Zajištění soukromí a ochrana osobních údajů

Zajistěte ochranu práv občanů na soukromí a ochranu osobních údajů tím, že se soukromí stane nedílnou součástí vašeho systému.

Pro splnění bodu 7 Pravidel správné technologické praxe musí být z vašeho plánu či designu zřejmé, jak zajistíte soukromí v prvotním nastavení.

Vysvětlení vašeho přístupu k zajištění soukromí a ochrany osobních údajů „by design“ bude součástí procesu řízení výdajů.

Obecné nařízení o ochraně osobních údajů (GDPR)

Informace týkající se nařízení GDPR poskytuje „Úřad komisaře pro informace“ Information Commissioner’s Office (ICO). Pravidla správné technologické praxe shrnují nejdůležitější body nařízení.

Nařízení GDPR vstoupilo v platnost 25. května 2018. Nařízení se týká ochrany osobních údajů občanů při jejich zpracování nebo přenosu.

Je vaší povinností zajistit soulad s tímto novým nařízením a zároveň dbát o etické a vhodné využívání dat a technologií.

Nařízení GDPR zavádí zásadu „privacy by design“ jako jeden z požadavků. V rámci nařízení je stanoven zákonný požadavek, aby se ochrana osobních údajů občanů zapracovávala
od začátku procesu vývoje. GDPR stanovuje sankce za nesoulad s jeho ustanoveními.

Zajištění soukromí a ochrana osobních údajů občanů předpokládá odpovídající zabezpečení systémů a dat. Soukromí se také vztahuje na způsob, jakým občané:

• udělují souhlas se zpracováním osobních údajů;
• mají právo na vymazání osobních údajů;
• mají právo požádat o omezení zpracování svých osobních údajů;
• mají právo na přenositelnost osobních údajů.

Jak „privacy by design“ pomůže vašemu programu

Vašemu projektu či programu prospěje, když:

• proaktivně posílíte soukromí a snížíte riziko krádeže (zcizení) osobních údajů;
• odhalíte potenciální problémy týkající se soukromí už v rané fázi, dokud je snadnější
  

a levnější tyto otázky vyřešit;

• přispějete k lepšímu pochopení problematiky soukromí v organizaci;
• budete postupovat v souladu s nařízením GDPR.

Jak dosáhnout „privacy by design“

Data Protection Act 2018 rozvádí, jak se EU General Data Protection Regulation (GDPR) aplikuje v UK. ICO poskytuje informace o zákoně „Data Protection Act 2018“ a o tom, jak tento zákon doplňuje GDPR.

ICO zveřejnil doporučení na ochranu osobních údajů a doporučuje používat tzv. Privacy Impact Assessments (PIAs – tj. hodnocení dopadů soukromí) jako součást procesu řízení rizik na vašem projektu či programu. Je užitečné promyslet následující otázky z tohoto Hodnocení dopadů soukromí (PIA code of practice) :

1. Bude součástí programu či projektu sběr nových údajů o jednotlivcích?
2. Budou muset lidé danému programu či projektu poskytnout informace o sobě?
3. Budou informace o jednotlivcích zpřístupněny osobám či organizacím, které předtím neměli běžný přístup k těmto údajům?
4. Budete využívat údaje o jednotlivcích za jiným účelem nebo jiným způsobem, než tomu bylo dosud?
5. Bude součástí projektu či programu využití nové technologie, která může být vnímána jako narušující soukromí – např. technologie pro rozpoznávání tváří či pro biometrické údaje?
6. Budete na základě projektu či programu rozhodovat o lidech či vůči nim podnikat kroky způsobem, který na ně bude mít významný dopad?
7. Spadají informace o jednotlivcích do kategorie údajů, jež velmi pravděpodobně vyvolají obavy z narušení soukromí – tj. jde např. o zdravotní záznamy jednotlivců, záznamy o trestech či jiné informace, jež lidé považují za soukromé a osobní?
8. Vyžaduje tento projekt či program, abyste kontaktovali jednotlivce způsobem, jež můžou vnímat jako dotěrný a rušivý?

Související doporučení

• Seznam souvisejících vodítek z Pravidel správně technologické praxe
• GDPR
• Data Protection Act 2018
• Evropská komise - Ochrana osobních údajů
• GDPR – přehled legislativy
• Digitální strategie Spojeného království
• Etický rámec pro datové vědy

Zveřejněno 6. listopadu 2017
Aktualizace: 5 června 2018 + všechny aktualizace