GDPR aneb Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) je v současné době jeden z nejkomentovanějších legislativních počinů z pera Evropské unie. Nezřídka se stává, že je GDPR představováno jako velký strašák na všechny, kdo jakýmkoliv způsobem disponují s osobními údaji fyzických osob. Mediálně je hojně prezentováno, co se nově nesmí, a jako odstrašující příklad jsou uváděny astronomické pokuty, které budou moci dozorové orgány za sebemenší porušení nařízení uložit. Realita tak závažná nebude, naopak, je třeba mít na paměti, že ochrana osobních údajů není nic nového pod sluncem a lze s určitou licencí tvrdit, že ten, kdo chránil data, která o lidech má, správně a solidně na základě platných právních předpisů, nebude muset přistoupit k žádným převratným změnám. Pojďme si v několika otázkách a odpovědích přiblížit, na koho citované nařízení dopadá, do kdy je třeba se připravit a čeho se vůbec máme bát. Jedná se o základní přehled toho, co nové nařízení přináší.
Základní přehled ke GDPR – ochrana osobních údajů od května 2018
Mgr. Ing.
Tereza
Krupová,
Ph.D.
Co je GDPR, na koho dopadá a od kdy?
GDPR je zkratka z anglického označení pro Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Vzhledem k tomu, že se jedná o právní akt typu nařízení, bude se obsahem nařízení řídit každý na území EU bez ohledu na to, jakou úpravu ochrany osobních údajů mají jednotlivé členské země – jinými slovy, nařízení EU je tzv. přímo aplikovatelné a zjednodušeně řečeno „přebíjí“ jakékoliv právní předpisy jednotlivých členských států, které by se týkaly ochrany osobních údajů (s výjimkou oblastí, kde samo nařízení povoluje vlastní právní úpravu). To mimo jiné znamená, že aplikací nařízení pozbude platnosti také zákon, který na osobní údaje dopadal v České republice téměř dvacet let, tedy zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů.
Naši zákonodárci na poslední chvíli přijímají tzv. prováděcí předpis – zákon o zpracování osobních údajů, který ovšem do květnového data účinnosti nařízení GDPR nestihne vyjít ve Sbírce zákonů (fakt, že GDPR je na světě již od roku 2016, tedy není to žádná novinka, nechávám bez komentáře). I bez tohoto předpisu (který zjednodušeně řečeno upravuje postavení a činnost Úřadu na ochranu osobních údajů a více rozpracovává některé případy zpracování osobních údajů) je na našem území, ale i ve všech zemích EU nová právní úprava ochrany osobních údajů účinná ode dne
25. května 2018.
Novým nařízením se tak musí řídit kdokoliv, kdo zpracovává osobní údaje příslušníků Evropské unie.
Důležitým poznatkem je, že GDPR dopadá na ochranu fyzické osoby,
tedy jen člověk požívá ochranu osobních údajů. Na osoby právnické tak stále míří úprava občansko/obchodně-právní, zejména se jedná o ochranu dobrého jména a obecně zákazu nekalosoutěžních praktik. Není rozdíl, zda ke zpracování ve smyslu nařízení (viz dále) dochází ze strany jednotlivce, společnosti či veřejné instituce, pravidla dopadají na všechny. Jedinou výjimkou je zpracování fyzickou osobou pro své osobní účely (vlastní telefonní seznam, adresář, album se jmény a podpisy…) – takové použití osobních údajů jde mimo GDPR.Základní pojmy, aneb co se chrání a kdo zpracovává?
K orientaci v ochraně osobních údajů je třeba stručně představit některé základní termíny, se kterými nařízení, ale i jiné právní předpisy pracují (tyto pojmy se výrazně neliší od úpravy před GDPR). Jsou to:
Osobní údaj
– jedná se o středobod právní úpravy, nařízení jej vymezuje jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“). Osobním údajem je tedy jakákoliv informace, která se dá přiřadit ke konkrétnímu člověku (samozřejmě je pak v praxi nutné odlišovat, jak moc je který z údajů významný, respektive jak je jeho zneužití schopno někoho poškodit – je rozdíl, pokud budu disponovat údajem o adrese či telefonním čísle nějaké osoby a když budu vědět, že si daná osoba půjčila v knihovně knihu Karla Čapka). Jako příklady osobních údajů se uvádějí:
Zvláštní osobní údaj
– kromě výše zmíněných „běžných“ osobních údajů existuje kategorie citlivých a tudíž i více chráněných informací, které o někom můžeme mít. Typicky se jedná o údaje ohledně zdravotního stavu (nemoci, alergie, diagnóza), náboženského vyznání, příslušnosti k určité menšině, údaje o trestních deliktech a pravomocných odsouzeních, genetické či biometrické údaje. Pro tuto skupinu údajů platí základní pravidlo, a to je omezení jejich zpracování jen na několik výjimek (jinými slovy – takové údaje nemůžu o nikom uchovávat a shromažďovat je, ledaže od té osoby budu mít výslovný souhlas k takové činnosti, nebo by jejich shromažďování vyplývalo z nějakého právního předpisu – typicky zdravotnická dokumentace, nebo by to bylo nezbytné k nějakému jinému významnému účelu nebo (slovy nařízení) životně důležitému zájmu – opět například údaj o tom, že nějaký zaměstnanec má cukrovku, se sdělí jeho kolegům kvůli případné pomoci).Subjekt údajů
- jedná se o člověka, tedy fyzickou osobu, jejíž osobní údaje jsou zpracovávány (zpravidla osoby pobývající na území Evropské unie). Ochrana osobních údajů se dotýká výlučně žijících osob.Zpracování osobních údajů
– jedná se o jednání, které správce nebo zpracovatel (viz dále) systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Dále nařízení vyjmenovává jen příkladmo, co vše lze pod tento pojem zahrnout. Jde tak o shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Správce
- kdokoliv (ať již fyzická či právnická osoba bez ohledu na právní formu), kdo určuje účel a prostředky zpracování osobních údajů. Jinými slovy, správcem je každý zaměstnavatel, každá nemocnice, e-shop, účetní či daňový poradce a celá řada jiných subjektů, které systematicky nakládají s osobními údaji (mají evidenci pacientů, klientů, studentů, zákazníků….). Důležité je, že je to právě správce, který nese plnou odpovědnost za zpracování osobních údajů. Této odpovědnosti se nemůže zprostit, i kdyby část jeho činnosti vykonával někdo jiný např. na základě smlouvy (typicky softwarové firmy).Zpracovatel
– je ten subjekt (opět fyzická či právnická osoba), který zpracovává osobní údaje pro správce (kdy tedy správce určuje cíl a účely zpracování). Jedná se například o subjekty, které poskytují technickou či IT podporu, externí účetní či daňové firmy apod.Kdy mohu zpracovávat osobní údaje?
Ochrana osobních údajů neznamená zákaz jejich použití, to by v praxi ani nebylo možné. Je však třeba vždy pečlivě dbát na to, zda existuje nějaký
právní důvod
pro jejich zpracování (tzv. právní titul). Jinými slovy – pokud nebudu mít zákonnou oporu pro to, abych osobní údaje mohl zpracovat (i když je fakticky budu mít k dispozici), jedná se o protiprávní užití a hrozí mi sankce. Nařízení vyjmenovává celkem šest titulů pro zpracování osobních údajů. Přičemž obecně platí, že pokud některý z nich odpadne (například již vyprší platnost smlouvy, subjekt údajů odvolá souhlas se zpracováním apod., nelze údaje dále zpracovávat).Právní tituly podle GDPR jsou:
–
plnění právní povinnosti
Pokud shromažďování určitého typu osobních údajů přikazuje zákon, pak je možné, a dokonce nutné osobní údaje zákonem stanoveným způsobem zpracovávat. Jedná se například o údaje získávané o zaměstnancích pro výkon jejich práce (jméno, vzdělání, adresa) nebo kvůli plnění odvodových povinností (počet dětí kvůli daňovému bonusu atd.). Je pak irelevantní, zda se zpracováním dotčený člověk souhlasí, nebo nikoliv.
–
plnění smlouvy nebo jednání o jejím uzavření
Zjednodušeně řečeno se jedná o údaje, které mám k dispozici na základě toho, že s někým uzavřu smlouvu. Typicky půjde o identifikační údaje osob (jméno, datum narození, adresa, číslo bankovního účtu apod.). Tyto získané údaje pak mohu zpracovávat (samozřejmě ale jen pro účel naplnění smlouvy – není možné například adresu použít pro zasílání reklamy, pokud nebudu mít výslovný souhlas subjektu údajů).
–
souhlas se zpracováním osobních údajů
Se souhlasem se setkal každý z nás, často zejména v oblasti marketingu (poskytnutí souhlasu k zasílání reklamních sdělení na e-mailovou adresu apod.). Souhlas je možné použít téměř vždy, nicméně je důležité mít vždy na paměti, že jde o nejslabší z uvedených právních titulů zpracování, jelikož je možné ho kdykoliv odvolat. Není proto radno spoléhat se vždy na poskytnutý souhlas, a pokud je to možné, je lepší najít jiný důvod pro zpracovávání údajů (oprávněný zájem, smlouva atd.). GDPR stanovuje poměrně přísné požadavky na náležitosti souhlasu (zejména jasnost, výslovnost, jednoduchost).
–
veřejný zájem nebo výkon veřejné moci
Na základě tohoto titulu jednají primárně úřady a orgány veřejné moci (zmocnění k legitimaci člověka ze strany policie apod.). Uvádí se také možnost využití tohoto důvodu v případě profesních komor, které využívají určité osobní údaje například pro kárná řízení se svými členy.
–
životně důležitý zájem
Typicky půjde o zpracování údajů o zdravotním stavu kvůli hospitalizaci, údajích o lécích, které nějaká osoba požívá (například prohledáním osobních věcí člověka v bezvědomí) apod.
–
oprávněný zájem správce
Tento právní důvod použití je nejvíce pružný. Jelikož na základě něj je možné osobní údaje zpracovávat kdykoliv, pokud je proveden tzv. balanční test oprávněného zájmu a zájem zpracovatele v něm převáží nad zájmem subjektu údajů. Zní to poměrně složitě, příkladem může být umístění bezpečnostních kamer z důvodu ochrany majetku (to je onen oprávněný zájem). Monitoring prostřednictví kamery samozřejmě zasahuje do práv subjektů údajů, ovšem při správném nastavení (tedy zaměření kamer jen na určitý prostor, monitoring bez zvuku, bezpečnost uchování dat atp.) převáží správcovo právo na ochranu majetku.
Zpracovávám osobní údaje, jakými zásadami se musím řídit?
Nařízení vyjmenovává jednotlivé principy, na které je třeba vždy pamatovat. Zásady jsou logické a vycházejí z potřeby ochrany a prevence proti zneužití. Ať již tedy zpracovávám osobní údaje na základě jakéhokoliv právního titulu, musím dodržet následující principy:
–
zákonnost, korektnost, transparentnost
Pro zpracovávání musím mít vždy platný právní titul. Zpracovávat musím údaje tak, jak to lze rozumně předpokládat v běžném právním styku. Musím být schopen prokázat, jakými údaji disponuji a jak mám zabezpečenu jejich ochranu.
–
omezení účelu
Není možné údaje, které má správce k dispozici na základě nějakého právního titulu, bez dalšího použít za jiným účelem. Pokud budu disponovat e-mailovou adresou zákazníka, jelikož je obsažena ve smlouvě, kterou jsme spolu uzavřeli, nelze ji jen tak použít pro zasílání reklam.
–
minimalizace údajů
Pokud některý údaj nutně nepotřebuji, pak jej nebudu vyžadovat a zpracovávat (například pokud mi stačí na klienta mobilní telefon, nebudu potřebovat zároveň číslo pevné linky apod.).
–
přesnost
Když už údaje mám, mají být přesné. To na druhou stranu neznamená povinnost kontrolovat, zda mi druhá strana nedala špatné údaje. Pokud se ale dozvím, že nějaký údaj neodpovídá skutečnosti, je nutné jej opravit.
–
omezení uložení
Uložit a zpracovávat údaje mohu pouze po dobu, po kterou mám platný titul. Pokud je například odvolán souhlas se zpracováním osobních údajů, nebo určitý zaměstnanec ukončí pracovní poměr, je nutné přestat údaje používat (případně se řídit příslušnými předpisy o archivaci).
–
integrita a důvěrnost
Osobní údaje, které zpracovávám, mám uložené na bezpečném místě, případně je dostatečně zajištěno jejich šifrování nebo jiný způsob zabezpečení. Přístup k údajům mají jen osoby, které to nezbytně potřebují.
Co mi hrozí, když něco pokazím?
V případě porušení pravidel ochrany osobních údajů hrozí velmi vysoké pokuty, výše pokuty bude závislá na vážnosti deliktu. Obecně jsou sankce stanoveny do výše 10 000 000 EUR (nebo až do 2 % celkového ročního celosvětového obratu, jde-li o podnik) nebo (u závažnějších porušení v nařízení vyjmenovaných) do výše 20 000 000 EUR (nebo až do 4 % celkového ročního celosvětového obratu, jde-li o podnik). Již z uvedeného je patrné, že případná pokuta může být likvidační. Pokuty budou moci ukládat dozorové orgány (v ČR Úřad pro ochranu osobních údajů). Nicméně zde je opět nutné poznamenat, že ukládání pokut v takovéto výši bude opravdu spíše ojedinělé a bude se jednat o to nejzazší řešení, kdy nepomůže jiná forma nápravy.
Možná významnější „sankcí“, které se v případě porušení ochrany osobních údajů nevyhneme, bude potenciální náhrada škody, kterou ten, kdo neoprávněně osobní údaje zpracuje, či například údaje dostatečně nezabezpečí a dojde k jejich zneužití, bude muset hradit subjektu údajů. Rovina náhrady škody je potom záležitostí občanského práva a náhrada újmy se bude stanovovat podle těchto pravidel (tedy bude se muset vyčíslit výše škody vzniklé například únikem citlivých informací o nějaké osobě na veřejnost).
Co všechno musím do května stihnout?
Jak bylo uvedeno v úvodu k tomuto článku – nové nařízení o ochraně osobních údajů nepřináší něco zásadně nového. Pokud nám tedy ochrana údajů nebyla lhostejná, pak je pravděpodobné, že většinu požadavků GDPR splňujeme. Nicméně toto dodržování je třeba být schopen prokázat na vyžádání. Každý subjekt údajů, jehož údaje zpracováváme, a samozřejmě dozorový orgán (v ČR Úřad pro ochranu osobních údajů) může požadovat doklady o přístupu k ochraně osobních údajů. Nestačí tedy odkázat na to, že data jsou uložena „někde v počítači“, je třeba mít dokumentaci o tom, která data shromažďuji, na základě jakých právních titulů, kdo k těmto údajům má přístup, jak data chráním (fyzicky – jsou v trezoru nebo v zamčené skříni?, elektronicky – jsou šifrována?).
Je také nutné zmínit, že některé subjekty (veřejné instituce, subjekty, které provádějí rozsáhlé zpracování osobních údajů – např. banky), musí pro zabezpečení hladkého a správného dodržování GDPR stanovit určitou osobu, která bude vykonávat funkci tzv. pověřence pro ochranu osobních údajů. Popis činnosti této osoby již přesahuje náplň tohoto článku.
Každý, kdo s osobními údaji ve smyslu GDPR pracuje, by předně měl provést základní audit toho, co za informace a o kom uchovává, a stanovit, jakou formou jsou data chráněna. Zároveň stále platí – není třeba podléhat panice, ale samozřejmě není radno dělat, že GDPR neexistuje.
Zdroj: Odborný portál DAUC.cz, 2018.