Povinnosti správců a zpracovatelů ve světle Obecného nařízení o ochraně osobních údajů (GDPR), část I.

Klíčové instituty jsou porovnávány se sou­časnou právní úpravou a posuzovány s ohledem na možné dopady na činnost správců a zpracovatelů. Článek má zejména informativní charakter, poukazu­je však také na souvislost s činností exekutorů i jejich pochybeními v oblasti nakládání s osobními údaji.

Úvod

Dne 27. 4. 2016 došlo na úrovni Evropské unie k přije­tí významného dokumentu z pohledu ochrany osobních údajů[1], který je dnes široké veřejnosti znám pod názvem GDPR. Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těch­to údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“ nebo „nařízení“) nabyde účinnosti dne 25. května 2018. Jelikož se jedná o nařízení, které je přímo aplikovatelné, bez potřeby implementace do vnitrostátního práva, je nezbytné provést komparaci nově ukládaných povinností správcům a ne­čekat na adaptační zákon o zpracování údajů, jehož „prv­ní verze“[2] byla uveřejněna koncem srpna loňského roku.

Novinky týkající se GDPR postupně vešly ve známost již od léta 2016, kdy správci a zpracovatelé začali analyzo­vat nové povinnosti a porovnávat je s těmi stávajícími. Pro řadu subjektů, a to od zaměstnavatelů, interneto­vých prodejců až po sportovní kluby, nemocnice či ad­vokáty a v neposlední řadě také exekutory, se GDPR stalo často diskutovaným a důležitým tématem.

V obecné rovině lze říci, že nařízení představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie, který hájí práva fyzických osob při shromažďování a zpracovávání jejich osobních údajů a má sjednotit roztříštěnost právní úpravy ochrany osobních údajů v jednotlivých členských státech Evropské unie.

Roztříštěnost bylo možné spatřovat např. v nejednotnosti názoru na osobní potřebu. Výklad tohoto jednoduchého pojmu byl a i nadále dle GDPR bude velmi důležitým pro řešení otázky aplikovatelnosti právního předpisu (ve­řejnoprávní úpravy) na zpracování osobních údajů. Za zmínku stojí uvést, že otázku osobní potřeby posuzoval Soudní dvůr Evropské unie v rámci proslulé kauzy Ry­neš[3], přičemž k této otázce se vyjádřila řada států[4], které na tuto kauzu projevily rozdílné pohledy.

Nařízení ve zkratce

Nařízení ošetřuje pět základních oblastí. První z nich jsou zásady zpracování osobních údajů, které upravují zejména zákonnost, korektnost a transparentnost zpra­cování, zásady shromažďování osobních údajů a pod­mínky souhlasu subjektu údajů. Druhou oblastí úpravy jsou práva subjektů údajů, mezi která patří právo na po­skytnutí informací o zpracování správcem stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazyko­vých prostředků, právo na přístup k osobním údajům (zejména právo získat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a zejména účel, kategorie, příjemci nebo plánovaná doba zpracování). Dále se jedná o právo na opravu nepřesných osobních údajů s přihlédnutím k účelu zpracování, právo na výmaz („právo být zapomenut“) při splnění taxativně vymezených důvodů, právo na omezení zpracování v taxativně vymezených případech, právo na přenositelnost údajů spočívající v poskytnutí údajů ve strukturovaném, běžně používaném a strojově čitelném formátu pro účely pře­dání těchto údajů jinému správci a právo vznést námitku a nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. Třetí oblastí jsou pak obecné povinnosti správců a zpracovatelů, kteří shroma­žďují a zpracovávají osobní údaje občanů Evropské unie, kterým se budeme věnovat dále. Dalšími oblastmi jsou dozorová činnost, spolupráce dozorových orgánů, případná odpovědnost a sankce.

Revoluce v ochraně dat?

Část odborné veřejnosti byla a z části i je toho názoru, že GDPR je revolučním předpisem v oblasti ochrany osobních údajů. S tímto míněním však Úřad pro ochranu osobních údajů („Úřad“) nesouhlasil a svá názory shrnul v článku desatero nejčastějších omylů či zavádějících tvrzení o nařízení. Do určité míry lze s Úřadem souhlasit, a to zejména v případě tvrzení, že „označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy a oficiálního projednávání, jež započalo v roce 2012 a skončilo v roce 2016“.[5] Nelze však popřít skutečnost, že v řadě ustanovení GDPR na­cházíme nové povinnosti, které ve stávající právní úpra­vě, tj. v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších před­pisů, („ZOOÚ“), obsaženy nejsou.

Z prostého porovnání obsahu GDPR a směrnice 95/46/ES je zřejmé, že stejná ustanovení lze spatřovat např. v de­finicích pojmů (osobní údaj, subjekt údajů, zpracování – čl. 2 směrnice 95/46/ES a čl. 4 obecného nařízení). Na druhou stranu jsou však pravidla pro správce či zpra­covatele „podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a zákoně o ochraně osobních údajů“.[6]

Jak již bylo zmíněno výše, GDPR se dotkne velkého množství subjektů, a to nejen poskytovatelů online slu­žeb, ale i všech společností, institucí i jednotlivců, kte­ré zpracovávají data fyzických osob, nehledě na to, zda se jedná o subjekty soukromé či orgány veřejné správy. Přijetím nařízení došlo tedy ke zpřísnění regulace, jejímž cílem je zajištění širší a snáze vymahatelné ochrany při zásahu do subjektivních práv při shromažďování a zpra­covávání osobních údajů. Tato ochrana se projevuje ze­jména tím, že GDPR rozvíjí a posiluje práva fyzických osob dotčených zpracováním, a to jak po stránce infor­movanosti o tom, jaké jejich údaje a za jakým účelem jsou zpracovávány, tak i z hlediska možnosti domá­hat se nápravy zásahu do subjektivních práv. V rozšíření práv lze spatřovat určitou modifikaci zmíněnou již výše, neboť povinnost informovanosti a práva subjektu údajů ZOOÚ patřičně upravoval a Úřad plnění této povinnos­ti vymáhal prostřednictvím opatření k nápravě, anebo nepřímo prostřednictvím ukládaných pokut za porušení ustanovení § 11 a § 21 ZOOÚ.

Máme-li shrnout povinnosti, které jsou pro správce no­vinkou, lze je uvést následovně: i) Povinnost vést zá­znamy o zpracováních osobních údajů, ii) Povinnost ohlašovat případy narušení bezpečnosti, iii) Povinnost provádět posouzení dopadu na ochranu osobních údajů, iv) Povinnost předběžné konzultace, v) Povinnost jme­novat pověřence pro ochranu osobních údajů.

Některé z uvedených povinností byly již v jiných člen­ských státech Evropské unie zavedeny a některé z nich v modifikované podobě existovaly i u nás. Za zmínku stojí uvést povinnost ohlašovat případy narušení bezpečnosti zavedenou zákonem č. 468/2011 Sb. Tato povinnost se však týkala pouze poskytovatelů služeb elektronických komunikací a správci ne vždy tuto povinnost vyhodnotili správně, čímž docházelo také ke hlášení narušení bez­pečnosti u těch správců, kteří postavení poskytovatele služeb elektronických komunikací neměli.

Zásady zpracování údajů a RBA

Každý správce, respektive zpracovatel si musí být vě­dom základních zásad zpracování osobních údajů sta­novených nařízením. Osobní údaje musí být zejména i) zpracovávány korektně a zákonným a transparentním způsobem; ii) shromažďovány pouze pro určité, výslov­ně vyjádřené a legitimní účely a nesmějí být dále zpraco­vávány způsobem, který je s těmito účely neslučitelný; iii) dále musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpra­covávány, iv) přesné a v případě potřeby aktualizované; v) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány a vi) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo orga­nizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.[7]

Nařízení spočívá zejména v přístupu založeném na rizi­ku,[8] známým pod zkratkou RBA.[9] Tento přístup lze shr­nout tak, že správce je již od počátku zpracování osob­ních údajů povinen respektovat povahu, rozsah a účel zpracování a dbát možných rizik zásahu do chráněných subjektivních práv fyzických osob. Nařízení v tom­to ohledu stanoví, že s přihlédnutím ke stavu techni­ky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracová­ní samotného vhodná technická a organizační opatření. V souladu s tímto přístupem musí správci dodržovat po­vinnosti kladené na ně nařízením a eliminovat tím riziko porušení zabezpečení osobních údajů. Mezi takové po­vinnosti patří zejména níže vyjmenované.

Záznamy o činnostech zpracování[10]

První jmenovanou povinností správce, případně zpra­covatele, bude s účinností GDPR vést záznamy o všech zpracováních, za která nesou odpovědnost. Nařízení také výslovně vyjmenovává, jaké konkrétní údaje musí být součástí takových záznamů; jedná se konkrétně o jmé­no a kontaktní údaje správce, účely zpracování osobních údajů, popis kategorií subjektů údajů a kategorií osob­ních údajů, kategorie příjemců údajů, informace o pří­padném předání údajů do třetí země nebo mezinárodní organizaci, plánované lhůty pro výmaz jednotlivých ka­tegorií údajů, obecný popis technických a organizačních bezpečnostních opatření. Nařízení umožňuje výjimky z povinnosti vést záznamy zpracování pro podniky nebo organizace zaměstnávající méně než 250 osob. Nicméně připouští možnost, že i tyto subjekty mohou provádět ta­kové zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, není příležitostné, nebo například zahrnuje zpracování zvláštních kategorií údajů. Proto je výjimka omezena pouze na taková zpra­cování, která nenaplňují znaky rizikového zpracování.

Na rozdíl od nynější úpravy již nebude povinností správ­ce zasílat Úřadu dokumentaci obsahující uvedené infor­mace za účelem jejich registrace[11], správce však bude povinen záznamy o zpracování dozorovému orgánu na jeho žádost zpřístupnit. Tato změna souvisí právě s výše uvedeným konceptem RBA.[12]

 

Článek byl publikován v Komorních listech č. 1/2018

---

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracová­ním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Dostupné z http://eur-lex.europa.eu/legal-content/CS/ALL/?uri=­CELEX%3A32016R0679

[2] Návrh zákona o zpracování osobních údajů. Dostupné z https:// apps.odok.cz/veklep-detail?p_p_id=material_WAR_odokkpl&p_p_ lifecycle=0&p_p_state=normal&p_p_mode=view&p_p_col_id=co­lumn-1&p_p_col_count=3&_material_WAR_odokkpl_pid=KOR­NAQCDZPW5&tab=detail

[3] Rozsudek NSS ze dne 25. února 2015, sp. zn. 1 As 113/2012-135.

[4] Písemná vyjádření předložili španělská, italská, rakouská, polská a portugalská vláda, vláda Spojeného království a Evropská komise. Na jednání konaném dne 20. března 2014 byly zastoupeny Úřad, čes­ká, rakouská a polská vláda, vláda Spojeného království a Komise.

[5] Úřad pro ochranu osobních údajů: Desatero omylů GDPR. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/desatero-omylu-o-nbsp­-gdpr/d-23799/p1=0.

[6] Tamtéž

[7] Čl. 5 GDPR.

[8] Úřad pro ochranu osobních údajů. Sdělení ÚOOÚ k přístupu založe­nému na riziku. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/ assets/File.ashx?id_org=200144&id_dokumenty=26872.

[9] Risk Based Approach.

[10] Recitál 82 a článek 30 GDPR.

[11] § 16 ZOOÚ.

[12] Úřad pro ochranu osobních údajů. Sdělení ÚOOÚ k přístupu založe­nému na riziku. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=26872.