GDPR se týká všech fyzických osob
Autoři:
Mgr. MUDr. Jaroslav Maršík
Vyšlo v časopise:
Čas. čes. lék., 89, 2017, č. 10, s. 10-11
Alespoň zmínku už o GDPR slyšel každý. Mnozí už o něm vědí dost, většina skoro nic, a nikdo tolik, kolik by bylo třeba. Ostatně to ani není možné. GDPR, neboli General Data Protection Regulation, neboli nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně osobních údajů v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, je novinkou, která se zmocní našich životů 25. 5. 2018, a téměř nebude nikoho, kdo by jí unikl. A s novinkami v právním světě už se to má tak, že se dopředu málo ví, jak se v praxi prosadí, jak se vyvine výklad sporných ustanovení, jak přísné bude jejich mocenské prosazování.
A protože jde o normu pocházející z pera evropského „zákonodárce“, původně nesepsanou v českém jazyce, správnou interpretaci ještě komplikují obtíže spojené s překladem a trefným vystižením originálního textu. Což je u nařízení, které ve všech zemích EU bude od května příštího roku účinné přímo, nepříjemné dvojnásob. Nařízení je skutečně normou, u které nemůžeme očekávat, že by se její obsah objevil v některém ze zákonů schválených českým Parlamentem. Nevyjde v české Sbírce zákonů a jeho adresáti si jej mohou a musí nalézt na internetových stránkách Evropské unie. Totéž platí pro všechny země EU.
„Stojednička“ se s GDPR shoduje
Koho se GDPR týká? Všech fyzických osob, protože jeho účelem je chránit jejich osobní údaje. O každé takové osobě nařízení hovoří jako o subjektu údajů. A pak se samozřejmě týká všech, kteří osobní údaje fyzických osob zpracovávají. Pokud takzvaně určují účel zpracování údajů, říká se jim správci, a pokud jen pro správce vykonávají některé činnosti při zpracování, aniž by určovali jejich účel, říká se jim zpracovatelé. Máte-li pocit, že stejné termíny znáte už ze současnosti ovládané zákonem č. 101/2000 Sb., o ochraně osobních údajů, nemýlíte se. I v mnoha jiných ohledech se „stojednička“ s GDPR shoduje. Jde o podobnost čistě nenáhodnou, nicméně jen částečnou. GDPR by nemuselo být přijímáno, kdyby mělo zachovat stávající pravidla. To není jeho smyslem. Technologický pokrok dosáhl stupně, který umožňuje zpracování osobních údajů v natolik nebezpečné míře, že nezbývá než podstatně zpřísnit podmínky, za nichž se s osobními údaji pracuje. Nařízení bylo přijato, za půl roku bude účinné, a debaty na téma, jak zdařile se podařilo regulaci zpracování osobních údajů v GDPR připravit, jsou ryze akademické. Zdá se, že snaha zamezit zneužívání osobních údajů zejména velkým hráčům se v GDPR poněkud vymkla z kloubů a dopadne bezezbytku na všechny správce a zpracovatele, i ty nejmenší. Na druhou stranu vše nasvědčuje tomu, že GDPR zastihlo evropskou populaci ve stavu jen slabého uvědomění si toho, jak cenné osobní údaje jsou a jak snadno se každý z nás obnažuje před neznámými subjekty, které jsou schopny si profilovat vlastnosti, zvyky, minulost, zájmy jednotlivců. Jestli tedy má GDPR něco znamenat, pak snad příležitost k všeobecnému probuzení se do nového světa, v němž si všichni budeme vědomi toho, že si vlastní údaje musíme chránit, a s údaji ostatních zacházet jako s něčím vzácným, nikoliv jako s odpadem, který se doslova povaluje na milionech disků kdekoliv po světě.
Jak se s tím vypořádat?
Pro někoho, kdo se s GDPR začne seznamovat, je těžké se zorientovat v tom, jestli opravdu bude muset od května NĚCO dělat jinak, nebo jestli jde jen o bouři ve sklenici vody. A opravdu není jednoduché se zorientovat. S každou podobnou novinkou se vždy vyrojí spousta těch, kteří podávají zaručené výklady toho, jak co bude, a jedním dechem nabízí nejrůznější komerční produkty, díky kterým se lze starostí spojených s novinkou snadno zbavit. Je tomu tak i v případě GDPR. Článků, seminářů, konferencí a už i různých „skutečně spolehlivých“ vzorů lze na trhu nalézt nespočet. Řada těchto informačních zdrojů má svou hodnotu a na řadu z nich nelze spoléhat vůbec. Jak se tedy nejlépe s GDPR seznámit a také vypořádat ve své praxi?
Ten, kdo se bude chtít stát skutečným znalcem problematiky spojené s GDPR, se musí připravit na mnoho hodin studia. A nikdy nebude zcela hotov, protože s GDPR je spojena řada sporných bodů, které se budou vyjasňovat až v průběhu času, během kterého se budou objevovat další problémy. Naštěstí je GDPR pojato poměrně netradičně a svou výjimečnou bezformálností umožňuje vypořádat se s jeho aplikací takřka jen na základě selského rozumu. Není v možnostech tohoto a dalších článků přinést vyčerpávající komentář k celému nařízení. Shrnutí toho nejdůležitějšího ale nabídnout může.
Náležitě zabezpečené údaje
Zpracování osobních údajů musí podle GDPR probíhat podle několika základních zásad. Musí být korektní, zákonné a transparentní. Zejména je třeba mít vždy na paměti, že pro zpracování musí být vždy dán zákonný důvod. Tím je např. zákonem uložená povinnost, ale i smluvní vztah mezi správcem a subjektem údajů. Zákonným důvodem je i souhlas subjektu osobních údajů. Ale pozor, GDPR zcela převrací zavedenou zvyklost nechávat každého podepisovat souhlas se zpracováním osobních údajů při každé příležitosti. To bude nově přípustné vlastně jen v těch případech, kdy nebude dán jiný zákonný důvod, a přesto bude mít správce zájem na zpracování údajů. Nebude tedy v pořádku, pokud např. při nákupu na internetu bude obchodník požadovat souhlas od zákazníka jen kvůli samotnému uzavření obchodu. K tomu souhlas potřebovat nebude. Jestliže ale bude obchodník chtít zpracovávat osobní údaje svého zákazníka z marketingových důvodů, půjde o typický důvod pro nutné opatření si souhlasu se zpracováním osobních údajů. Zpracování musí být dále účelově omezeno, což znamená, že pro každé zpracování musí mít správce určitý, výslovně vyjádřený a legitimní účel, a údaje nesmí zpracovávat způsobem s tímto účelem neslučitelným. Zásada minimalizace údajů obnáší povinnost zpracovávat vždy jen nezbytný rozsah osobních údajů. Údaje musí být na základě přijetí veškerých rozumných opatření udržovány přesné. Nesmějí být uchovávány po dobu delší, než je nezbytně nutné. A v neposlední řadě musí být náležitě zabezpečené.
Dodržování těchto několika zásad se jeví jako celkem jednoduchý úkol. Po jejich zažití a důsledném nastavení v provozu každého správce a zpracovatele tomu tak skutečně může být. Cesta k tomuto stavu si ale od každého vyžádá velké úsilí. GDPR nikomu nenařizuje, aby se s nimi vypořádal za pomoci nějakých konkrétních postupů, formulářů, specialistů apod. Každý má možnost uchopit své GDPR po svém, pokud se mu podaří zpracovávat údaje zákonně, účelně, minimálně, časově omezeně, přesně a bezpečně. Zejména malým správcům ani nic jiného nezbyde. GDPR klade velký důraz i na přiměřenost a rozumnost. Očekává, že se jím bude řídit každý, ale vždy podle rozsahu zpracování, velikosti, možností. Jiná opatření a zabezpečení budou nutná u nadnárodních korporací a jiná u malého podnikatele. A opět neříká, v čem přesně má rozdíl spočívat. Ono to ani říci nelze. Poměry u každého správce budou vždy posuzovány případ od případu. Přiměřenost opatření a jejich soulad s GDPR bude český dozorový Úřad pro ochranu osobních údajů (ÚOOÚ) posuzovat individuálně, a lze předpokládat, že tam, kde shledá odpovídající snahu GDPR vyhovět, nebude na místě se bát drastických sankcí, o kterých se v souvislosti s GDPR mluví nejčastěji. ÚOOÚ není velký úřad a určitě nebude schopen systematických plošných kontrol. Spíše lze očekávat, že kontroly budou prováděny na základě podnětů ze strany subjektů osobních údajů. Nikdo si proto nemůže být jistý, že právě jemu se kontrola vyhne. Je proto nezbytné vědět i to, že GDPR zcela obrací způsob vnímání odpovědnosti za přestupek. Nebude to ÚOOÚ, kdo bude muset dokazovat správci, že porušil nějakou povinnost. Naopak. Každý správce nebo zpracovatel bude muset sám dokazovat Úřadu, že přijal veškerá rozumná a přiměřená opatření, aby zpracování probíhalo podle zásad citovaných výše. A pokud se mu to nepodaří, může být sankcionován.
Změnit myšlení, chování a návyky
V GDPR si výslovně nepřečtete, o co vlastně jde. Je to jednoduché. Za prvé jde o to, zjistit, kde se osobní údaje uchovávají, a ujasnit si, co se s nimi děje. Za druhé si důkladně uklidit a vymyslet, jak s údaji pracovat správně. Za třetí pořádek udržovat. Za čtvrté se starat o bezpečí. Za páté se naučit efektivně vyhovět přáním subjektů osobních údajů, využivajících svých práv z GDPR. A za šesté být vždy připraven své postupy obhájit před ÚOOÚ. Bezformálnost, s níž GDPR nevnucuje konkrétní postupy a podoby při zpracování osobních údajů, na jednu stranu umožňuje každému, aby se s nařízením vypořádal podle svých sil a představ. Na stranu druhou ale vpodstatě znemožňuje pořízení nějakého univerzálního řešení na klíč. Některé povinnosti bude možné plnit na základě komerčně připravených produktů. Vždy ale jen v kombinaci s individuálním přizpůsobením vlastního prostředí. Při ochraně osobních údajů totiž člověk není jen subjektem ochrany. On je současně i nejslabším článkem na straně správců a zpracovatelů. To nejtěžší při aplikaci GDPR bude souviset právě se změnou myšlení, chování a návyků každého, kdo osobní údaje zpracovává.
V příštích číslech Časopisu českých lékárníků si přiblížíme některá další důležitá témata GDPR, jakými jsou práva subjektů údajů, pověřenec pro ochranu osobních údajů, zabezpečení osobních údajů včetně bezpečnostních incidentů nebo posouzení vlivu na ochranu osobních údajů. S blížícím se květnem 2018 budou zřejmě přibývat jasnější výkladová stanoviska, z nichž bude možné odvodit i srozumitelná doporučení pro lékárny. Zatím se výkladová praxe důsledně vyhýbá jednoznačným radám např. ohledně konkrétního vymezení hranice mezi lékárnami, které budou muset mít pověřence, a které ne. Je to dáno koncepcí GDPR, která tomu do značné míry brání. Přesto se ale alespoň některých praktických doporučení s postupem času jistě dočkáme.
Štítky
Farmacie Farmakologie Farmaceutický asistentČlánek vyšel v časopise
Časopis českých lékárníků
2017 Číslo 10
- Jak a kdy u celiakie začíná reakce na lepek? Možnou odpověď poodkryla čerstvá kanadská studie
- FDA varuje před selfmonitoringem cukru pomocí chytrých hodinek. Jak je to v Česku?
Nejčtenější v tomto čísle
- OSVĚDČENÍ K VÝKONU SOUKROMÉ LÉKÁRENSKÉ PRAXE zrušená a vydaná od 1. do 30. 9. 2017
- Co určitě stojí za přečtení…
- Stoprocentní recept na e-recept zatím neexistuje
- Deník HOLKY Z LÉKÁRNY