Princíp zodpovednosti podľa GDPR – compliance 2.0

Článok je o praktickom význame tzv. princípu zodpovednosti za súlad s GDPR, ktorý významne presúva dôkazné bremeno z dozorných orgánov na právom regulované subjekty (prevádzkovateľov, sprostredkovateľov). Správny compliance prístup a jeho robustná dokumentácia sa tak po účinnosti GDPR stane kĺúčovým prvkom právnej ochrany každej spoločnosti spracúvajúcej osobné údaje.

STEINIGER | law firm 21. 05. 2017 13 min.

Princíp zodpovednosti

GDPR prináša v ustanoveniach článku 24 bližšie rozvitie základného princípu zodpovednosti v zmysle článku 5 ods. 2 GDPR, podľa ktorého je prevádzkovateľ okrem dodržiavania všetkých základných (právnych) zásad spracúvania osobných údajov zodpovedný aj za schopnosť vedieť preukázať tento súlad.

Rovnako ako doteraz, tak aj v budúcnosti bude dôležitá dokumentácia reálne prijatých vhodných bezpečnostných opatrení, ako aj záznamy o ich pravidelnom preskúmavaní a aktualizácii, ale nielen to.

Veľmi dôležitým bodom princípu zodpovednosti sú tiež „nové“ koncepty zasahujúce oblasť bezpečnosti spracúvania osobných údajov v GDPR, a to „Privacy by design“ a „Privacy by default“, ktoré zaväzujú podniky posudzovať dopady na ochranu súkromia dotknutých osôb ešte pred začatím spracúvania osobných údajov (napr. pred spustením novej služby, či objednaním nového technického riešenia prostredníctvom, ktorého sa bude zabezpečovať praktické vykonávanie spracovateľských operácií) a zároveň brať na zreteľ najnovšie poznatky („the state of art“) s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody dotknutých osôb. Samozrejmosťou je pritom diagonálna aplikácia priam vojenského prístupu na báze „need to know“.

Inak povedané základom je mať s ohľadom na individuálne podmienky spracúvania osobných údajov prijaté primerané a funkčné bezpečnostné opatrenia, ktoré by mali vychádzať z interných politík prijatých za účelom ochrany osobných údajov a dosiahnutia súladu s GDPR, čo je vecou osobitne profilovaných právnikov konzultujúcich praktické implementačné otázky s IT expertmi zameranými na oblasť bezpečnosti dát. Účinnosť prijatých bezpečnostných opatrení by mala s ohľadom na základný právny rámec definujúci požiadavky na „Privacy by default“ a „Privacy by design“ zohľadňovať potrebu ich pravidelnej revízie v kontexte neustále prebiehajúceho vývoja a poznatkov. Táto kľúčová časť princípu zodpovednosti si tak bude vyžadovať multidisciplinárne znalosti nielen z právnej oblasti ochrany osobných údajov, ale predovšetkým najmä v digitalizovanejších firmách, aj znalosti a skúsenosti z kyberbezpečnosti. Práve schopný DPO, resp. zodpovedná osoba podporovaná ďalšími odborníkmi a dostupnými znalosťami (napr. best practice v rovine soft law, ktorú budú produkovať dozorné orgány a EDPB, zverejňovanie zoznamov zraniteľností zo strany autorít ako CSIRT/CERT, ENISA) by mohla byť v tomto dirigentom symfónie vedúcej ku kontinuálne vysokej ochrane osobných dát.

V neposlednej miere je tiež potrebné zohľadňovať nákladovosť a celkovú funkčnosť compliance systémov s ohľadom na vnútorné procesy determinujúce riadny chod organizácie, pretože akokoľvek je ochrana osobných údajov dôležitá, nemôže kontraproduktívne pôsobiť na základné hospodárske záujmy organizácie (napr. znižovaním efektivity práce, či eliminovaním dôležitých biznis developerských aktivít).

Netreba zabúdať, že problematika bezpečnosti, resp. zásada integrity a dôvernosti dát v zmysle GDPR, hoci je pre ochranu osobných údajov fundamentálnou, nie je jedinou kľúčovou oblasťou, ktorej zabezpečenie a súlad budú musieť firmy do 25. mája 2018 dosiahnuť a zároveň vedieť proaktívne preukázať dozornému orgánu (Úradu na ochranu osobných údajov).

Zásada zodpovednosti bude pozostávať aj zo schopnosti vedieť prakticky preukázať obmedzenie účelu využívania dát pri ich zákonnom a transparentom spracúvaní vo vzťahu k dotknutej osobe, čo si tiež vyžaduje kus poctivej právnickej práce. Okrem náležitého „ošetrenia“ compliance rizík vyplývajúcich zo všetkých základných zásad spracúvania osobných údajov v zmysle článku GDPR je tiež vhodné poukázať aj na praktické implikácie zásady zodpovednosti (accountability principle), ktoré sú jasne viditeľné napríklad pri:

  • mechanizmoch transparentnosti k dotknutej osobe pri informovaní o jej právach (článok 13 a 14 GDPR)
  • vedení záznamov o spracovateľských činnostiach (článok 30 GDPR);
  • vypracovaní posúdenia vplyvov na ochranu údajov (článok 35 GDPR);
  • auditoch sprostredkovateľov zo strany prevádzkovateľa alebo jeho splnomocnenca (článok 28 ods. 3 písm. h) GDPR);
  • vymenovaní zodpovednej osoby a preukázaní jej kvalifikácie (článok 37 GDPR);
  • spôsobe vybavovania agendy práv dotknutých osôb;
  • úprave certifikácie a kódexov správania.

Robustný a živý GDPR compliance systém

Aktuálne sú firmy a ostatné organizácie spracúvajúce osobné údaje primárne konfrontované s povinnosťou vypracovať bezpečnostný projekt, ktorý však častokrát sleduje iba formálne splnenie legislatívou vyžadovaných obsahových náležitostí, pričom sa to dopĺňa skladbou neadresných a často z hľadiska primeranosti úplne nedostatočných bezpečnostných opatrení. Samozrejme, rozdiely v kvalite spracovania sú obrovské, rovnako ako aj ceny za súvisiace konzultačné služby.

Táto téma je na samostatný článok, takže in medias res. Bezpečnostný projekt vyžadovaný aktuálnym národným zákonom a jeho vykonávacím predpisom s účinnosťou GDPR zanikne. Avšak subjekty, ktoré majú tento dokument vypracovaný naozaj na solídnej úrovni a s ohľadom na svoju skutočnú realitu vytvorenú pri spracúvaní osobných údajov budú mať oveľa jednoduchší proces konverzie na GDPR ako subjekty, ktoré nemajú nič alebo podľahli ilúzii tzv. draftového riešenia za pár eur.

Ten kto má kvalitný bezpečnostný projekt obsahujúci popis okolia informačných systémov spoločne s evidenčnými listami k jednotlivým informačným systémom má v podstate už teraz hotový „data mapping“, ktorým sa spravidla začína každý proces konverzie na GDPR. Rovnako kvalitná analýza bezpečnosti v súlade s ISO 27005, či koncipovanie a rozdelenie prijatých bezpečnostných opatrení v súlade s ISO 27001 a ISO 27002 a vyhláškou č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení budú určite využiteľné aj na GDPR účely, pri potrebe ich preukázania regulátorovi. Ak má niekto naozaj kvalitný bezpečnostný projekt, ktorý vo svojich záveroch v jednotlivých bezpečnostných smerniciach bližšie rozvádza aplikáciu konkrétnych bezpečnostných opatrení a postupov na osobitne rizikové situácie nielen z hľadiska bezpečnosti spracúvania osobných údajov (napr. bezpečnostná smernica regulujúca vynášanie aktív z chránených priestorov, či bezpečnostná smernica zavádzajúca použitie prostriedkov šifrovacej ochrany informácií, bezpečnostná smernica na odhaľovanie a manažment bezpečnostných incidentov atď.), ale aj z compliance hľadiska (napr. smernica na využívanie kamerového systému, smernica na spracúvanie osobných údajov v podmienkach personálno-mzdového oddelenia, smernica na využívanie sociálnych sietí na marketingové účely, smernica na vybavovanie agendy práv dotknutých osôb atď.) s cieľom predchádzať vzniku rizík pre práva a slobody dotknutých osôb je možné sa začať baviť z hľadiska požiadaviek na princíp zodpovednosti podľa GDPR skôr o aktualizácii ako o konverzii na novú reguláciu. Aj na tomto je vhodné demonštrovať, že GDPR nie je v oblasti ochrany osobných údajov žiadna revolúcia, či regulačný démon desaťročia, ale ide skôr o legislatívnu evolúciu reflektujúcu aktuálny rozvoj spoločnosti a fakt, že integrálna súčasť základných ľudských práv sa stala platidlom digitálnej ekonomiky, čo nie je správne.

Ochranu osobných údajov a súvisiace regulačné (a áno i administratívne náročné) povinnosti máme na Slovensku už predsa viac ako 19 rokov, takže ideálne by sme sa mali baviť skôr o aktualizácii existujúcich interných systémov na ochranu osobných údajov. Samozrejme realita je úplne iná a o to viac môže byť účinnosť GDPR na Slovensku bolestivejšia ako povedzme v Nemecku, kde už bol predstavený aj nový (kvalitný) federálny zákon recipujúci GDPR, ktorý v podstate okrem priblíženia GDPR nemeckému právnemu prostrediu ešte viac sprísňuje niektoré povinnosti (napr. povinnosť poverenia DPO, resp. zodpovednej osoby).

V každom prípade, či už má niekto aktuálny compliance systém ochrany osobných údajov na báze moderného „Privacy by design“ bezpečnostného projektu alebo nie, výzva je pre každý subjekt spracúvajúci osobné údaje rovnaká – dosiahnuť a vedieť preukázať súlad s GDPR. V podstate len veľkosť a finančná náročnosť tejto výzvy sa bude odlišovať od toho ako rizikovo, rozsiahlo a komplikovane bude dané spracúvanie osobných údajov v konkrétnej situácii realizované. Keď povieme, že čím viac citlivých osobných údajov bude spracúvaných, tým budú riziká väčšie, tak to zjednodušíme najviac ako sa dá, ale zároveň ešte uvedieme pravdu skrytú v GDPR. Práve rizikovosť spracúvania s ohľadom na práva a slobody dotknutých osôb reguluje mieru dopadov viacerých regulačných povinností. Každý subjekt, ktorého sa GDPR týka, by tak mal mať vypracovaný „živý“ a viac-menej robustný GDPR compliance systém tvorený aplikovanými bezpečnostnými opatreniami, ich náležitou dokumentáciou, ktorá bude doplnená o vytvorenie interných pravidiel zohľadňujúcich najlepšiu prax s cieľom dosahovať súlad s GDPR.

Na nižšie uvedenom obrázku uvádzame zjednodušene to, čo považujeme za dôležité pri budovaní vlastného a efektívne preukázateľného GDPR compliance systému.

ondrej graf

Význam a pridaná hodnota efektívneho GDPR compliance systému

Praktický význam dobrého compliance nastavenia interného systému ochrany osobných údajov spočíva vo vytvorení priestoru na jeho aktívnu právnu obhajobu v prípade problémov a bezpečnostných incidentov. V konečnom dôsledku iba synergia vhodných efektívne aplikovaných bezpečnostných opatrení spojených s ich náležitou právnou dokumentáciou vytvorí priestor pre účinnú a erudovanú právnu obhajobu, ktorá dokáže zmierniť alebo eliminovať sankcie a reputačné riziká, ktoré prinesie GDPR.

GDPR nepriamo umožňuje možnosť exkulpácie (vyvinenia sa) a celkovej liberácie (oslobodenia) spod sankcie, ak je vhodne zabezpečená bezpečnosť s ohľadom na prístup „Privacy by standard“ a „Privacy by default“, pretože jedným z mnohých faktorov, ktoré dozorné orgány pri rozhodovaní o sankciách musia zobrať do úvahy je miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32 GDPR. Veľmi pozitívne je tiež to, že za určitých okolností existujú aj veľmi podobné liberačné dôvody z povinnosti oznamovať bezpečnostné incidenty priamo dotknutým osobám. Napríklad taká povinnosť notifikácie určitého typu bezpečnostných incidentov priamo dotknutej osobe môže byť v prípade stoviek tisícov klientských identít v podstate PR samovraždou a minimálne koncom podnikania pod existujúcim obchodným menom. Nie je lepšie sa vopred zamyslieť ako sa vzniku takejto povinnosti legálne vyhnúť a vytvoriť pre to právne a technické predpoklady?

Efektívny GDPR compliance systém nemá potenciál len šetriť náklady za vysoké pokuty a pokazenú reputáciu. Dobré nastavenie compliance dokumentov a ich správna implementácia zvyšuje hodnotu firmy, pretože vysoká compliance kultúra jasne identifikuje profesionalitu dovnútra i navonok organizácie.

Praktický príklad hodnoty compliance systému ochrany osobných údajov

Skúsme význam a pridanú hodnotu GDPR compliance systému rozobrať na konkrétnom príklade povedzme v kontexte relatívne nedávno medializovaného prípadu. Anonymný zamestnanec Sociálnej poisťovne prezradil podľa vyjadrenia poslanca NR SR diagnózu zdravotného stavu istého riaditeľa ústavu pre liečbu drogových závislostí maloletých osôb poslancovi NR SR, čím evidentne spôsobil v podmienkach Sociálnej poisťovne bezpečnostný incident, resp. porušenie ochrany údajov v zmysle GDPR. Vychádzajme z fiktívnej prezumpcie pravdivosti tohto tvrdenia na účely nižšie uvedeného výkladu, i.e. predpokladajme, že sa naozaj predmetný bezpečnostný incident porušenia ochrany osobných údajov stal.

Otázne teraz je, či Sociálna poisťovňa ako prevádzkovateľ takýto bezpečnostný incident detekovala a následne riešila v súlade s príslušným interným predpisom, či vôbec mala takýto interný predpis, či bola na základe interného vyšetrovania a prijatých bezpečnostných opatrení schopná identifikovať zamestnanca napr. na základe správy prístupových práv a spätnej analýzy logovacích záznamov v relevantnom čase. Relevantné je tiež to, či boli tieto postupy náležite dokumentované v súlade s interným predpisom, ktorý by mal upravovať v podmienkach organizácie manažment bezpečnostných incidentov. Od mája 2018 začne byť relevantné aj to, či by bol takýto bezpečnostný incident v prípade jeho potvrdenia oznámený vyžadovaným spôsobom v súlade s GDPR 1. dozornému orgánu (do 72hod od zistenia), 2. dotknutej osobe, i.e. dotknutému riaditeľovi zariadenia (bezodkladne).

Ak došlo k identifikácii podozrivého zamestnanca môže byť tiež relevantné, či bude prevádzkovateľ vedieť ďalej dokladovať, že identifikácia prebehla na základe riadnych kontrolných mechanizmov zamestnávateľa v súlade s § 13 ods. 4 Zákonníka práce, či bol takýto zamestnanec riadne poučený o svojich právach a povinnostiach pri spracúvaní údajov, či bol zamestnanec školený z problematiky ochrany osobných údajov a svojej zodpovednosti, či boli dodržané určité preventívne opatrenia v procese jeho prijatia do zamestnania, ako aj či bude vedieť dokladovať, že sa s takýmito zostatkovým rizikom rátalo v internej bezpečnostnej dokumentácii a práve takýmito opatreniami sa ho pokúšali zmierniť. Tiež by bolo relevantné sledovať, či by sa preukázali následné postupy prevádzkovateľa po vyšetrení tohto typu bezpečnostného incidentu, ako napríklad okamžité skončenie pracovného pomeru na základe hrubého porušenia pracovnej disciplíny, bezodkladné obmedzenie prístupových práv k IS a podanie trestného oznámenia vo veci podozrenia spáchania trestného činu neoprávneného nakladania s osobnými údajmi.

Za určitých okolností je teda možné v tomto prípade uvažovať o tom, že Sociálna poisťovňa by sa mohla ako prevádzkovateľ informačného systému vyviniť z predmetného porušenia ochrany osobných údajov a dozorný orgán by neuložil pokutu, resp. by vznikol značný manévrovací priestor na právnu obhajobu takéhoto prevádzkovateľa pred uložením sankcie. Tieto benefity si však vyžadujú kombináciu efektívnych bezpečnostných opatrení v spojitosti s efektívne nastaveným interným compliance systémom, ktorý by bol zároveň dobre preukázateľný v konaniach pred dozorným orgánom a súdmi.

Rovnako sa môžeme zamyslieť v tomto kontexte aj nad dopadmi ransomvérového šialenstva z posledných dní. V prvom rade by k takémuto bezpečnostnému incidentu v podmienkach dostatočne aplikovaného GDPR compliance systému ani nemalo dôjsť, pretože základné bezpečnostné opatrenia neumožňujú prevádzkovateľom využívať zastaralé operačné systémy, ktoré už dávno stratili podporu od výrobcu. V druhom rade na základe klasifikácie aktív by mali byť na všetky citlivé údaje v primeranej miere aplikované opatrenia v rovine ich šifrovania a zálohovania, takže útočníková hrozba by bola úplne bezpredmetná a jeho tvrdenie o zašifrovaní už Vami zašifrovaných údajov by nemalo žiadnu váhu. V takejto situácii by teda išlo asi iba o plané hrozby a fingovaný pokus útočníka uloviť nejaký ten bit coin, bez toho aby boli reálne kompromitované dáta, za ktoré zodpovedáte. Ipso facto by nešlo o bezpečnostný incident s rizikami pre práva dotknutých osôb a teda by nešlo o porušenie ochrany osobných údajov, ktoré by bolo potrebné oznamovať dozornému orgánu, či dotknutým osobám. Ak by sa aj útočníkovi hypoteticky podarilo dostať do systému odhalením nejakej novej diery, či v dôsledku úniku ďalšej „hračky“ tajných služieb a obmedzil by dostupnosť chránených dát, tak v dôsledku efektívneho šifrovania by namala byť ohrozená ich dôvernosť a v dôsledku dobre nastaveného zálohovania by bolo možné obmedzenú dostupnosť dát v dôsledku útoku efektívne obnoviť, čiže opäť by išlo o bezpečnostný incident bez rizika pre práva dotknutých osôb.

Závery

Schopnosť preukázať súlad s GDPR je kľúčovou výzvou na obdobie máj 2017 až máj 2018, ktorou by sa už mali začať na Slovensku zaoberať aj sektory mimo TELCO a bánk. Nechávať si veci na poslednú chvíľu je slovenským špecifikom, ktorý sa však nemusí vyplatiť. Spraviť efektívny systém ochrany osobných údajov, ktorý bude fungovať technicky a bude zároveň právne preukázateľný dá zabrať každej organizácii a nedá sa to stihnúť ako posledný deň marcovej lehoty na podanie daňového priznania. O to viac by sa mali poponáhlať firmy spracúvajúce naozaj veľké data sety klientskych údajov, ak do toho vstupuje aj potreba pripraviť sa na výkon agendy nových práv dotknutých osôb po technickej stránke (napr. právo na prenosnosť údajov).

GDPR nie je totiž len o enormnom náraste finančných postihov za porušovanie právnej regulácie ochrany osobných údajov. GDPR je postavené aj na celkovom posilňovaní tzv. enforcementu (vynucovania), a to aj s efektívnejším využitím zahraničných dozorných orgánov, čo môže v praxi znamenať, že sa voči slovenským podnikom môžu sťažovať zahraničné dotknuté osoby na svojich tuzemských (tzv. dotknutých) dozorných orgánoch, ktoré budú následne „tlačiť“ na náš (vedúci) dozorný orgán, čo sa môže veľmi škaredo prejaviť aj vo výške pokuty, na aké zatiaľ nie sme na Slovensku zvyknutí.

GDPR je aj o tom, že posilňuje práva dotknutých osôb i v tom, že im umožňuje priamo a nezávisle od sťažnosti pred dozorným orgánom podať žaloby na príslušné všeobecné (národné) súdy v dôsledku porušenia GDPR (napr. leak údajov), čo môže okrem pokuty a poškodenia reputácie znamenať aj hromadné žaloby veľkého počtu poškodených dotknutých osôb, čo môže byť katalyzované aj rozvojom nových občianskych združení na ochranu osobných údajov a súkromia, pre ktorých vznik GDPR stanovuje predpoklady.

GDPR je veľký právny výkričník pre každú organizáciu, ktorá spracúva osobné údaje, na ktorý treba individuálne odpovedať: 1. Efektívnym systémom bezpečnostných opatrení, 2. Efektívnym compliance systémom interných politík a smerníc s cieľom vedieť preukázať súlad s GDPR spojený s individuálnou analýzou podmienok spracúvania osobných údajov a splnením príslušných regulačných povinností ustanovených v GDPR do stanoveného deadlinu v máji 2018. Na dosiahnutie bodu 1 a 2 je potrebné vyčleniť čas, prostriedky a odborný personál.

Po vybudovaní efektívneho GDPR compliance systému bude určite tiež na mieste potvrdiť svoje úsilie získaním dobrovoľnej certifikácie v zmysle článku 42 GDPR, ktorú bude možnosť v budúcnosti získať od certifiakčných subjektov, ktoré ešte na Slovensku nevznikli, resp. nemohli ešte vzniknúť. Certifikácia sa pochopiteľne môže komunikovať smerom von k zákazníkom, obchodným partnerom, klientom, ktorí by mohli využiť firmu ako sprostredkovateľa, ale aj k dozornému orgánu, s posolstvom, že spĺňate požiadavky najprísnejšej právnej regulácie ochrany osobných údajov na svete. Certifikácia by tak mala byť de facto transparentným a objektívnym ukazovateľom zadosťučinenia vo vzťahu k princípu zodpovednosti podľa GDPR.

JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.