První výkladová pravidla k GDPR
Pracovní skupina Evropské komise – Working Party 29 („WP29“) vydala v pátek 16. prosince 2016 první z řady slíbených dokumentů, které mají poskytnout výklad k obecnému nařízení o ochraně osobních údajů („GDPR“).
Celkem publikovala tři dokumenty, které se vztahují k výkladu portability – právu na přenositelnost údajů (Guidelines and FAQs on the right to Data Portability), k pověřencům ochrany osobních údajů (Guidelines and FAQs on Data Protection Officers) a k problematice určování vedoucího dozorového úřadu v případech přeshraničního zpracování osobních údajů (Guidelines and FAQs on the Lead Supervisory Authority). Výkladové pokyny doplnila WP29 přílohami, které odpovídají na nejčastější otázky, které GDPR v této oblasti přináší. Níže pro Vás shrnujeme dvě z těchto tři stanovisek.
Další výkladové pokyny, které se budou vztahovat k posouzení vlivu na ochranu osobních údajů a k certifikaci, očekává WP29 v roce 2017.
Portabilita - právo na přenositelnost osobních dat
Účelem práva na přenositelnost dat je možnost subjektu údajů získat a znovu použít své osobní údaje napříč různými službami. Za předpokladu technické proveditelnosti původní správce, kterému subjekt údajů osobní údaje poskytl, přenese osobní data přímo druhému správci osobních údajů ve strukturovaném, běžně používaném a strojově čitelném formátu.
Vítaným příspěvkem WP29 je objasnění některých podmínek pro uplatnění portability:
- Vyžádané osobní údaje musí být zpracovány automatizovaně (vyloučené jsou papírové záznamy) na základě předchozího souhlasu nebo z důvodu plnění smlouvy se subjektem osobních údajů.
- Osobní údaje se musí týkat subjektu osobních údajů, ovšem správci by neměli vykládat „osobní údaje týkající se subjektu údajů“ příliš restriktivně, tj. např. data třetích subjektů (telefonní záznamy obsahující příchozí a odchozí hovory, historie bankovního účtu, která obsahuje příchozí platby třetích stran) by měly tuto podmínku taktéž splňovat.
- Osobní údaje musí být poskytnuty subjektem údajů, což však kromě aktivně poskytnutých dat zahrnuje i data získaná užíváním služeb nebo zařízení (např. historie vyhledávání, data z chytrých měřičů či wearables). Už by sem však nespadaly údaje vytvořené správcem, jako je např. kreditní skóre dlužníka či výsledky profilování.
- Práva a svobody ostatních osob nesmí být dotčeny, neboli osobní údaje třetích osob by se tímto způsobem neměly nekontrolovaně dostat k jinému správci a bude tak nutné rozlišovat, jaké údaje poskytující správce odesílá a jak přijímající správce hodlá tyto údaje využívat. Obdobně by právo na portabilitu nemělo zasahovat např. do ochrany práv duševního vlastnictví anebo obchodního tajemství, což nemá ovšem vést ke kompletnímu vyloučení práva na portabilitu, ale spíše jen k jeho omezení.
- Správná realizace práva portability dále zahrnuje náležité informování subjektů údajů o tomto právu, implementaci vhodných autentizačních opatření k ověření oprávněného subjektu údajů včetně případů, kdy jsou uživatelé de facto anonymní, odpovídající lhůty pro vyřízení žádosti a postupy pro odmítnutí či zpoplatnění excesivních či opakovaných žádostí.
- K formátu poskytovaných dat se WP29 vyjádřila odkazem na směrnici 2013/37/EU o opakovaném použití informací veřejného sektoru, ovšem jinak upozornila na technologickou neutralitu, ale zejména odrazovala od využívání formátů, které by měly být předmětem drahých licenčních poplatků. Pochopitelně vyzvala klíčové hráče, aby spolupracovali při vytváření vhodných formátů umožňujících interoperabilitu systémů, které podpoří i portabilitu osobních údajů. WP29 podpořila vytvoření standartních formulářů ze strany zainteresovaných subjektů a obchodních společností.
- Problém s velkým objemem dat je dle WP29 nejvhodnější řešit strukturovaným přístupem, ideálně přes zabezpečené API umožňující předem zjistit důsledky přenášení dat. Samotný přenos může být realizován ať už prostřednictvím třetích stran anebo přímo mezi dvěma správci.
- Závěrem WP29 upozorňuje na skutečnost, že zajištění zabezpečení dat v průběhu celého procesu přenášení údajů je klíčovou povinností, která však na druhou stranu nesmí sloužit jako výmluva z provádění portability.
Pověřenec ochrany osobních údajů
WP29 se ve svém dosud nejrozsáhlejším materiálu k GDPR zaměřila rovněž na nový institut, který GDPR přináší – pověřence ochrany osobních údajů (Data Protection Officer – „DPO“). Článek 37 a násl. GDPR navozuje několik důležitých otázek pro každého správce a zpracovatele.
Tou první je, zda vůbec správce má povinnost DPO jmenovat, tedy zda je splněna alespoň jedna ze tří podmínek – zatímco u první a třetí podmínky závisející na postavení správce, tedy veřejné instituce, resp. na zpracování zvláštních kategorií (citlivých) osobních údajů není odpověď příliš složitá (byť z vnitrostátního pohledu může způsobovat různé výklady v jednotlivých státech a jednotný přístup podpořený stanoviskem WP29 je zde vítán), u ostatních podmínek již může vznikat široký prostor pro spekulace a právní nejistotu. WP29 tak přiblížila, co znamená rozsáhlé a dále pravidelné a systematické monitorování subjektů údajů a kdy tyto činnosti zapadnou do skupiny hlavní činnosti správce/zpracovatele. Pokud např. provozovatel webové služby provádí profilování svých uživatelů za účelem behaviorálního marketingu, bez něhož by jeho jiné aktivity nesouvisející se zpracováním osobních údajů (prodej zboží) byly omezené, tj. daný marketing je významnou součástí obchodní strategie, bude povinen jmenovat DPO. Na druhou stranu pokud je monitoring zaměstnanců součástí standardního zabezpečení fungování IT, je taková činnost považována za doplňkovou a zaměstnavatel jen kvůli tomuto nebude muset DPO jmenovat.
WP29 dále poskytla vodítka k určení podmínek pro
- jmenování společného DPO pro více podniků (kde je vyžadováno, aby byl snadno dostupný všem podnikům);
- kvalifikaci DPO, zejména pokud jde o úroveň jeho znalostí (tyto požadavky se mohou lišit případ od případu podle komplexnosti zpracování osobních údajů daného správce), zkušeností a schopností;
- outsourcing DPO – WP29 výslovně potvrdila, že DPO může být poskytována jinou organizací na smluvním základě, pokud konkrétní osoby pak vykonávající funkci DPO splňují podmínky GDPR pro výkon tento funkce;
- postavení DPO u správce/zpracovatele, tedy zejména jeho zapojení do všech záležitostí týkajících se zpracování osobních údajů, poskytnutí dostatečných zdrojů (počítaje v to i nezbytnou součinnost v rámci organizace správce/zpracovatele), úroveň nezávislosti a ochrany před odvoláním v důsledku plnění jeho povinností;
- posuzování konfliktů zájmů DPO s jeho dalšími pravomocemi či povinnosti;
- náplň DPO: kontrola compliance, zapojení při posuzování vlivu na ochranu osobních údajů, vedení dokumentace;
- přístup DPO k plnění jeho povinností založený na riziku.
Ačkoliv jde teprve o pár prvních vlaštovek z hejna výkladových pravidel, jejichž přílet očekáváme nejpozději do jara 2018, již nyní je možné na jejich základě začít připravovat interní pravidla pro fungování podniků. V oblasti portability bude vhodné se zamyslet, jaká data a jak zpřístupnit subjektům údajů (včetně toho, zda smluvní partneři zajišťující zpracování těchto dat – např. i v oblasti mzdové agendy – tuto možnost budou schopni nabídnout) a zohlednit přitom potenciální okruh příjemců/dalších správců těchto dat. Po posouzení nutnosti jmenovat DPO bude následovat proces nastavení jeho kompetencí, výběr vhodných kandidátů (např. ze stávajících compliance pracovníků) a jejich včasné proškolení, nebo smluvní ošetření s poskytovatelem DPO formou outsourcingu.
Další články
Rizika Shadow AI? Zaměstnanci mohou neúmyslně ohrozit firemní data, porušit dohody o mlčenlivosti nebo GDPR
S rozvojem AI rostou i rizika tzv. Shadow AI, používání neschválených nástrojů a aplikací umělé inteligence při práci s důvěrnými firemními informacemi, daty obchodních partnerů nebo s osobními údaji klientů a zaměstnanců. Zaměstnanci – obvykle v dobré víře a ve snaze zvýšit produktivitu práce – totiž svěří chráněná data nástrojům, nad kterými nemá firma kontrolu a slouží například ke zdokonalování umělé inteligence.
Ekocida: Chybějící dílek v mozaice nejzávažnějších zločinů podle mezinárodního práva
Mezinárodní trestní právo dnes připomíná precizně vyskládanou mozaiku spravedlnosti. Její čtyři dílky, genocida, zločiny proti lidskosti, válečné zločiny a zločin agrese, chrání lidstvo před těmi nejtěžšími zločiny ohrožujícími mezinárodní mír a bezpečnost. Přesto v tomto zdánlivě uceleném obrazu zůstává prázdné místo, skrze které nezadržitelně uniká odpovědnost za činy, které neútočí přímo na integritu jednotlivců, ale na environmentální stabilitu nezbytnou pro zachování civilizace.
Uznání postoupené pohledávky za pravou
Postoupenému dlužníku zůstávají v souladu s § 1884 odst. 1 o. z. zachovány námitky vůči pohledávce, které měl v době postoupení. Občanský zákoník však v § 1884 odst. 2 o. z. rovněž stanoví, že jestliže dlužník proti poctivému postupníkovi uznal pohledávku jako pravou, je povinen jej uspokojit jako svého věřitele
Firmy čeká první odeslání JMHZ. Bez dokončené registrace zaměstnanců výkaz neprojde
Do 20. května musí zaměstnavatelé poprvé odeslat JMHZ za duben. Řada firem ale teprve dokončuje registraci zaměstnanců, bez které systém výkaz nepřijme. Klíčové týdny ukážou reálnou připravenost na novou povinnost.
Éra dálkových odečtů přichází. Připravte se, riskovat se nevyplácí
Přechod na dálkové měření spotřeby tepla a teplé vody není jen další administrativní položkou na seznamu povinností, ale zásadní změnou v tom, jak budeme v bytových domech nakládat s daty a energiemi. Co tato změna přinese a na co se připravit?
