V České republice tímto dnem bude současný zákon o ochraně osobních údajů (dále jen „ZOOÚ“)[2] z velké části nahrazen Nařízením. V ZOOÚ zůstane jen část týkající se postavení a organizace Úřadu pro ochranu osobních údajů (dále jen „Úřad“). Některé dílčí otázky, které Nařízení ponechává lokální úpravě, bude možné nebo nutné upravit ve zvláštních právních předpisech týkajících se různých oblastí zpracování osobních údajů. Tyto zvláštní právní předpisy bude nutné novelizovat, a to právě do 25. května 2018. Vzhledem k tomu, že na podzim příštího roku čekají Českou republiku volby do Poslanecké sněmovny, je zde ale velké riziko, že příslušná právní úprava nebude přijata včas.
Jak se připravit na Nařízení?
Nařízení neupravuje žádné přechodné období pro uvedení všech zpracování osobních údajů do souladu s novou úpravu, takže všechny subjekty se musejí na Nařízení dostatečně předem připravit, aby jejich zpracování osobních údajů probíhalo od 25. května 2018 podle Nařízení. Lze tedy jenom doporučit, aby každá společnost, organizace nebo osoba začala s přípravou již nyní, protože nová právní úprava je daná a veřejnosti dostupná. Na základě Nařízení se navíc výrazně rozšíří rozsah práv subjektů údajů a tomu odpovídají i nové povinnosti správců a zpracovatelů, které budou mít vliv na nastavení interních systémů a procesů. Jestliže tedy osoba, která zpracovává osobní údaje, dosud nevěnovala ochraně osobních údajů náležitou pozornost, může být pro ni v takovém případě i rok krátká doba na implementaci nových pravidel. Dostatečnou motivací pro přijetí včasných opatření mohou být hrozící sankce za nedodržení Nařízení, které budou mnohem vyšší než doposud. Zatímco podle ZOOÚ lze uložit za nejzávažnější delikty pokutu v maximální výši 10 000 000 Kč (a Úřad nikdy takto vysokou pokutu neuložil), podle Nařízení bude možné uložit pokutu až do výše 20 000 000 EUR nebo pokud jde o podnik (tj. jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu) až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok (podle toho, která hodnota je vyšší). Tyto pokuty budou ukládány po celém území EU/EHP, takže bude postup všech dozorových úřadů více méně jednotný a je zcela jisté, že uložené pokuty se v budoucnu rapidně zvýší.
Nařízení přináší komplexní úpravu ochrany osobních údajů, která sice v základních rysech vychází ze stávající směrnice 95/46/ES[3], ale v mnohém je nová úprava přísnější a podrobnější. Pokud jde o základní povinnosti správce osobních údajů, bude nutné prověřit zejména následující:
Souhlas subjektu údajů
Definice souhlasu zůstává v podstatě stejná, ale doplňují se pravidla pro jeho získání:
- Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o souhlas předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část písemného prohlášení, která není v souladu s výše uvedenými pravidly, nebude závazná.
- Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu musí být o tomto právu subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
- Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. Podmiňovaný souhlas může být posouzen jako nesvobodný (např. souhlas se zpracováním osobních údajů v pracovní smlouvě) a v takovém případě souhlas nebude udělen.
- Zvláštní pravidla budou platit pro poskytování služeb informační společnosti dětem (např. zřízení profilu na sociální síti pouze se souhlasem rodiče).
Pokud současné souhlasy nesplňují výše uvedené podmínky, musí správce obdržet nové souhlasy od všech subjektů údajů, a to nejpozději do 25. května 2018.
Informační povinnost správce ve vztahu k subjektu údajů
Současná informační povinnost správce se rozšiřuje o další údaje (např. kontaktní údaje správce, právní základ pro zpracování, úmysl předávat osobní údaje do třetí země). Pokud byla v minulosti splněna informační povinnost v souladu se ZOOÚ, je podle Nařízení nedostatečná, takže bude muset být náležitě doplněna. Již nyní je tedy vhodné informovat subjekty údajů o zpracování jejich osobních údajů (při shromažďování osobních údajů nebo na žádost subjektu údajů) v rozsahu požadovaném Nařízením, aby se správci vyhnuli pozdější povinnosti tuto informaci aktualizovat.
Oznamovací povinnost správce ve vztahu k Úřadu
Povinnost registrovat jednotlivé účely zpracování osobních údajů u Úřadu bude ke dni 25. května 2018 zrušena. Na druhou stranu budou muset nejen správci, ale i zpracovatelé vést záznamy o činnostech zpracování v podobném rozsahu jako na registračním formuláři. Dále v některých případech (např. rozsáhlé systematické monitorování veřejně přístupných prostorů) bude muset správce provádět posouzení vlivu zamýšleného zpracování na ochranu osobních údajů a v případě vysokého rizika konzultovat toto zpracování s Úřadem. Někteří správci a zpracovatelé (např. orgány veřejné moci nebo při rozsáhlém pravidelném a systematickém monitorování subjektu údajů) budou muset jmenovat pověřence pro ochranu osobních údajů, který bude plnit úkoly stanovené Nařízením, mimo jiné bude sloužit jako kontaktní místo pro Úřad.
Povinnost zabezpečit osobní údaje
Kromě zakotvení již dříve prosazovaných principů „privacy by design“ (tj. každé zařízení nebo služba, které slouží ke zpracování osobních údajů, musí být navrženy s ohledem na ochranu osobních údajů) a „privacy by default“ (tj. při využívání zařízení nebo služby, která zahrnuje zpracování osobních údajů, musí být automaticky nastavena nejpřísnější ochrana osobních údajů), Nařízení přináší v případě bezpečnostních incidentů novou ohlašovací povinnost vůči Úřadu (při jakémkoli porušení pokud možno do 72 hodin od okamžiku, kdy se správce o porušení dozvěděl) a subjektům údajů (bez zbytečného odkladu v případě vysokého rizika pro práva a svobody fyzických osob).
Společně s přípravou na plnění nových povinností je nutné se také připravit (a to i technicky) na uspokojení širších práv subjektů údajů, zejména se jedná o nové právo na přenositelnost údajů, kdy správce bude povinen poskytnout subjektu údajů osobní údaje, které od něj získal, ve strukturovaném, běžně používaném a strojově čitelném formátu a předat tyto údaje dalšímu správci, dále o právo na výmaz, právo na omezení zpracování a právo vznést námitku proti zpracování (např. proti zpracování osobních údajů pro účely přímého marketinku) a úpravu omezení možnosti profilace subjektu údajů. Konečně správci budou muset zrevidovat smlouvy o zpracování osobních údajů uzavřené se zpracovateli a uzavřít dodatky, tak aby smlouvy byly v souladu s Nařízením.
Jaké kroky nyní podniknout?
S implementací Nařízení do interních procesů a dokumentů je třeba začít co nejdříve. Doporučuji provést podrobnou a komplexní analýzu veškerých zpracování osobních údajů podle samostatných účelů (pokud již nebyla učiněna v minulosti), zjistit stav plnění jednotlivých povinností podle ZOOÚ a Nařízení a úroveň zabezpečení osobních údajů, včetně provedení analýzy rizik. Po provedení této prověrky by měla být připravena koncepce ochrany osobních údajů pro celou společnost nebo organizaci a jejich jednotlivá oddělení, a teprve potom by mělo být přistoupeno ke konkrétním dílčím úkolům (např. revize textu souhlasu a informací pro subjekt údajů, příprava bezpečnostní směrnice, přijetí organizačních a technických opatření, příprava a implementace IT řešení).
V současné době je ještě řada konkrétních otázek nejasná díky obecnému a vágnímu textu některých ustanovení Nařízení (např. určité povinnosti jsou stanoveny pro případ vysokého rizika pro práva a svobody fyzických osob, aniž by bylo definováno, co je považováno za toto riziko). Již v tuto chvíli se pracuje na výkladových stanoviscích (zejména ze strany tzv. Pracovní skupiny 29) a dozorové úřady jednotlivých států budou také spolupracovat na společné metodice při uplatňování Nařízení. Doporučuji tedy také průběžně sledovat webové stránky Úřadu, Pracovní skupiny 29 a odborný tisk.
[1] Mezi členské státy EHP patří členské státy EU a Island, Lichtenštejnsko a Norsko. Pokud Velká Británie po odchodu z EU nadále zůstane členem EHP, nebude mít tzv. brexit vliv na uplatnění Nařízení na jejím území, takže i v případě Velké Británie bude platit princip volného (legitimního) pohybu osobních údajů.
[2] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
[3] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která byla implementována do zákona o ochraně osobních údajů.
Diskuze k článku ()