První výkladová pravidla k GDPR

Celkem publikovala tři dokumenty, které se vztahují k výkladu portability – právu na přenositelnost údajů (Guidelines and FAQs on the right to Data Portability), k pověřencům ochrany osobních údajů (Guidelines and FAQs on Data Protection Officers) a k problematice určování vedoucího dozorového úřadu v případech přeshraničního zpracování osobních údajů (Guidelines and FAQs on the Lead Supervisory Authority). Výkladové pokyny doplnila WP29 přílohami, které odpovídají na nejčastější otázky, které GDPR v této oblasti přináší. Níže pro Vás shrnujeme dvě z těchto tři stanovisek.

Další výkladové pokyny, které se budou vztahovat k posouzení vlivu na ochranu osobních údajů a k certifikaci, očekává WP29 v roce 2017.

Portabilita - právo na přenositelnost osobních dat

Účelem práva na přenositelnost dat je možnost subjektu údajů získat a znovu použít své osobní údaje napříč různými službami. Za předpokladu technické proveditelnosti původní správce, kterému subjekt údajů osobní údaje poskytl, přenese osobní data přímo druhému správci osobních údajů ve strukturovaném, běžně používaném a strojově čitelném formátu.

Vítaným příspěvkem WP29 je objasnění některých podmínek pro uplatnění portability:

• Vyžádané osobní údaje musí být zpracovány automatizovaně (vyloučené jsou papírové záznamy) na základě předchozího souhlasu nebo z důvodu plnění smlouvy se subjektem osobních údajů.
• Osobní údaje se musí týkat subjektu osobních údajů, ovšem správci by neměli vykládat „osobní údaje týkající se subjektu údajů“ příliš restriktivně, tj. např. data třetích subjektů (telefonní záznamy obsahující příchozí a odchozí hovory, historie bankovního účtu, která obsahuje příchozí platby třetích stran) by měly tuto podmínku taktéž splňovat.
• Osobní údaje musí být poskytnuty subjektem údajů, což však kromě aktivně poskytnutých dat zahrnuje i data získaná užíváním služeb nebo zařízení (např. historie vyhledávání, data z chytrých měřičů či wearables). Už by sem však nespadaly údaje vytvořené správcem, jako je např. kreditní skóre dlužníka či výsledky profilování.
• Práva a svobody ostatních osob nesmí být dotčeny, neboli osobní údaje třetích osob by se tímto způsobem neměly nekontrolovaně dostat k jinému správci a bude tak nutné rozlišovat, jaké údaje poskytující správce odesílá a jak přijímající správce hodlá tyto údaje využívat. Obdobně by právo na portabilitu nemělo zasahovat např. do ochrany práv duševního vlastnictví anebo obchodního tajemství, což nemá ovšem vést ke kompletnímu vyloučení práva na portabilitu, ale spíše jen k jeho omezení.
• Správná realizace práva portability dále zahrnuje náležité informování subjektů údajů o tomto právu, implementaci vhodných autentizačních opatření k ověření oprávněného subjektu údajů včetně případů, kdy jsou uživatelé de facto anonymní, odpovídající lhůty pro vyřízení žádosti a postupy pro odmítnutí či zpoplatnění excesivních či opakovaných žádostí.
• K formátu poskytovaných dat se WP29 vyjádřila odkazem na směrnici 2013/37/EU o opakovaném použití informací veřejného sektoru, ovšem jinak upozornila na technologickou neutralitu, ale zejména odrazovala od využívání formátů, které by měly být předmětem drahých licenčních poplatků. Pochopitelně vyzvala klíčové hráče, aby spolupracovali při vytváření vhodných formátů umožňujících interoperabilitu systémů, které podpoří i portabilitu osobních údajů. WP29 podpořila vytvoření standartních formulářů ze strany zainteresovaných subjektů a obchodních společností.
• Problém s velkým objemem dat je dle WP29 nejvhodnější řešit strukturovaným přístupem, ideálně přes zabezpečené API umožňující předem zjistit důsledky přenášení dat. Samotný přenos může být realizován ať už prostřednictvím třetích stran anebo přímo mezi dvěma správci.
• Závěrem WP29 upozorňuje na skutečnost, že zajištění zabezpečení dat v průběhu celého procesu přenášení údajů je klíčovou povinností, která však na druhou stranu nesmí sloužit jako výmluva z provádění portability.

Pověřenec ochrany osobních údajů

WP29 se ve svém dosud nejrozsáhlejším materiálu k GDPR zaměřila rovněž na nový institut, který GDPR přináší – pověřence ochrany osobních údajů (Data Protection Officer – „DPO“). Článek 37 a násl. GDPR navozuje několik důležitých otázek pro každého správce a zpracovatele. 

Tou první je, zda vůbec správce má povinnost DPO jmenovat, tedy zda je splněna alespoň jedna ze tří podmínek – zatímco u první a třetí podmínky závisející na postavení správce, tedy veřejné instituce, resp. na zpracování zvláštních kategorií (citlivých) osobních údajů není odpověď příliš složitá (byť z vnitrostátního pohledu může způsobovat různé výklady v jednotlivých státech a jednotný přístup podpořený stanoviskem WP29 je zde vítán), u ostatních podmínek již může vznikat široký prostor pro spekulace a právní nejistotu. WP29 tak přiblížila, co znamená rozsáhlé a dále pravidelné a systematické monitorování subjektů údajů a kdy tyto činnosti zapadnou do skupiny hlavní činnosti správce/zpracovatele. Pokud např. provozovatel webové služby provádí profilování svých uživatelů za účelem behaviorálního marketingu, bez něhož by jeho jiné aktivity nesouvisející se zpracováním osobních údajů (prodej zboží) byly omezené, tj. daný marketing je významnou součástí obchodní strategie, bude povinen jmenovat DPO. Na druhou stranu pokud je monitoring zaměstnanců součástí standardního zabezpečení fungování IT, je taková činnost považována za doplňkovou a zaměstnavatel jen kvůli tomuto nebude muset DPO jmenovat.

WP29 dále poskytla vodítka k určení podmínek pro

• jmenování společného DPO pro více podniků (kde je vyžadováno, aby byl snadno dostupný všem podnikům);
• kvalifikaci DPO, zejména pokud jde o úroveň jeho znalostí (tyto požadavky se mohou lišit případ od případu podle komplexnosti zpracování osobních údajů daného správce), zkušeností a schopností;
• outsourcing DPO – WP29 výslovně potvrdila, že DPO může být poskytována jinou organizací na smluvním základě, pokud konkrétní osoby pak vykonávající funkci DPO splňují podmínky GDPR pro výkon tento funkce;
• postavení DPO u správce/zpracovatele, tedy zejména jeho zapojení do všech záležitostí týkajících se zpracování osobních údajů, poskytnutí dostatečných zdrojů (počítaje v to i nezbytnou součinnost v rámci organizace správce/zpracovatele), úroveň nezávislosti a ochrany před odvoláním v důsledku plnění jeho povinností;
• posuzování konfliktů zájmů DPO s jeho dalšími pravomocemi či povinnosti;
• náplň DPO: kontrola compliance, zapojení při posuzování vlivu na ochranu osobních údajů, vedení dokumentace;
• přístup DPO k plnění jeho povinností založený na riziku.

Ačkoliv jde teprve o pár prvních vlaštovek z hejna výkladových pravidel, jejichž přílet očekáváme nejpozději do jara 2018, již nyní je možné na jejich základě začít připravovat interní pravidla pro fungování podniků. V oblasti portability bude vhodné se zamyslet, jaká data a jak zpřístupnit subjektům údajů (včetně toho, zda smluvní partneři zajišťující zpracování těchto dat – např. i v oblasti mzdové agendy – tuto možnost budou schopni nabídnout) a zohlednit přitom potenciální okruh příjemců/dalších správců těchto dat. Po posouzení nutnosti jmenovat DPO bude následovat proces nastavení jeho kompetencí, výběr vhodných kandidátů (např. ze stávajících compliance pracovníků) a jejich včasné proškolení, nebo smluvní ošetření s poskytovatelem DPO formou outsourcingu.