Klíčové instituty jsou porovnávány se současnou právní úpravou a posuzovány s ohledem na možné dopady na činnost správců a zpracovatelů. Článek má zejména informativní charakter, poukazuje však také na souvislost s činností exekutorů i jejich pochybeními v oblasti nakládání s osobními údaji.
Úvod
Dne 27. 4. 2016 došlo na úrovni Evropské unie k přijetí významného dokumentu z pohledu ochrany osobních údajů[1], který je dnes široké veřejnosti znám pod názvem GDPR. Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“ nebo „nařízení“) nabyde účinnosti dne 25. května 2018. Jelikož se jedná o nařízení, které je přímo aplikovatelné, bez potřeby implementace do vnitrostátního práva, je nezbytné provést komparaci nově ukládaných povinností správcům a nečekat na adaptační zákon o zpracování údajů, jehož „první verze“[2] byla uveřejněna koncem srpna loňského roku.
Novinky týkající se GDPR postupně vešly ve známost již od léta 2016, kdy správci a zpracovatelé začali analyzovat nové povinnosti a porovnávat je s těmi stávajícími. Pro řadu subjektů, a to od zaměstnavatelů, internetových prodejců až po sportovní kluby, nemocnice či advokáty a v neposlední řadě také exekutory, se GDPR stalo často diskutovaným a důležitým tématem.
V obecné rovině lze říci, že nařízení představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie, který hájí práva fyzických osob při shromažďování a zpracovávání jejich osobních údajů a má sjednotit roztříštěnost právní úpravy ochrany osobních údajů v jednotlivých členských státech Evropské unie.
Roztříštěnost bylo možné spatřovat např. v nejednotnosti názoru na osobní potřebu. Výklad tohoto jednoduchého pojmu byl a i nadále dle GDPR bude velmi důležitým pro řešení otázky aplikovatelnosti právního předpisu (veřejnoprávní úpravy) na zpracování osobních údajů. Za zmínku stojí uvést, že otázku osobní potřeby posuzoval Soudní dvůr Evropské unie v rámci proslulé kauzy Ryneš[3], přičemž k této otázce se vyjádřila řada států[4], které na tuto kauzu projevily rozdílné pohledy.
Nařízení ve zkratce
Nařízení ošetřuje pět základních oblastí. První z nich jsou zásady zpracování osobních údajů, které upravují zejména zákonnost, korektnost a transparentnost zpracování, zásady shromažďování osobních údajů a podmínky souhlasu subjektu údajů. Druhou oblastí úpravy jsou práva subjektů údajů, mezi která patří právo na poskytnutí informací o zpracování správcem stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, právo na přístup k osobním údajům (zejména právo získat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a zejména účel, kategorie, příjemci nebo plánovaná doba zpracování). Dále se jedná o právo na opravu nepřesných osobních údajů s přihlédnutím k účelu zpracování, právo na výmaz („právo být zapomenut“) při splnění taxativně vymezených důvodů, právo na omezení zpracování v taxativně vymezených případech, právo na přenositelnost údajů spočívající v poskytnutí údajů ve strukturovaném, běžně používaném a strojově čitelném formátu pro účely předání těchto údajů jinému správci a právo vznést námitku a nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. Třetí oblastí jsou pak obecné povinnosti správců a zpracovatelů, kteří shromažďují a zpracovávají osobní údaje občanů Evropské unie, kterým se budeme věnovat dále. Dalšími oblastmi jsou dozorová činnost, spolupráce dozorových orgánů, případná odpovědnost a sankce.
Revoluce v ochraně dat?
Část odborné veřejnosti byla a z části i je toho názoru, že GDPR je revolučním předpisem v oblasti ochrany osobních údajů. S tímto míněním však Úřad pro ochranu osobních údajů („Úřad“) nesouhlasil a svá názory shrnul v článku desatero nejčastějších omylů či zavádějících tvrzení o nařízení. Do určité míry lze s Úřadem souhlasit, a to zejména v případě tvrzení, že „označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy a oficiálního projednávání, jež započalo v roce 2012 a skončilo v roce 2016“.[5] Nelze však popřít skutečnost, že v řadě ustanovení GDPR nacházíme nové povinnosti, které ve stávající právní úpravě, tj. v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, („ZOOÚ“), obsaženy nejsou.
Z prostého porovnání obsahu GDPR a směrnice 95/46/ES je zřejmé, že stejná ustanovení lze spatřovat např. v definicích pojmů (osobní údaj, subjekt údajů, zpracování – čl. 2 směrnice 95/46/ES a čl. 4 obecného nařízení). Na druhou stranu jsou však pravidla pro správce či zpracovatele „podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a zákoně o ochraně osobních údajů“.[6]
Jak již bylo zmíněno výše, GDPR se dotkne velkého množství subjektů, a to nejen poskytovatelů online služeb, ale i všech společností, institucí i jednotlivců, které zpracovávají data fyzických osob, nehledě na to, zda se jedná o subjekty soukromé či orgány veřejné správy. Přijetím nařízení došlo tedy ke zpřísnění regulace, jejímž cílem je zajištění širší a snáze vymahatelné ochrany při zásahu do subjektivních práv při shromažďování a zpracovávání osobních údajů. Tato ochrana se projevuje zejména tím, že GDPR rozvíjí a posiluje práva fyzických osob dotčených zpracováním, a to jak po stránce informovanosti o tom, jaké jejich údaje a za jakým účelem jsou zpracovávány, tak i z hlediska možnosti domáhat se nápravy zásahu do subjektivních práv. V rozšíření práv lze spatřovat určitou modifikaci zmíněnou již výše, neboť povinnost informovanosti a práva subjektu údajů ZOOÚ patřičně upravoval a Úřad plnění této povinnosti vymáhal prostřednictvím opatření k nápravě, anebo nepřímo prostřednictvím ukládaných pokut za porušení ustanovení § 11 a § 21 ZOOÚ.
Máme-li shrnout povinnosti, které jsou pro správce novinkou, lze je uvést následovně: i) Povinnost vést záznamy o zpracováních osobních údajů, ii) Povinnost ohlašovat případy narušení bezpečnosti, iii) Povinnost provádět posouzení dopadu na ochranu osobních údajů, iv) Povinnost předběžné konzultace, v) Povinnost jmenovat pověřence pro ochranu osobních údajů.
Některé z uvedených povinností byly již v jiných členských státech Evropské unie zavedeny a některé z nich v modifikované podobě existovaly i u nás. Za zmínku stojí uvést povinnost ohlašovat případy narušení bezpečnosti zavedenou zákonem č. 468/2011 Sb. Tato povinnost se však týkala pouze poskytovatelů služeb elektronických komunikací a správci ne vždy tuto povinnost vyhodnotili správně, čímž docházelo také ke hlášení narušení bezpečnosti u těch správců, kteří postavení poskytovatele služeb elektronických komunikací neměli.
Zásady zpracování údajů a RBA
Každý správce, respektive zpracovatel si musí být vědom základních zásad zpracování osobních údajů stanovených nařízením. Osobní údaje musí být zejména i) zpracovávány korektně a zákonným a transparentním způsobem; ii) shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; iii) dále musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, iv) přesné a v případě potřeby aktualizované; v) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány a vi) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.[7]
Nařízení spočívá zejména v přístupu založeném na riziku,[8] známým pod zkratkou RBA.[9] Tento přístup lze shrnout tak, že správce je již od počátku zpracování osobních údajů povinen respektovat povahu, rozsah a účel zpracování a dbát možných rizik zásahu do chráněných subjektivních práv fyzických osob. Nařízení v tomto ohledu stanoví, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření. V souladu s tímto přístupem musí správci dodržovat povinnosti kladené na ně nařízením a eliminovat tím riziko porušení zabezpečení osobních údajů. Mezi takové povinnosti patří zejména níže vyjmenované.
Záznamy o činnostech zpracování[10]
První jmenovanou povinností správce, případně zpracovatele, bude s účinností GDPR vést záznamy o všech zpracováních, za která nesou odpovědnost. Nařízení také výslovně vyjmenovává, jaké konkrétní údaje musí být součástí takových záznamů; jedná se konkrétně o jméno a kontaktní údaje správce, účely zpracování osobních údajů, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců údajů, informace o případném předání údajů do třetí země nebo mezinárodní organizaci, plánované lhůty pro výmaz jednotlivých kategorií údajů, obecný popis technických a organizačních bezpečnostních opatření. Nařízení umožňuje výjimky z povinnosti vést záznamy zpracování pro podniky nebo organizace zaměstnávající méně než 250 osob. Nicméně připouští možnost, že i tyto subjekty mohou provádět takové zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, není příležitostné, nebo například zahrnuje zpracování zvláštních kategorií údajů. Proto je výjimka omezena pouze na taková zpracování, která nenaplňují znaky rizikového zpracování.
Na rozdíl od nynější úpravy již nebude povinností správce zasílat Úřadu dokumentaci obsahující uvedené informace za účelem jejich registrace[11], správce však bude povinen záznamy o zpracování dozorovému orgánu na jeho žádost zpřístupnit. Tato změna souvisí právě s výše uvedeným konceptem RBA.[12]
Článek byl publikován v Komorních listech č. 1/2018
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Dostupné z http://eur-lex.europa.eu/legal-content/CS/ALL/?uri=CELEX%3A32016R0679
[2] Návrh zákona o zpracování osobních údajů. Dostupné z https:// apps.odok.cz/veklep-detail?p_p_id=material_WAR_odokkpl&p_p_ lifecycle=0&p_p_state=normal&p_p_mode=view&p_p_col_id=column-1&p_p_col_count=3&_material_WAR_odokkpl_pid=KORNAQCDZPW5&tab=detail
[3] Rozsudek NSS ze dne 25. února 2015, sp. zn. 1 As 113/2012-135.
[4] Písemná vyjádření předložili španělská, italská, rakouská, polská a portugalská vláda, vláda Spojeného království a Evropská komise. Na jednání konaném dne 20. března 2014 byly zastoupeny Úřad, česká, rakouská a polská vláda, vláda Spojeného království a Komise.
[5] Úřad pro ochranu osobních údajů: Desatero omylů GDPR. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=0.
[6] Tamtéž
[8] Úřad pro ochranu osobních údajů. Sdělení ÚOOÚ k přístupu založenému na riziku. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/ assets/File.ashx?id_org=200144&id_dokumenty=26872.
[9] Risk Based Approach.
[10] Recitál 82 a článek 30 GDPR.
[12] Úřad pro ochranu osobních údajů. Sdělení ÚOOÚ k přístupu založenému na riziku. [cit 30. 10. 2017]. Dostupné z https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=26872.
Diskuze k článku ()