K tématu implementace Obecného nařízení o ochraně osobních údajů (GDPR) dnes přinášíme některé poznatky z realizovaných auditů ohledně zajištění souladu s GDPR.
Zajištění souladu s GDPR jako příležitost k „úklidu“
Implementace povinností dle GDPR je ze strany mnoha subjektů vnímána negativně, jako strašák, nutné zlo a zbytečná práce. Naše zkušenosti z realizovaných auditů však ukazují, že proces zajištění souladu s GDPR vede v řadě případů k jakémusi „úklidu“ uvnitř organizace, zbavení se zbytečných dat a jejich shromažďování. Organizace a odpovědní pracovníci na dotčených úsecích si mnohdy poprvé položí otázky, jaké údaje zpracovávají, v jaké podobě, proč tak činí, kde údaje ukládají, zda tak činí duplicitně na různých místech a jak je zajištěna bezpečná likvidace takových údajů. Poznání, že mnoho údajů zpracováváme zcela zbytečně, dokonce protiprávně a k tomu ještě duplicitně na řadě míst, vede k zjednodušení, tj. zbavení se všeho, co nepotřebujeme, co nás zatěžuje a co přináší zcela zbytečná rizika. Implementaci GDPR na podmínky každé organizace proto možno vnímat jako impulz ke zjednodušení procesů a vnitřní administrativy u každého poskytovatele sociálních služeb.
Duplicita či vícenásobné zpracování týchž údajů
Pokud jsou údaje uchovávány v papírové podobě, jejich nadbytek se velmi rychle projeví množstvím dokumentů, které musíme někde skladovat. To ostatně vedlo k tomu, že organizace byly čas od času nuceny se fyzicky těchto dokumentů zbavit skartací. Díky informačním technologiím a jejich kapacitě však přibylo míst, kam lze data ukládat, aniž bychom byli v práci zase tak významně omezováni. Stalo se tak zcela běžnou praxí, že data jsou v organizaci uložena hned několikrát, čímž výrazně stoupá riziko jejich úniku. Data často zůstávají uložena v příchozí elektronické poště, dále pak na osobních počítačích osob, které s nimi pracují, dále pak na sdílených úložištích, kam mají přístup i další osoby, cloudech apod. Zaměstnanci mají vzdálené přístupy na svá pracoviště přes telefony, tablety či domácí počítače a data se tak často ukládají i tam. Vedle toho se řada dokumentů tiskne a ukládá ještě v papírové podobě. Není tedy výjimkou, že stejný údaj se vyskytuje na více místech s různým stupněm zabezpečení. Jeden z prvních kroků zajištění souladu s GDPR by tedy mělo být zmapování této situace a nastavení procesů, jak u poskytovatelů sociálních služeb eliminovat vícenásobné zpracování téhož údaje.
Zajištění procesu likvidace nepotřebných dat
Pokud máme dobře zmapovány údaje, které zpracováváme, proč a na základě čeho, můžeme se zamyslet i nad otázkou, jak dlouho takové údaje potřebujeme a k čemu nám slouží. Tady je důležité si uvědomit, že význam a potřebnost určitých údajů se v čase mění. Některý údaj můžeme k plnění své zákonné povinnosti potřebovat řadu let, některý však pro nás pozbyde smyslu, a pak není důvod jej zpracovávat. Je tedy nutné se podívat na časovou osu potřeby zpracování určitého údaje a zmapovat, kdy mohu, resp. musím údaj zlikvidovat. V závislosti na tom, v jaké podobě a na jakém nosiči je údaj uchováván. Poskytovatelé sociálních služeb mají často zpracovány různé archivační a skartační řády, otázkou však je, jak odpovídají nové právní úpravě a zejména, jak důsledně se jimi řídí. Technika likvidace dat na elektronických nosičích je jiná, než skartace papírových dokumentů. Ale i ta může mít svá úskalí, když není proces skartace dostatečným způsobem zabezpečen proti úniku údajů. Uchování údajů v elektronické podobě umožňuje poměrně snadno zajištění procesu jejich anonymizace, která znemožňuje identifikaci údaje ve vztahu ke konkrétní osobě.
Souhlas klienta se zpracováním osobních údajů – ano či ne
Tato otázka je v rámci auditů velmi častá. Poskytovatelé sociálních služeb disponují podle GDPR celou řadou právních titulů, které jim umožňují zpracovávat osobní údaje i bez výslovného souhlasu klienta. Podle GDPR platí obecné pravidlo, že souhlas klienta jakožto subjektu údajů vyžaduje poskytovatel sociální služby až tehdy, pokud nemá k dispozici jiný právní titul, mezi něž podle článků 6 a 9 GDPR patří zejména:
- plnění povinností z uzavřené smlouvy o poskytování sociální služby nebo před jejím uzavřením;
- plnění zákonných povinností poskytovatele sociálních služeb dle ZSS, případě příjemce dotace podle příslušného zákona o rozpočtových pravidlech;
- plnění úkolů ve veřejném zájmu, zejména tehdy, je-li poskytovatel sociální služby pověřen v rámci příslušné sítě sociálních služeb poskytování služby obecného hospodářského zájmu; u citlivých údajů klientů z titulu a za účelem poskytování sociální péče či z titulu ochrany jejich životně důležitých zájmů.
Je však třeba si uvědomit, že vztah mezi poskytovatelem sociálních služeb a klientem je přeci jen v něčem odlišný od běžného vztahu správce a subjektu údajů podle GDPR.
Podle § 88 písm. h) zákona č. 108/2006 Sb., o poskytování sociálních služeb, ve znění pozdějších předpisů, jsou totiž poskytovatelé sociálních služeb zavázáni dodržovat standardy kvality sociálních služeb; ty jsou pak upraveny v prováděcí vyhlášce č. 505/2006 Sb., ve znění pozdějších předpisů. Jedním ze standardů je i zpracování, vedení a evidence dokumentace o osobách, kterým je poskytována sociální služba. Standard zahrnuje i požadavek anonymního poskytování sociální služby, tj. anonymizace v rámci dokumentace o poskytování sociální služby v případě, kdy to vyžaduje charakter sociální služby nebo na žádost klienta. To se může pojmově týkat např. terénních programů, služby sociální rehabilitace, nízkoprahových center a zařízení apod. a samozřejmě všech služeb, kdy klient požaduje anonymizaci.
Poskytovatelé sociálních služeb musí mít tento požadavek na paměti a zohlednit jej mj. i v rámci procesu zajištění souladu s GDPR.
Nezbytnost zajištění souladu s GDPR u poskytovatelů podpor
Ve veřejném sektoru se setkáváme i s případy, že např. v souvislosti s veřejným financováním (dotace apod.) je po žadatelích / příjemcích dotace požadováno získávání, shromažďování a sdílení mnoha údajů, které dle jejich názoru nejsou nezbytné (např. bankovní účty fyzických osob apod.). Výše zmíněný „vnitřní úklid“ se tedy nutně týká též takových poskytovatelů dotace, kteří zpracování některých osobních údajů iniciují. Zkušenosti z auditů v zásadě bez výjimky potvrzují, že při větší velikosti organizace jejich je jen málokdo v současné situaci schopen bez větší analýzy říci, jaké údaje a v jaké podobě jsou vlastně zpracovávány, včetně těch, které jsou sdíleny od jiných správců údajů. Je tedy zřejmé, že bude existovat řada situací, kdy údaje jsou získávány proto, že byly, třeba v minulosti, někým zaneseny do různých formulářů apod. Bez GDPR by se jen málokdo zabýval otázkou, zda takové údaje jsou opravdu nezbytné pro daný účel, či se bez nich lze bez problémů obejít. Zásada minimalizace údajů obsažená v GDPR vede nezbytně k tomu, aby každý provedl posouzení toho, jaké údaje zpracovává, proč a na základě jakého právního titulu, a v důsledku toho tudíž upustil od zbytečného zpracování údajů, které nepotřebuje. To so samozřejmě týká i údajů, jejichž získání a zpracování vyžaduje od jiného subjektu.