (Preambule čl. 51):

“Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras.”

V posledních dnech můžeme v mnoha českých obcích vidět oslavy Tří králů včetně Tříkrálové sbírky. Jak více by mohli Češi demonstrovat, že nejsou žádní rasisti, než když si na Tři krále hrajeme na Araby (z nich jeden Černoch) putující na velbloudech za Židovským miminkem, jehož matka a otčím jsou Migranti…

Foto: Tříkrálový průvod 2018, www.prague.eu

Pověřenec pro ochranu osobních údajů

Každý správce i zpracovatel musí určit Pověřence. Takovou roli lze i outsourcovat či sdílet v rámci skupiny, ale kontaktní údaje na Pověřence musejí být zveřejněny. Pověřenec poskytuje poradenství, monitoruje situaci a spolupracuje s dozorovým orgánem. Takový datový ombudsman. Jestli ho ještě nemáte, nejvyšší čas rozjet nábor, ale trh je dost přebraný. Důvod:

“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly” (čl. 37 odst. 5)

 

Pokuty

Směrnice GDPR definuje drastické pokuty za případné nedodržení a to až 20mil EUR nebo 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho která částka je vyšší (čl. 83). Dle dosavadního zákona 101/2000 byla maximální pokuta 5mil Kč. Soulad se zásadami a jeho prokazování může být vykládán také kodexy, osvědčeními (pečetě, známky) a záznamy o činnostech zpracování.

Před všemi zpracovateli osobních údajů tak visí obří strašák velké pokuty. V prostředí strachu se výborně prodávají léčivé pilulky. Trh je nyní zasycen konzultanty a specialisty, kteří nabízejí GAP analýzu, procesní analýzu i návrh opatření. Na trhu s nízkou nezaměstnaností cena GDPR specialistů (rozuměj těch, co četli dané nařízení, nebo alespoň jeho rešerši) raketově roste. Přitom směrnice moc nových věcí nepřináší, a zvlášť ne pro banky.

Situace s GDPR je podobná problému Y2K. Pokud nepamatujete…to kdysi v roce 1999 se rozšířila obava, že počítače nezvládnou přechod na r. 2000, protože ve starých programech byl rok definován často jen posledními dvěma číslicemi. Probíhaly drahé analýzy, testovala se opatření, ajťáci obíhali všechny PC a nakonec si nikdo až na výjimky přechodu na letopočet nevšiml. Kromě konzultačních firem. Pravda, nebyly tam drastické pokuty.

 

Náklady a úspory

Ve zdůvodňující zprávě EU se mluví tom, že sjednocení podmínek ochrany osobních údajů přinese businessu celkové úspory 2,3 miliardy EUR ročně. Zdroj a také zde v ihned.cz. Myslete na to, jak pomáháte Evropě šetřit, až budete platit fakturu za změny kvůli GDPR.

Těšíte se?

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *