Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

Evropský parlament proto schválil 27. dubna 2016 konečnou podobu Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jde o nová pravidla v oblasti ochrany osobních údajů. Nařízení EU jsou pro členské státy závazná a přímo použitelná. Platí v úplném svém rozsahu v celé EU. To znamená, že zmíněné nařízení nahradí dosud platnou, národní právní úpravu realizovanou zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Nařízení musí členské země do 6. května 2018 převést do vnitrostátní legislativy, nařízení začne platit od 25. května 2018.

Deklarovaným cílem nové úpravy je jednotná úroveň ochrany soukromí i jejího vymáhání ve všech členských státech. V současné době má každý stát svou vlastní právní úpravy a navzdory tomu, že všechny zákony vychází ze Směrnice 95/46/ES, v mnoha oblastech se značně liší.

Místní příslušnost nového nařízení je poměrně široká. Regulace se bude vztahovat na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni. Zároveň se bude vztahovat i na firmy v EU neusazené, budou-li zpracovávat osobní údaje fyzických osob, které se nacházejí v EU. Typicky půjde o nabízení zboží a služeb v členských státech nebo monitorování chování osob na jejich území (článek 3).

Změny, které nařízení přinese, jsou poměrně rozsáhlé. Nařízení upravuje některé již známé instituty novým způsobem, ale přináší i celou řadu novinek. Jedním z hlavních cílů je, aby zpracování osobních údajů bylo co nejvíce pod kontrolou subjektu údajů. Důraz je proto kladen na souhlas se zpracováním údajů. Stejně jako v současné úpravě je primární zásadou zpracování se souhlasem. Zakotveny jsou i výjimky z tohoto pravidla. Institut souhlasu je upraven především v článku 7 Nařízení. Podle tohoto nařízení, pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Nařízení také výslovně zmiňuje možnost subjektu údajů souhlas odvolat: „Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.“

Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Souhlas se zpracováním osobních údajů je zmiňován také v recitálech Nařízení. Recitál 32 Nařízení uvádí, že souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.

Podle recitálu 42, aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

Posledním recitálem, který se rozsáhle věnuje souhlasu, je recitál 43: „S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné“.

Zajímavostí je také zakotvení „práva být zapomenut“, tedy práva, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud je dán některý z důvodu uvedených nařízením, mezi něž mimo jiné patří odvolání souhlasu. Toto právo bylo dosud stanoveno pouze judikaturou. První zmínku je možné nalézt v recitálu 65, který říká, že fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje. Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů.

Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

Nařízení se také věnuje již výše zmíněné situaci, kdy k úplnému vymazání je nutné, aby subjekt údajů kontaktoval několik správců a jednal na několika úrovních. Recitál 65 Nařízení konstatuje, že aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.

Zcela konkrétně se právu být zapomenut, resp. právu na výmaz, věnuje Nařízení ve svém článku 17. Podle tohoto článku má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

Jestliže správce osobní údaje zveřejnil a je povinen je vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

Z výše uvedeného však existují výjimky¹⁾.

Novinkou v budoucí právní úpravě je i osoba pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence se vztahuje na všechny orgány veřejné moci a veřejných subjektů (bez ohledu na to, jaká data zpracovávají) a dalších organizací, které - jako hlavní činnost - systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů. Pověřence upravuje článek 37 nařízení. Podle tohoto ustanovení skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.

Stejně tak je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly.

Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou, než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci pověřence splňoval všechny příslušné požadavky (například je nutné, aby nikdo nebyl ve střetu zájmů). Stejně tak je důležité, aby každý takový pracovník byl chráněn ustanoveními Obecného nařízení (například smlouva o poskytování služeb nemá být nespravedlivě vypovězena v důsledku činnosti pověřence a také žádný pracovník organizace provádějící úkoly pověřence nemá být nespravedlivě propuštěn).

Je také možné kombinovat individuální schopnosti a silné stránky, takže více pracovníků pracujících jako tým může účinněji poskytovat služby svým klientům²⁾. Správce nebo zpracovatel musí zveřejnit kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Komplikaci bude pro správce a zpracovatele představovat také povinnost vést záznamy o zpracování osobních údajů. Podle recitálu 82 aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Následně uvedené povinnosti se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů, nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Vedené záznamy musí obsahovat:

Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu.

Citelný rozdíl proti stávající úpravě nastane ve výši možných sankcí za porušení povinností v oblasti ochrany osobních údajů. Podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, je možné uložit pokutu nejvýše do 10 000 000 Kč. Podle nové úpravy bude v případě nejzávažnějších deliktů horní hranicí pro uložení pokuty 20 mil. EUR nebo 4 % celkového celosvětového ročního obratu podniku; uplatní se přitom vyšší z uvedených limitů.