První výkladová pravidla k GDPR
Pracovní skupina Evropské komise – Working Party 29 („WP29“) vydala v pátek 16. prosince 2016 první z řady slíbených dokumentů, které mají poskytnout výklad k obecnému nařízení o ochraně osobních údajů („GDPR“).
Celkem publikovala tři dokumenty, které se vztahují k výkladu portability – právu na přenositelnost údajů (Guidelines and FAQs on the right to Data Portability), k pověřencům ochrany osobních údajů (Guidelines and FAQs on Data Protection Officers) a k problematice určování vedoucího dozorového úřadu v případech přeshraničního zpracování osobních údajů (Guidelines and FAQs on the Lead Supervisory Authority). Výkladové pokyny doplnila WP29 přílohami, které odpovídají na nejčastější otázky, které GDPR v této oblasti přináší. Níže pro Vás shrnujeme dvě z těchto tři stanovisek.
Další výkladové pokyny, které se budou vztahovat k posouzení vlivu na ochranu osobních údajů a k certifikaci, očekává WP29 v roce 2017.
Portabilita - právo na přenositelnost osobních dat
Účelem práva na přenositelnost dat je možnost subjektu údajů získat a znovu použít své osobní údaje napříč různými službami. Za předpokladu technické proveditelnosti původní správce, kterému subjekt údajů osobní údaje poskytl, přenese osobní data přímo druhému správci osobních údajů ve strukturovaném, běžně používaném a strojově čitelném formátu.
Vítaným příspěvkem WP29 je objasnění některých podmínek pro uplatnění portability:
- Vyžádané osobní údaje musí být zpracovány automatizovaně (vyloučené jsou papírové záznamy) na základě předchozího souhlasu nebo z důvodu plnění smlouvy se subjektem osobních údajů.
- Osobní údaje se musí týkat subjektu osobních údajů, ovšem správci by neměli vykládat „osobní údaje týkající se subjektu údajů“ příliš restriktivně, tj. např. data třetích subjektů (telefonní záznamy obsahující příchozí a odchozí hovory, historie bankovního účtu, která obsahuje příchozí platby třetích stran) by měly tuto podmínku taktéž splňovat.
- Osobní údaje musí být poskytnuty subjektem údajů, což však kromě aktivně poskytnutých dat zahrnuje i data získaná užíváním služeb nebo zařízení (např. historie vyhledávání, data z chytrých měřičů či wearables). Už by sem však nespadaly údaje vytvořené správcem, jako je např. kreditní skóre dlužníka či výsledky profilování.
- Práva a svobody ostatních osob nesmí být dotčeny, neboli osobní údaje třetích osob by se tímto způsobem neměly nekontrolovaně dostat k jinému správci a bude tak nutné rozlišovat, jaké údaje poskytující správce odesílá a jak přijímající správce hodlá tyto údaje využívat. Obdobně by právo na portabilitu nemělo zasahovat např. do ochrany práv duševního vlastnictví anebo obchodního tajemství, což nemá ovšem vést ke kompletnímu vyloučení práva na portabilitu, ale spíše jen k jeho omezení.
- Správná realizace práva portability dále zahrnuje náležité informování subjektů údajů o tomto právu, implementaci vhodných autentizačních opatření k ověření oprávněného subjektu údajů včetně případů, kdy jsou uživatelé de facto anonymní, odpovídající lhůty pro vyřízení žádosti a postupy pro odmítnutí či zpoplatnění excesivních či opakovaných žádostí.
- K formátu poskytovaných dat se WP29 vyjádřila odkazem na směrnici 2013/37/EU o opakovaném použití informací veřejného sektoru, ovšem jinak upozornila na technologickou neutralitu, ale zejména odrazovala od využívání formátů, které by měly být předmětem drahých licenčních poplatků. Pochopitelně vyzvala klíčové hráče, aby spolupracovali při vytváření vhodných formátů umožňujících interoperabilitu systémů, které podpoří i portabilitu osobních údajů. WP29 podpořila vytvoření standartních formulářů ze strany zainteresovaných subjektů a obchodních společností.
- Problém s velkým objemem dat je dle WP29 nejvhodnější řešit strukturovaným přístupem, ideálně přes zabezpečené API umožňující předem zjistit důsledky přenášení dat. Samotný přenos může být realizován ať už prostřednictvím třetích stran anebo přímo mezi dvěma správci.
- Závěrem WP29 upozorňuje na skutečnost, že zajištění zabezpečení dat v průběhu celého procesu přenášení údajů je klíčovou povinností, která však na druhou stranu nesmí sloužit jako výmluva z provádění portability.
Pověřenec ochrany osobních údajů
WP29 se ve svém dosud nejrozsáhlejším materiálu k GDPR zaměřila rovněž na nový institut, který GDPR přináší – pověřence ochrany osobních údajů (Data Protection Officer – „DPO“). Článek 37 a násl. GDPR navozuje několik důležitých otázek pro každého správce a zpracovatele.
Tou první je, zda vůbec správce má povinnost DPO jmenovat, tedy zda je splněna alespoň jedna ze tří podmínek – zatímco u první a třetí podmínky závisející na postavení správce, tedy veřejné instituce, resp. na zpracování zvláštních kategorií (citlivých) osobních údajů není odpověď příliš složitá (byť z vnitrostátního pohledu může způsobovat různé výklady v jednotlivých státech a jednotný přístup podpořený stanoviskem WP29 je zde vítán), u ostatních podmínek již může vznikat široký prostor pro spekulace a právní nejistotu. WP29 tak přiblížila, co znamená rozsáhlé a dále pravidelné a systematické monitorování subjektů údajů a kdy tyto činnosti zapadnou do skupiny hlavní činnosti správce/zpracovatele. Pokud např. provozovatel webové služby provádí profilování svých uživatelů za účelem behaviorálního marketingu, bez něhož by jeho jiné aktivity nesouvisející se zpracováním osobních údajů (prodej zboží) byly omezené, tj. daný marketing je významnou součástí obchodní strategie, bude povinen jmenovat DPO. Na druhou stranu pokud je monitoring zaměstnanců součástí standardního zabezpečení fungování IT, je taková činnost považována za doplňkovou a zaměstnavatel jen kvůli tomuto nebude muset DPO jmenovat.
WP29 dále poskytla vodítka k určení podmínek pro
- jmenování společného DPO pro více podniků (kde je vyžadováno, aby byl snadno dostupný všem podnikům);
- kvalifikaci DPO, zejména pokud jde o úroveň jeho znalostí (tyto požadavky se mohou lišit případ od případu podle komplexnosti zpracování osobních údajů daného správce), zkušeností a schopností;
- outsourcing DPO – WP29 výslovně potvrdila, že DPO může být poskytována jinou organizací na smluvním základě, pokud konkrétní osoby pak vykonávající funkci DPO splňují podmínky GDPR pro výkon tento funkce;
- postavení DPO u správce/zpracovatele, tedy zejména jeho zapojení do všech záležitostí týkajících se zpracování osobních údajů, poskytnutí dostatečných zdrojů (počítaje v to i nezbytnou součinnost v rámci organizace správce/zpracovatele), úroveň nezávislosti a ochrany před odvoláním v důsledku plnění jeho povinností;
- posuzování konfliktů zájmů DPO s jeho dalšími pravomocemi či povinnosti;
- náplň DPO: kontrola compliance, zapojení při posuzování vlivu na ochranu osobních údajů, vedení dokumentace;
- přístup DPO k plnění jeho povinností založený na riziku.
Ačkoliv jde teprve o pár prvních vlaštovek z hejna výkladových pravidel, jejichž přílet očekáváme nejpozději do jara 2018, již nyní je možné na jejich základě začít připravovat interní pravidla pro fungování podniků. V oblasti portability bude vhodné se zamyslet, jaká data a jak zpřístupnit subjektům údajů (včetně toho, zda smluvní partneři zajišťující zpracování těchto dat – např. i v oblasti mzdové agendy – tuto možnost budou schopni nabídnout) a zohlednit přitom potenciální okruh příjemců/dalších správců těchto dat. Po posouzení nutnosti jmenovat DPO bude následovat proces nastavení jeho kompetencí, výběr vhodných kandidátů (např. ze stávajících compliance pracovníků) a jejich včasné proškolení, nebo smluvní ošetření s poskytovatelem DPO formou outsourcingu.
Další články
Kdy vzniká nárok na odstupné při zrušení pracovní pozice?
Kdy máte nárok na odstupné a kdy ne? Nestačí, že zaměstnavatel označí změnu jako „zrušení pozice“. Rozhodující je, zda pracovní místo skutečně zaniklo – a právě to Nejvyšší soud v nedávném rozhodnutí upřesnil.
Umělá inteligence ve veřejných zakázkách
Masivní využívání AI ve veřejné správě vytváří technologickou i právní džungli. Tradiční postupy selhávají a úřady čelí riziku ztráty kontroly nad svými daty. Článek představuje strategii 5 pilířů pro bezpečné zavádění AI, ukazuje využití nových smluvních doložek MCC-AI a vysvětluje, proč je princip lidského dohledu (HITL) zcela klíčový.
Lze úsporami ze spoření pro dítě nahradit výživné?
Tento článek se věnuje nálezu Ústavního soudu ze dne 11. 9. 2025, sp. zn. III. ÚS 864/25, který se zabývá otázkou, zda je možné úsporami nahrazovat běžné výživné a financovat nimi odůvodněné potřeby dítěte.
Jak novela zTOPO posiluje význam compliance programu a proč by jej měla mít zavedený každá právnická osoba?
Dne 1. ledna 2026 nabyla účinnosti převážná část zákona č. 270/2025 Sb., který novelizuje zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (dále jen „zTOPO“). Tato novela posiluje význam compliance programů, které se nově stávají nejen nástrojem prevence, ale zároveň i významným faktorem, který ovlivňuje trestněprávní odpovědnost a její praktické důsledky pro právnickou osobu.
Okamžité zrušení pracovního poměru zaměstnancem ze zdravotních důvodů: prolomila novela zákona o specifických zdravotních službách judikaturu Nejvyššího soudu?
Zákon č. 262/2006 Sb., zákoník práce poskytuje zaměstnancům v určitých výjimečných případech silnou ochranu v podobě možnosti okamžitého zrušení pracovního poměru. Jedním z těchto případů je situace, kdy zaměstnanec podle lékařského posudku nemůže dále konat práci bez vážného ohrožení svého zdraví (srov. § 56 odst. 1 písm. a) zákoníku práce.
