Nařízení Evropského parlamentu a rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů

Evropský parlament a rada vydaly nařízení 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (General Data Protection Regulation, dále jen GDPR). Toto nařízení bude platit od 25. května 2018 v celé Evropské unii a také se významně dotkne činnosti knihoven zejména v oblasti ochrany dat uživatelů knihoven a ve větších knihovnách i nakládání s osobními údaji pracovníků knihoven. 20. února 2017 se v Národní knihovně ČR uskutečnilo setkání s PhDr. Miroslavou Matoušovou, pracovnicí Úřadu pro ochranu osobních údajů, k problematice aplikace GDPR v oblasti knihoven. Uvádíme některé důležité informace ze setkání:

  • Pokud jde o automatizované knihovní systémy, provoz služeb v cloudech apod., bylo konstatováno, že nelze dát jednoznačné odpovědi na obecné úrovni, ale vždy se bude jednat o posouzení konkrétního systému, jeho řešení a posouzení rizik. Jednou z cest by mohla být certifikace systémů, ale dr. Matoušová upozornila, že certifikace může být z dlouhodobějšího hlediska nákladná záležitost. Naznačila, že data knihoven nepatří zpravidla do těch více rizikových. Navíc se dá předpokládat (byť to není stoprocentní jistota), že pokud systémy splňují současné nároky, budou splňovat i ty budoucí. Knihovny by si zajištění svých dat podle GDPR měly potvrdit ve smlouvě s dodavatelem systému.

  • Pro sdílení identit uživatelů bude možné využít právo na přenositelnost, viz čl. 20 GDPR. Pokud budou knihovny schopny získat souhlas uživatele a zdokumentovat ho, měl by být přenos osobních dat možný.

  • Pro účely dlouhodobých statistik a analýzu dat by měla pomoci pseudonymizace dat, pokud je to možné, viz čl. 32 GDPR věnovaný zabezpečenému zpracování.

  • Byla také položena otázka, zda knihovny budou muset mít „pověřence pro ochranu osobních údajů“, viz čl. 37 až 39 GDPR. V tomto případě panovala určitá nejasnost, zda knihovny patří do kategorie veřejných subjektů. Bude také možné, aby jeden pověřenec případně fungoval pro více knihoven.

  • Proběhla také debata o čl. 8.1 GDPR týkajícího se získání souhlasu u dětí ve věku do 16 let. Pokud nebude věková hranice snížena českým zákonem (což je možné), budou knihovny muset změnit svou praxi a u kategorie dětí ve věku 15 až 16 let (a samozřejmě i u mladších dětí) povinně vyžadovat souhlas zákonného zástupce. Knihovny, které doposud nevyžadují souhlas rodičů při registraci dítěte do knihovny, by již dnes měly změnit svou praxi a souhlasy si postupně doplnit.

  • Ustanovení čl. 17 GDPR, tj. právo na výmaz („právo být zapomenut“), by se nemělo vztahovat na některé informační zdroje či digitální knihovny provozované knihovnami, např. na Webarchiv, databáze jmenných autorit apod., viz výjimka čl. 17, odst. 3 GDPR.

  • Upozorněno bylo také, že by knihovny měly své katalogy a případné další služby provozovat výhradně na protokolu https, nikoli http. Provozování katalogu a přenášení přihlašovacích údajů bez jejich zašifrování je velkým bezpečnostním rizikem pro uživatele dané knihovny!

  • Doporučuje se zpracovat obecná doporučení ohledně GDPR pro knihovny, např. kodexy chování apod.

V létě 2017 by měl být připraven návrh české legislativy s uplatněním GDPR, ale zatím není jasné, jestli bude připraven nový zákon nebo se bude jednat o novelu stávajícího zákona o ochraně osobních údajů. Dokud nebude podoba nové české legislativy jasná, je možné vyčkat. Může se ale stát, že zákon nebude včas přijat a v takovém případě začnou platit přímo ustanovení nařízení GDPR. Otázku možné retroaktivity či přechodné doby pro uplatnění některých principů nařízení GDPR by měl řešit český předpis.

Text nařízení v češtině a další aktuální informace najdete na webu Úřadu pro ochranu osobních údajů. Dr. Matoušová bude přednášet na konferenci Knihovny současnosti 2017, kde budou k dispozici nové informace.

Komentáře k článku