GDPR v praxi architekta
Nařízení Evropského parlamentu a Rady EU 2016/67 (General Data Protection Regulation – GDPR) je od 25. května 2018 hlavním zdrojem práv a povinností v oblasti práce s osobními údaji. Je přímo použitelné a tam, kde by GDPR řešilo stejné otázky jako stávající zákon o ochraně osobních údajů, má přednost. Ve srovnání s aktuální legislativou však nedochází k tak zásadním změnám, jak by se podle reakcí mohlo zdát.
Jaká opatření tedy přijmout a na co si dát pozor, aby bylo zajištěno splnění požadavků GDPR v praxi architektů a architektonických kanceláří?
1. Zmapujte aktuální stav: jaké máte k dispozici osobní údaje, proč tyto údaje shromažďujete, kde jsou uloženy, kdo a proč k nim má přístup a jak jsou zabezpečeny proti přístupu neoprávněných osob.
Typ osobních údajů
Osobní údaj je každá informace, kterou lze spojit s konkrétním člověkem. V praxi architektů se bude jednat zejména o údaje o klientech a údaje o zaměstnancích / spolupracovnících. Konkrétně se bude jednat zejména o jméno, příjmení, bydliště, datum narození, telefonický kontakt, rodná čísla, informace o tom, že někdo je vlastníkem určité nemovitosti nebo autorem určitého projektu apod. Kromě smluv a objednávek je řada osobních údajů obsažena také v dokumentaci a je tedy třeba zajistit přiměřená pravidla pro nakládání také s ní.
Důvody pro shromažďování osobních údajů
Platí, že osobní údaje mohou být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být zpracovávány způsobem, který je s těmito účely neslučitelný. Správce údajů s nimi může disponovat jen po dobu nutnou pro plnění smlouvy případně po dobu, na kterou poskytl subjekt údajů svůj souhlas.
Osobní údaje o klientech získává architekt zejména za účelem plnění smluvního vztahu. Pro tento účel však nejsou nutné všechny osobní údaje, které správce obvykle shromažďuje. V rámci plnění smlouvy je často třeba poskytnout údaje třetím osobám, nejčastěji subdodavatelům. Údaje subdodavatelů jsou naopak poskytovány klientům, často v rámci projektové dokumentace. Součástí plnění smluvního vztahu může být dále též zaslání dokumentace třetím osobám – dodavatelům staveb pro přípravu nabídek.
Přetrvávající profesní odpovědnost z těchto vztahů je důvodem tyto údaje uchovávat po dobu neomezenou. Jsme tedy názoru, že není bezpodmínečně nutné opatřovat výslovné souhlasy s nakládáním s osobními údaji těchto osob. Podepsaný souhlas však vyloučí prostor pro pochybnosti, proto lze jeho předložení každému klientovi a spolupracovníkovi architekta doporučit. Mají-li být údaje využívány i pro účely, které přímo ze smlouvy neplynou – např. pro účely marketingu, je třeba mít od dotyčné osoby výslovný souhlas.
Připravili jsme pro vás vzor informovaného souhlasu pro klienta a pro spolupracovníka architekta v příloze této informace.
Stanovení osob s přístupem k osobním údajům
Je nutno nadefinovat, jaké osoby mají mít přístup k jednotlivým skupinám osobních údajů. K údajům stávajících klientů by měli kromě vedení ateliéru mít přístup jen zaměstnanci, kteří na projektech pracují. Po splnění zakázky by měl zůstat přístup pouze pro vedení kanceláře, resp. osoby, které by případně řešily otázky reklamací. Totéž se týká zaměstnanců/spolupracovníků. Každý z kanceláře může mít přístup ke kontaktním údajům jako je emailová adresa či telefonní číslo; není však důvod, aby bylo pro všechny dostupné např. bydliště a rodné číslo.
Zabezpečení osobních údajů
Vytvořte si přehled o tom, jak jsou osobní údaje zabezpečeny proti přístupu neoprávněných osob. Součástí bude popis fyzické přístupnosti místností, kde jsou údaje uschovány v listinné podobě (tj. „kdo má jaké klíče“) a obdobně je vhodné omezit elektronickou dostupnost vybraných souborů jen na vybrané uživatele. Co se týče zabezpečení datových úložišť, Nařízení stanoví povinnost mít uzavřenou písemnou smlouvu s tzv. zpracovateli, kam se řadí poskytovatelé softwaru / databází / cloudových služeb. Pokud Vám taková smlouva nebyla dosud zaslána, vyzvěte k tomu tyto subjekty. Chcete-li mít jistotu, že jste pro předcházení úniku dat udělali úplné maximum, je možné využít tzv. pojištění kybernetických rizik. V té souvislosti však nejprve doporučujeme zvážit, jaká škoda hrozí vašim klientům/spolupracovníkům v souvislosti v možným únikem osobních údajů, jelikož se nejedná o levnou záležitost.
2. Popište pravidla nakládání s osobními údaji v interním dokumentu
Pro případ kontroly dozorového orgánu musí správce údajů (tedy vy) umět prokázat, jak řádné zacházení s osobními údaji zabezpečuje. Konkrétně by se měl vyjádřit k souladu s čl. 5 Nařízení, tedy k tomu, že:
- ve vztahu k subjektu údajů jsou údaje zpracovávány korektně a zákonným a transparentním způsobem,
- údaje jsou shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nejsou dále zpracovávány způsobem, který je s těmito účely neslučitelný,
- údaje jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány,
- údaje jsou přesné a v případě potřeby aktualizované,
- údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány,
- údaje jsou zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
V zásadě se jedná o popis správně nastavených procesů popsaných v bodě 1.
3. V okamžiku převzetí osobních údajů od fyzické osoby jí vždy předejte následující informace:
- totožnost a kontaktní údaje správce a jeho případného zástupce
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování,
- oprávněné zájmy správce – důvod pro poskytnutí osobních údajů,
- případné příjemce nebo kategorie příjemců osobních údajů,
- doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,
- existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,
- existence práva odvolat kdykoli souhlas (je-li to možné),
- zda správce hodlá osobní údaje zpracovávat pro jiný účel, než pro který byly shromážděny
Tato povinnost bude splněna předložením souhlasu se zpracováním osobních údajů (viz příloha) v kombinaci se smlouvou / objednávkou služeb.
4. Požádá-li o to subjekt údajů, umožněte mu přístup k jeho osobním údajům a výkon práv v rozsahu čl. 15 - 21 Nařízení, tedy zejména právo na opravu, výmaz, omezení zpracování, na přenositelnost údajů a právo vznést námitku.
5. Dojde-li k porušení zabezpečení osobních údajů, nahlaste to nejpozději do 72 hodin Úřadu pro ochranu osobních údajů.
Tato povinnost se týká pouze takových případů porušení zabezpečení, které může mít následek vysoké riziko pro práva a svobody subjektů údajů. Tedy nikoli např. situace, že byly osobní údaje v důsledku napadení virem smazány, ale spíše případů neoprávněného vstupu do mailové schránky nebo databáze, případně fyzické odnesení šanonů/šanonu z kanceláře. Lhůta 72 hodin začíná běžet okamžikem, kdy se o porušení správce dozvěděl a hlášení musí obsahovat údaje dle čl. 34.2 Nařízení.