Stručně a přehledně k obecnému nařízení o ochraně osobních údajů (GDPR), 1. část

Vydáno: 10 minut čtení

Dne 25. května roku 2018 vstoupí v účinnost „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, v právních kruzích nazývané také jako „GDPR“ (dále v textu jen „nařízení“ či „GDPR“). GDPR nahradí dosud účinný zákon č. 101/2000 Sb. , o ochraně osobních údajů. Byť nařízení není v oblasti zpracování a ochrany osobních údajů revolučním nástrojem, jenž by si kladl za cíl radikálně změnit fungující principy a metody ochrany, nýbrž se jedná o úpravu do značné míry kontinuitní, obsahuje nařízení i mnohé novinky, resp. zakotvuje nová práva a nové povinnosti dotčených subjektů.

Stručně a přehledně k obecnému nařízení o ochraně osobních údajů (GDPR)
JUDr.
Eva
Benešová
LL.M.
advokátka, Nezkusilová – Benešová, advokátní kancelář
Následující text pojednává o nové úpravě, pro přehlednost rozdělené do čtyř oblastí (A až D), na něž by zejména správci údajů měli zaměřit svou pozornost. Úvodem jsou vymezeny základní pojmy užívané nařízením. Vzhledem k široké věcné působnosti nařízení může následující text pro svou obecnost posloužit spíše jen jako vodítko či podnět k zajištění nezbytných, nařízením požadovaných, opatření. Nelze jej však považovat za vyčerpávající ani úplný komentář k nařízení.
 
Vymezení pojmů
Pro porozumění obsahu nařízení je v prvé řadě třeba rozumět základním pojmům užívaným v nařízení, jimiž jsou mj. „správce údajů“, „subjekt údajů“, „zpracovatel“ a „osobní údaj“ (čl. 4 nařízení).
Správcem údajů
je osoba, která určuje účely a prostředky zpracování osobních údajů. Správcem je mj. každý podnikatel, který při výkonu své činnosti sbírá a následně jakýmkoli způsobem eviduje osobní údaje subjektů údajů. Příkladmo lze za správce označit např. provozovatele e-shopů, realitní kanceláře, vzdělávací centra, poskytovatele zdravotních služeb, provozovatele zájmových kroužků, ubytovatele, zaměstnavatele, aj.
Subjektem údajů
je každá fyzická osoba, jejíž údaje jsou zpracovávány jedním ze způsobů vymezených v čl. 4 odst. 2 nařízení.
Zpracovatelem
je pak osoba, která zpracovává osobní údaje pro správce, dle jeho pokynů a za podmínek obsažených ve vzájemně uzavřené smlouvě.
Osobním údajem
je každá informace o identifikované nebo identifikovatelné fyzické osobě, tj. subjektu údajů (k tomu více viz bod 26 odůvodnění nařízení a čl. 4 odst. 1 nařízení).
 
A) Povinnost řádně informovat subjekty údajů o jejich právech (kapitola III nařízení)
Správci údajů ukládá nařízení povinnost informovat subjekty údajů nejméně o totožnosti a kontaktních údajích správce, kontaktních údajích pověřence pro ochranu osobních údajů (byl-li jmenován), účelech zpracování, pro které jsou osobní údaje určeny, právním základu pro zpracování, oprávněných zájmech správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) nařízení, případných příjemcích nebo kategoriích příjemců osobních údajů a o případném úmyslu správce předat osobní údaje do třetí země. Je-li to nezbytné, poskytne správce údajů subjektům údajů rovněž informace o
době, po kterou budou osobní údaje uloženy,
existenci práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování,
právu vznést námitku proti zpracování,
právu na přenositelnost údajů,
právu odvolat kdykoli souhlas či
existenci práva podat stížnost u dozorového úřadu, aj.
Informační povinnost o shora uvedeném obsahu splní správce údajů zpravidla zveřejněním veškerých požadovaných informací na svých internetových stránkách (e-shopy), přijetím interní směrnice (zaměstnavatelé), přiložením ke smlouvě (realitní kanceláře) či jiným zjevným a zpětně doložitelným způsobem. Nezáleží na názvu dokumentace (obvyklým bývají „podmínky ochrany osobních údajů“ či „privacy policy“), nýbrž na srozumitelnosti, stručnosti, transparentnosti a snadném přístupu k dokumentaci. V neposlední řadě je správci údajů uložena povinnost „usnadňovat“ výkon shora uvedených práv subjektu údajů. Tímto lze rozumět např. předložení formulářů či jednoduchých aplikací, prostřednictvím kterých bude moci subjekt údajů svá práva uplatnit.
 
B) Revize právního základu pro zpracování osobních údajů, revize smluvní dokumentace
Každé zpracování osobních údajů musí být činěno v duchu zásad zpracování (čl. 5 nařízení) a při zajištění existence právního základu pro zpracování (čl. 6 nařízení). Zásady zpracování osobních údajů ponechme nyní stranou, byť i ty jsou pro každé zpracování velmi důležité a prolínají se celým procesem zpracování. Před započetím zpracování osobních údajů je třeba nalézt právní základ, od něhož se bude odvíjet zákonnost zpracování (jinými slovy ke zpracování dojde po právu). Mezi právní základy řadíme například nezbytnost zpracování pro plnění smlouvy, souhlas subjektu údajů, oprávněné zájmy správce či nezbytnost pro splnění právní povinnosti správce a jiné (viz čl. 6 odst. 1 nařízení). Správné určení právního základu zpracování je zásadní, nikoli však jednoduché, jak by se mohlo na první pohled zdát, a to i z důvodu zdánlivé, avšak neopodstatněné „nadřazenosti“ souhlasu nad ostatními právními základy zpracování. Nadužívání souhlasu nelze doporučit hned z několika důvodů. Předně, pro správce údajů není vhodná koncepce odvolatelnosti souhlasu (souhlas musí být subjektem údajů vždy odvolatelný), v důsledku které musí správce zpracovávané osobní údaje neočekávaně, bezodkladně zlikvidovat. Rovněž samotné získání platného souhlasu není jednoduchou záležitostí.
Jakmile je právní důvod zpracování dostatečně objasněn, je třeba jej (v některých případech) promítnout do smluvní a jiné dokumentace správce údajů, zejména pak do smluv se zpracovateli (ad C) či do interní dokumentace správce v souladu s čl. 28, 30, 32 a n. nařízení.
Lze jednoznačně doporučit revizi jak právního důvodu zpracování, tak i smluvní dokumentace společnosti, která se k ochraně osobních údajů vyjadřuje či vyjadřovat má. V případě zpracování osobních údajů na základě souhlasu subjektu údajů je třeba zdůraznit přísnější požadavky nařízení na jeho získání (čl. 7 nařízení). Dosud získané souhlasy (splňující podmínky zákona č. 101/2000 Sb.) bude možné za účinnosti nařízení použít pouze tehdy, dostojí-li současně požadavkům nařízení (bod 171 odůvodnění nařízení).
 
C) Úprava vztahů se zpracovateli údajů, nastavení spolupráce se zpracovatelem
Čl. 28 nařízení upravuje postavení zpracovatele, tj. osoby, která zpracovává osobní údaje pro správce. Zpracovatelem osobních údajů může být například externí účetní, provozovatel cloudového úložiště či provozovatel jiných on-line programů, jehož služby správce využívá. Správce je v obecné rovině povinen využít pouze těch zpracovatelů, kteří jsou schopni zpracovávaná data vhodným způsobem zabezpečit. Povinností správce je rovněž založit spolupráci se zpracovatelem na písemné smlouvě, v níž je stanoven nejméně předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a dále povinnosti a práva správce. Čl. 28 odst. 3 nařízení pak podrobněji uvádí, jakým povinnostem musí dostát zpracovatel a současně stanoví povinnost zanést uvedené povinnosti zpracovatele do smlouvy o spolupráci.
Byť lze mít za to, že vztahy se zpracovateli osobních údajů jsou již v převážné většině případů podchyceny písemnými smlouvami, bude tyto nutno upravit, resp. doplnit o další (
obligatorní
) ustanovení (nejen) dle zmiňovaného článku nařízení.
V neposlední řadě uvádíme, že uzavřením smlouvy o spolupráci automaticky nedochází k přesunu odpovědnosti správce za případné protiprávní či špatně zabezpečené zpracování osobních údajů na zpracovatele. Nalezení odpovědné osoby či osob bude zpravidla záležet na více faktorech, a to při uvážení specifik každého případu.
 
D) Zavedení vhodných technických a organizačních opatření správcem údajů
Vhodná technická a organizační opatření je správce a zpracovatel osobních údajů povinen provést s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob (čl. 32 odst. 1 nařízení). Z uvedeného je patrné, že „vhodnou“ úroveň zabezpečení dat nelze jednotně definovat. Úroveň ochrany, kterou je v jednom případě dostatečná, může být v odlišném kontextu zcela nedostačující. Dotčenými osobami přijatá opatření k ochraně osobních údajů je proto třeba přizpůsobit specifikům daného zpracování, a to na základě analýzy rizik zpracování vyhotovené před započetím samotného zpracování údajů. Byť nařízení ukládá povinnost zpracovat tzv. posouzení vlivu na ochranu osobních údajů (čl. 35 nařízení) pouze správcům zpracovávajícím osobní údaje ve zde specifikovaném rozsahu (a tedy uvedená povinnost zdaleka nedopadá na většinu správců údajů, natož pak na všechny správce), je určitý stupeň a forma analýzy rizik potřebná, neboť v případě její absence nelze dojít k závěru, která opatření jsou k bezpečnému zpracování osobních údajů ještě nezbytná a která již nikoli. Nařízení v čl. 32 odst. 1 příkladmo vyjmenovává možné způsoby zabezpečení osobních údajů jako např. šifrování, pseudonymizace, apod. Za účelem realizace vhodných opatření k zabezpečení (velmi obecně definovaného) standardu ochrany dat (kdy např. čl. 32 odst. 1 písm. b) hovoří o „důvěrnosti, integritě, dostupnosti a odolnosti systémů a služeb zpracování“), doporučujeme konzultaci s odborníkem v oblasti
IT.
Za zmínku stojí rovněž povinnost správce údajů vést záznamy o činnostech zpracování (čl. 30 nařízení), jmenovat pověřence pro ochranu osobních údajů (čl. 37 a n.) či oznamovací povinnost v případě porušení zabezpečení osobních údajů (čl. 33 a 34 nařízení). Pro hlubší analýzu uvedených povinností, dopadají-li tyto na správce, doporučujeme konzultaci s právníky. Lze však poznamenat, že mnohé z dříve uvedených povinností nedopadají na správce údajů, kteří osobní údaje zpracovávají pouze v menším rozsahu a pokud se nejedná o zvláštní kategorie osobních údajů (tzv. citlivé údaje dle čl. 9 nařízení).
 
Závěr
Nařízení o ochraně osobních údajů, účinné od 28. 5. 2018, zakotvuje některé nové povinnosti správce a zpracovatele osobních údajů, při jejichž nesplnění může následovat uložení sankce v řádech desítek milionů korun. Cílem shora uvedeného textu bylo zobecnit a v takto zobecněné podobě přiblížit nejvýznamnější povinnosti dotyčných subjektů upravené nařízením.
Nová právní úprava ochrany osobních údajů vychází z nutnosti poskytnout subjektům údajů vyšší stupeň ochrany, než jaký nabízí stávající právní řád. Za situace, kdy dosud platné právní předpisy neodrážejí překotný vývoj moderních technologií, který subjekty údajů významně ohrožuje na bezpečnosti, je přijetí nového právního předpisu krokem správným směrem.
Zdroje
Pokyny pracovní skupiny WP29, dostupné na www.uoou.cz.
Michal Nulíček a kol.: GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) - Praktický komentář, Wolters Kluwer, a. s., 2017.
Odůvodnění nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů.