Mezi základní zásady stanovené GDPR – Nařízením Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), patří i zásada integrity a důvěrnosti, která se vztahuje na zabezpečení osobních údajů. Nejrůznější prvky a povinnosti přispívající k zabezpečení osobních údajů při zpracování se proto objevují nejen ve 2. oddílu, ale nacházejí se průběžně v celém obecném nařízení.
Další povinnosti uvedené v GDPR ovlivňující bezpečnost osobních údajů
JUDr.
Eva
Janečková
Mezi takové povinnosti patří například i jmenování pověřence pro ochranu osobních údajů, povinnost provést posouzení vlivu na ochranu osobních údajů nebo stanovení pravidel pro provádění zpracování osobních údajů zpracovatelem.
Pověřenec pro ochranu osobních údajů
Povinnost jmenovat pověřence se nevztahuje na všechny subjekty, které zpracovávají osobní údaje. Tato povinnost podle článku 37 odst. 1 nařízení vzniká ve třech případech:
a)
pokud zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí),
b)
pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
c)
pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Nařízení přesně nestanoví kvalifikaci pověřence, ale pouze uvádí pověřence pro ochranu osobních údajů, jenž musí být jmenován na základě jeho profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a jeho schopnosti plnit úkoly. Recitál 97 nařízení dále zpřesňuje, když uvádí, že potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.
WP29 zpracovala požadavky na pověřence poněkud podrobněji. Pokud jde o úroveň odborných znalostí, měla by být úměrná citlivosti, složitosti a množství dat, která organizace zpracovává. Například tam, kde činnost zpracování dat je obzvláště složitá nebo zahrnuje velké množství dat, bude zřejmě pověřenec potřebovat vyšší úroveň znalostí a větší podporu. Je také rozdíl, zda organizace předává osobní údaje mimo Evropskou unii systematicky nebo příležitostně. Pověřenec by tedy měl být vybrán pečlivě, s náležitým zvážením specifických otázek ochrany dat, která organizace řeší.
Podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost obecného nařízení. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů, bezpečnosti dat a správcových potřeb v oblasti ochrany osobních údajů. V případě orgánu veřejné moci nebo veřejného subjektu by pověřenec měl dobře znát také administrativní pravidla a postupy dané organizace.
Schopnost plnit úkoly přináležející pověřenci by měla být vykládána jednak ve vztahu k jeho osobním kvalitám a znalostem, ale také s ohledem na jeho postavení v organizaci. Osobní kvality by měly zahrnovat například integritu a vysokou úroveň profesionální etiky. Pověřencův prvotní zájem by měl být v souladu s obecným nařízením. Pověřenec hraje klíčovou roli při rozvoji kultury ochrany dat uvnitř organizace a pomáhá zavádět základní prvky obecného nařízení, jako jsou zásady zpracování dat, práva subjektu údajů, záměrná a standardní ochrana osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení ochrany osobních údajů.1)
K postavení pověřence se vyjádřil i Úřad pro ochranu osobních údajů, který shodně s WP29 uvedl, že obecné nařízení nestanoví přesné požadavky na vzdělání pověřence ve smyslu akademických titulů. Pověřencem musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat obecné nařízení. Každému správci může vyhovovat pověřenec s jiným vzděláním. Pověřencem by měla být osoba, která zpracování osobních údajů u správce detailně pozná, a pouze tak dokáže identifikovat případná riziková místa či slabiny.
Pokud jde o postavení pověřence v rámci správce či zpracovatele, musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Nejde však o organizační podmínku, tj. že pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby měl pověřenec přímý přístup k vedení organizace, tj. aby při předávání informací vedení organizace nebyl mezi pověřencem a vedením další mezičlánek, a pověřenec se tak na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních údajů.
Pověřenec má také zvláštní postavení v tom, že by neměl dostávat žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a nemá být v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován. Úkoly mu může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že nesmí vést ke střetu zájmů pověřence.
Úkolem pověřence je především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s obecným nařízením a dalšími předpisy, poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem pro ochranu osobních údajů a působení jako kontaktní místo.2)
Několikrát se také na veřejnosti objevila informace, že pověřenec musí být certifikován. Opak je však pravdou. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i necertifikovanou osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů.
Posouzení vlivu na ochranu osobních údajů
Povinnost provést posouzení vlivu je upravena článkem 35 obecného nařízení. Povinnost vzniká ve chvíli, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, a pak provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.
Posouzení vlivu na ochranu osobních údajů je nutné zejména v následujících případech:
a)
systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
b)
rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo
c)
rozsáhlé systematické monitorování veřejně přístupných prostorů.
Posouzení by mělo obsahovat alespoň:
a)
systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
b)
posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů,
c)
posouzení rizik pro práva a svobody subjektů údajů; a
d)
plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
V recitálech je možné najít další upřesnění a výklad článku 35.
Podle recitálu 84 by měl správce vyhodnotit zejména původ, povahu, zvláštnost a závažnost tohoto rizika. Výsledek posouzení by měl být zohledněn při rozhodování o vhodných opatřeních, která by měla být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s obecným nařízením. Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení by měl být před zpracováním konzultován dozorový úřad.
Recitál 91 konstatuje, že povinnost provést posouzení vlivu měla platit zejména pro rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko, například vzhledem k jejich citlivosti, pokud se v souladu s dosaženou úrovní technických znalostí použije ve velkém rozsahu nová technologie, jakož i pro jiné operace zpracování, které představují vysoké riziko pro práva a svobody subjektů údajů, zejména v případech, kdy s ohledem na tyto operace je pro subjekty údajů obtížnější uplatnit svá práva. Posouzení vlivu na ochranu osobních údajů by mělo být vypracováno i v případech, kdy se osobní údaje zpracovávají za účelem přijetí rozhodnutí o konkrétních fyzických osobách v návaznosti na jakékoliv systematické a rozsáhlé hodnocení osobních aspektů týkajících se fyzických osob na základě profilování těchto údajů nebo v návaznosti na zpracování zvláštních kategorií osobních údajů, biometrických údajů nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních. Posouzení vlivu na ochranu osobních údajů je rovněž zapotřebí v případě monitorování veřejně přístupných prostor, prováděného ve velkém rozsahu, zejména pokud se k němu používá optických elektronických přístrojů, nebo v případě jakýchkoliv jiných operací, kdy má příslušný dozorový úřad za to, že je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody subjektů údajů, zejména proto, že tyto úkony brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy, nebo proto, že jsou prováděny systematicky a ve velkém rozsahu.
Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba věc před zahájením zpracování konzultovat s dozorovým úřadem.3)
Zároveň je nutné uvést, že pracovní skupina WP29 v současné době připravuje dokument obsahující vodítka k posouzení vlivu na ochranu osobních údajů a návod pro hodnocení úrovně rizika zpracování. Tento dokument bude možné po jeho finalizaci najít na webových stránkách Úřadu pro ochranu osobních údajů.
Zpracovatel a smlouva o zpracování
V současné době je postavení zpracovatele upraveno v § 6 až 7 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“). Mezi povinnosti, které ze zákona vyplývají, patří i povinnost uzavřít smlouvu o zpracování (§ 6).
Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění, nebo, je-li k tomu zmocněn správcem, na základě smluvního ujednání.
Probíhá-li zpracování na základě zákonného zmocnění, zvláštní zákon, kterým je takovéto zpracovávání osobních údajů povoleno, by měl současně vymezit i postavení jednotlivých subjektů, jejich práva a povinnosti a jejich odpovědnost.
Pokud tomu tak není, měl by vždy ten subjekt, který vykonává státem mu svěřenou kompetenci, smluvně zabezpečit garanci práva na ochranu osobních údajů se subjekty, které se na zpracovávání podílejí a mají v tomto případě postavení zpracovatele.Z dosavadních zkušeností však vyplývá, že vztah mezi správcem a zpracovatelem se v naprosté většině případů odehrává na základě smluvního vztahu.4)
V případě, kdy správce ponechává zpracování na zpracovateli, je povinen uzavřít s ním smlouvu o zpracování osobních údajů podle § 6 zákona o ochraně osobních údajů, ve které vymezí úkoly zpracovatele a vyžádá si záruky ohledně zabezpečení dat, čímž je zajištěna náležitá úroveň ochrany osobních údajů, a tedy i ochrana soukromí. Ze znění tohoto ustanovení zcela jednoznačně vyplývá, že tuto smlouvu může uzavřít pouze správce se zpracovatelem, nikoli
zpracovatel s dalším subjektem.To současně však neznamená, že smlouva musí být uzavřena zcela samostatně, jako samostatný dokument. Takovou povinnost zákon o ochraně osobních údajů nestanoví. Lze tedy připustit, aby obsahové náležitosti smlouvy o zpracování byly součástí i jiné písemně uzavřené smlouvy, např. mandátní nebo příkazní, jež se týká nějaké jiné činnosti. Může se jednat např. o smlouvu o vedení některých částí personální agendy, účetnictví apod.
Pokud by smlouva neobsahovala zákonem uvedené náležitosti, nezpůsobilo by to sice její neplatnost, avšak nejednalo by se již pojmově o smlouvu o zpracování. To by současně znamenalo, že by zpracování, pokud by k němu docházelo, probíhalo bez relevantního právního titulu, což by jak pro správce, tak „zpracovatele“ mohlo mít vážné důsledky. Správce by se totiž dostal do rozporu minimálně s § 5 odst. 1 písm. f), větou první (zpracovávat osobní údaje pouze v souladu s účelem) a také § 13 zákona o ochraně osobních údajů, neboť by zpřístupnil či předal osobní údaje neoprávněně, a porušil tak jednu ze základních povinností, tedy chránit
údaje
před zneužitím.Obecné nařízení tuto poměrně stručnou úpravu výrazně rozšiřuje, a to v článku 28. Již v článku 4 odst. 8 uvádí, kdo je zpracovatelem. „Zpracovatelem“ se pro účely obecného nařízení
rozumějí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Jedná se tedy o subjekt odlišný od správce. Zpracovatelem nejsou zaměstnanci správce, ti proto nemusí mít se svým zaměstnavatelem
uzavřenou smlouvu o zpracování.Na rozdíl od zákona o ochraně osobních údajů obecné nařízení stanoví i kritéria pro výběr zpracovatele. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
Je jednoznačně uvedeno, že zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. To se dovozovalo i ze zákona o ochraně osobních údajů, neboť takové řetězení zpracovatelů by ve svém důsledku mohlo vést ke vzniku stavu, kdy správce, který o zpracování rozhodl, a jehož jménem se celé zpracování provádí, přestává mít toto zpracování pod kontrolou, a nemůže tak dostát svým povinnostem.
V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
Uzavření zpracovatelské smlouvy vyžaduje i obecné nařízení, když říká, že zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci, a v nichž jsou stanoveny
předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů katergorie subjekt údajů,
povinnosti a práva správce.Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
a)
zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
b)
zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
c)
přijme všechna opatření požadovaná podle článku 32 pro zabezpečení osobních údajů;
d)
dodržuje podmínky pro zapojení dalšího zpracovatele;
e)
zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon
p
ráv subjektu údajů
;
f)
je správci nápomocen při zajišťování souladu s povinnostmi podle obecného nařízení, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
g)
v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
h)
poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Obecné nařízení tedy podstatně rozšiřuje jak povinnosti správců a zpracovatelů, tak povinné náležitosti smlouvy o zpracování. Je tedy nepochybné, že správci budou muset zrevidovat smlouvy o zpracování osobních údajů uzavřené se zpracovateli a uzavřít dodatky tak, aby smlouvy byly v souladu s obecným nařízením.
1) Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2) Dostupné z: www.uoou.cz, obecné nařízení EU, Desatero omylů o obecném nařízení (GDPR), https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=23799.
3) Recitál 94.
4) Kučerová, A.; Bartík, V.; Peca, J.; Neuwirt, K.; Nejedlý, J.
Zákon o ochraně osobních údajů. Komentář
. 1. vydání, Praha: C. H. Beck, 2003, s. 60.