Ostatní | Mgr. David Burian & al | 25.02.2016

K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR) Zdroj: Fotolia

K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR)

V důsledku zveřejnění informace o schválení obecného nařízení o ochraně osobních údajů (dále jen „nařízení“), známého také pod zkratkou GDPR[1] na úrovni Evropské unie (dále jen „EU“ nebo „Unie“) se již v kruzích odborné veřejnosti začalo diskutovat o regulatorních požadavcích, jež budou dle nového právního rámce na povinné subjekty kladeny. Kromě základních informací týkajících se této normy v následujícím textu naleznete srovnání se stávající právní úpravou a popis některých základních povinností, které dopadnou na subjekty odpovědné za zpracování osobních údajů, tj. správce a zpracovatele osobních údajů.[2]

Mgr. David Burian

Mgr. David Burian

vedoucí Oddělení registračních činností Úřadu pro ochranu osobních údajů

Mgr. David Burian

vedoucí Oddělení registračních činností Úřadu pro ochranu osobních údajů

Mgr. Zuzana Radičová

Mgr. Zuzana Radičová

právník/compliance v Raiffeisen stavební spořitelně, a.s.

Mgr. Zuzana Radičová

právník/compliance v Raiffeisen stavební spořitelně, a.s.

Na úvod stručně k vývoji problematiky

Milníkem v historii ochrany osobních údajů byla dosud platná Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů z roku 1995 (dále jen „směrnice“). Jejím hlavním cílem bylo zajistit fungování jednotného trhu a účinnou ochranu základních práv a svobod fyzických osob v souvislosti se zpracováním jejich osobních údajů. Směrnici, pro kterou hlasovaly všechny státy EU kromě Velké Británie, která se hlasování zdržela, měly do 3 let transponovat do svých právních řádů všechny členské země EU. Postupně tak vzniklo 28 různých národních právních předpisů upravujících ochranu osobních údajů, což s postupující globalizací přinášelo stále větší problémy zejména podnikatelským subjektům fungujícím v celosvětovém měřítku. Důsledkem takového stavu bylo nejednotné právní prostředí, právní nejistota a v neposlední řadě i nerovná ochrana fyzických osob. Směrnice tak přestala vyhovovat novým požadavkům jednotného digitálního trhu a po několika letech příprav vznikla nová pravidla pro ochranu osobních údajů ve formě nařízení Evropského parlamentu a Rady, které je přímo použitelné ve všech členských státech.  

Co přináší nová právní úprava

EU s přijetím finálního znění obecného nařízení slibuje pevný a soudržnější rámec pro ochranu údajů, jenž se bude opírat o důrazné vymáhání práva. Za cíl si klade nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu, a to především prostřednictvím jednotné úrovně ochrany fyzických osob. Nařízení má rovněž zamezit rozdílům bránícím volnému pohybu údajů v rámci vnitřního trhu a hospodářským subjektům poskytnout jistotu a transparentnost. Správcům a zpracovatelům napříč celou Unií nařízení ukládá stejné povinnosti a úkoly, které zajistí důsledné zpracování osobních údajů, přičemž dle vyjádření Evropské komise by mělo dojít také ke snížení administrativní zátěže. Nařízení, které je přímo aplikovatelné ve všech členských státech má zajistit také účinnou kontrolu jeho dodržování a stejné sankce.

Dle vyjádření EU by obecné nařízení reagující na moderní trendy technologického vývoje a globalizaci mělo poskytnout řadu výhod a podnikatelským subjektům umožnit využití příležitostí, které nabízí jednotný digitální trh. Zda tomu tak bude a jaké výhody či nevýhody tato právní úprava skutečně přinese, ukáže samozřejmě až praxe.

Nařízení a vnitrostátní předpisy

Jak již vyplývá z výše uvedeného, byla za účelem dosažení jednotnosti a konzistentnosti pravidel ochrany osobních údajů ve všech členských státech pro regulaci zvolená forma přímo účinného nařízení. Členské státy tak normu nemusí transponovat do svých právních řádů, vnitrostátní právní předpisy je potřeba pouze adaptovat tak, aby byly s nařízením v souladu. V případě rozporu vnitrostátního práva s přímo účinným předpisem EU, má pak dle zásady tzv. aplikační přednosti evropského práva nařízení vždy přednost. Obecné nařízení však v některých svých ustanoveních uvádí důvody, kdy by členské státy měly mít možnost zachovat či zavést vnitrostátní předpisy za účelem další konkretizace uplatňování pravidel stanovených v nařízení. Tam, kde nařízení stanoví omezení nebo upřesnění svých pravidel prostřednictvím národních právních předpisů, mohou členské státy do svých právních předpisů přímo zapracovat i prvky nařízení.

Na úpravu ochrany osobních údajů obsaženou v nařízení nelze hledět izolovaně, ale vždy také s přihlédnutím k ustanovením zvláštních zákonů, které práva či povinnosti v této oblasti blíže specifikují. Členské státy mohou zavést či ponechat v platnosti ustanovení určující konkrétní požadavky či dokonce zákonné omezení některých práv a povinností spadajících do působnosti nařízení, pokud je to nezbytné k ochraně důležitých zájmů například v rámci boje proti praní špinavých peněz. V daných případech tudíž stejně jak tomu bylo i doposud zůstává zachovaný systém podle zásady „lex specialis derogat legi generali“, kdy předpis upravující ochranu osobních údajů, byť se nově nebude jednat o zákony jednotlivých členských států, ale o přímo účinné nařízení, představuje obecnou normu, při jejíž aplikaci mají přednost zvláštní právní předpisy, ať již unijní nebo národní. Práva a povinnosti, které se dle nařízení na správce a zpracovatele vztahují, je proto vždy nutné vykládat také v souvislosti se speciální úpravou, jež se na jejich činnost vztahuje.

Povinnosti správců a zpracovatelů

Pro osoby a instituce v rolích správců či zpracovatelů přináší nařízení některé nové instituty, které by měly dle Evropské komise, která návrh v roce 2012 připravila, přispět ke zlepšení ochrany osobních údajů jednotlivců. Povinnostem správce a zpracovatele v souvislosti se zpracováním se pravděpodobně bude věnovat kapitola IV.[3] obecného nařízení. Co se týče definice subjektů odpovědných za zpracování, tedy správců a zpracovatelů osobních údajů, nové definice obsažené v nařízení se od těch současných neliší, nařízení tyto definice dokonce přímo přebírá ze směrnice. V praxi tudíž nadále zůstává zachován původní koncept, kdy je pro určení či rozlišení správce od zpracovatele prvořadým znakem to, zda daný subjekt určuje účel zpracování.

Oznamovací povinnost a její modifikace dle GDPR

Dříve, než se podíváme na některé nové povinnosti správce nebo zpracovatele osobních údajů, které obecné nařízení upravuje, považujeme za vhodné zmínit ve stručnosti současnou právní úpravu týkající se oznamovací povinnosti správce, na kterou nově zřízené instituty navazují nebo ji nahrazují.

Jednou ze základních povinností subjektu odpovědného za zpracování osobních údajů podle platné směrnice, je takové zpracování oznámit dozorovému orgánu. Oznámení je povinen správce učinit dříve, než přistoupí k samotné  realizaci úmyslu údaje zpracovávat, přičemž směrnice předpokládá zjednodušení nebo výjimky z této povinnosti (např. v případě manuálně zpracovávaných osobních údajů nebo v případě, kdy zpracování nemohou poškodit práva a svobody subjektů údajů).[4]

Aby mohl dozorový orgán náležitým způsobem oznámené zpracování prověřit, stanoví směrnice minimální rozsah informací, které musí oznámení obsahovat, resp., které musí správce dozorovému orgánu poskytnout. Kromě základních identifikačních údajů správce se jedná o informace podstatné pro posouzení legality a legitimity budoucího zpracování (účel nebo účely zpracování, kategorii subjektu údajů, jehož osobní údaje budou zpracovávány, kategorie osobních údajů, která budou zpracovávány, příjemce nebo kategorie příjemců, kterým mohou být údaje sděleny, předpokládané předávání údajů do třetích zemí, popis opatření přijatých pro zajištění bezpečnosti zpracování).[5]

Specifickým institutem v rámci oznamovací povinnosti je tzv. předběžné šetření. Směrnice ukládá členským státům vymezit zpracovatelské operace, které by mohly představovat zvláštní rizika z hlediska práv a svobod subjektů údajů, a dbát na to, aby tato zpracování byla před jejich započetím prošetřena v rámci tzv. předběžné kontroly.[6]

Jak bylo již výše naznačeno, jednou z výhod, kterou má dle navrhovatelů nové nařízení oproti stávající úpravě přinést, je odbourání nadměrné byrokratické zátěže, např. tím, že správci již nebudou muset plnit oznamovací povinnost, která údajně znamenala přílišnou administrativní i finanční zátěž pro správce.[7] Nařízení tak sice na jedné straně zbavuje správce jedné byrokratické zátěže, avšak další, a ve svém důsledku mnohem komplikovanější, přináší. Lze tedy souhlasit s obecnou kritikou objevující se již v průběhu přípravy nařízení, zejména ze strany hospodářských subjektů, že nové povinnosti kladené na správce budou znamenat nadměrnou administrativní zátěž, a to i přesto, že nové nařízení přináší pro určité hospodářské subjekty, zejména malé a střední podniky, určité úlevy týkající se administrativních nákladů. Některé z nich například nebudou muset jmenovat inspektora ochrany údajů nebo nebudou muset vést záznamy ke všem zpracováním. Nyní tedy blíže k jednotlivým institutům, které obecné nařízení upravuje.

1. Povinnost provádět posouzení dopadu na ochranu osobních údajů

Jak již bylo výše uvedeno, obecná oznamovací povinnost, kdy bylo v zásadě nutné dozorovému orgánu oznamovat jakékoliv zpracování, na které se nevztahovala některá ze zákonných výjimek, bude zrušena a nahrazena jinými mechanismy, které by se měly zaměřit pouze na ty zpracování, které na základě své povahy, rozsahu a účelu mohou představovat vysoké riziko z hlediska práv a svobod subjektů údajů. A právě u těchto, řekněme rizikových zpracování, bude správce povinen ještě před zahájením samotného zpracování provést tzv. posouzení dopadu na ochranu osobních údajů. Posouzení dopadu by mělo obsahovat systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Přičemž se předpokládá, že vypracování takového posouzení by mohlo být delegováno na inspektora pro ochranu údajů, pokud bude danou společností jmenován.

Nařízení zároveň uvádí příkladný výčet situací, kdy posouzení dopadu bude nutné, např. v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst nebo systematického a rozsáhlého vyhodnocování osobních aspektů fyzických osob, včetně profilování, jestliže je zpracování osobních údajů prováděno automatizovaným způsobem a rozhodnutí na něm založená působí právní účinky dotýkající se jednotlivých osob nebo jej ovlivní obdobným závažným způsobem.

Správce bude muset v posouzení dopadu rovněž jasně definovat přijatá bezpečností opatření a záruky, které by měly přispět k tomu, že předem definované vysoké riziko bude přijatými opatřeními eliminováno, a tím zajištěna dostatečná ochrana osobním údajům v souladu s nařízením.

V souvislosti s touto novou povinností správce jsou kladeny požadavky i na samotné dozorové orgány jednotlivých členských zemí EU. Ty by měly sepsat a zveřejnit seznam zpracování, na která se vztahují povinnosti provést posouzení dopadu a následně tento seznam sdělit nově zřízené Evropské radě pro ochranu dat. Nově zřízený evropský orgán, by měl nahradit dosavadní Pracovní skupinu podle čl. 29 směrnice (WP 29).[8] Podobným způsobem mohou dozorové orgány vytvořit a zveřejnit seznam zpracování, na která se tato povinnost vztahovat nebude. Dozorovým orgánům se tak ukládá povinnost pozitivního, ale také možnost negativního vymezení zpracovatelských operací, které budou, resp. nebudou předmětem posuzování dopadu ze strany správců. Bude pravděpodobně záležet na jednotlivých členských státech, jakou formu v rámci vnitrostátní právní úpravy nakonec zvolí s ohledem na fakt, že technologický rozvoj je dnes natolik rychlý, že zpracování podléhající či nepodléhající povinnosti posouzení se mohou a pravděpodobně budou v čase měnit.

Povinnost vymezit zpracovatelské operace, které by mohly představovat zvláštní rizika z hlediska práv a svobod subjektů údajů a ty následně podrobit předběžné kontrole dozorového orgánu, předpokládá i směrnice. Některé členské státy provedly taxativní výčet rizikových zpracování a včlenily je do vnitrostátní právní úpravy ochrany údajů, jiné, jako např. Česká republika, tak neučinily a rizikovost zpracování posuzují ad hoc v rámci konkrétního šetření.

Posuzovat přiměřenost zásahu do práv druhých, jejichž údaje budou předmětem zpracování, ještě před zahájením samotného zpracování, v současnosti vyplývá pro správce z obecných principů ochrany osobních údajů obsažených ve směrnici, zejména z povinnosti správce stanovit legální a legitimní účel zpracování, zpracovávat osobní údaje pouze na základě řádného právního titulu a v přiměřeném rozsahu. Například v rámci posuzování přípustnosti uplatnění právního titulu podle § 5 odst. 2 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů,[9] je povinností správce provést analýzu rizik a test proporcionality, které by měly být základním předpokladem pro zahájení procesu zpracování osobních údajů. Jsou to právě zpracování založená na právním titulu podle § 5 odst. 2 písm. e) realizovaná bez souhlasu subjektů údajů, která jsou svou povahou často riziková a vysokou mírou zasahující do práv osob, jejichž údaje jsou zpracovávány.

Obecné nařízení proces provádění analýzy rizik, resp. posuzování dopadu na ochranu údajů institucionalizuje, stanoví obecná pravidla, obsah a rámcově vymezuje zpracovatelské operace, na které se má vztahovat. Navíc ukládá povinnost ve vymezených případech provedenou analýzu předložit dozorovému orgánu k posouzení (viz níže předběžné konzultace). Posuzování vlivu zpracování na ochranu osobních údajů může správcům činit do budoucna problémy spojené s neznalostí procesů jeho vytváření. Evropská rada pro ochranu dat, případně jednotlivé orgány dozoru, by měly do budoucna zvážit vytvoření jednotného standardizovaného formuláře, který by jasně definoval požadavky, které bude muset takové posouzení obsahovat, aby je bylo možné předložit dozorovému orgánu v rámci povinné konzultace k posouzení.

2. Předběžné konzultace

Bezprostředně s povinností správce osobních údajů provést v určitých případech předem posouzení dopadu na ochranu údajů, souvisí povinnost správce takovéto případy zpracování předem oznámit dozorovému orgánu k posouzení neboli k předběžné konzultaci. Správce má povinnost zpracování konzultovat s orgánem dozoru v případě, pokud by z posouzení dopadu vyplynulo, že zpracování je vysoce rizikové[10] a zároveň platí, že správce je toho názoru, že riziko nelze zmírnit přiměřenými prostředky, pokud jde o dostupnost technologií a nákladů na jejich zavedení. Dozorový orgán by měl následně zkoumat soulad zamýšleného zpracování s nařízením, přičemž může dospět k závěru, že zamýšlené zpracování není v souladu s nařízením a doporučit správci upravit zpracování tak, aby případná rizika byla dostatečným způsobem omezena a zpracování nebylo v rozporu s nařízením. Pokud ovšem sám správce, již ve stádiu posuzování dopadu, usoudí, že opatření ke zmírnění rizika vzhledem k dostupným technologiím a nákladům na jejich zavedení neexistují, pak je otázkou, jaké doporučení může očekávat od orgánu dozoru v rámci povinné konzultace, resp., jak v těchto případech bude orgán dozoru postupovat. Pokud by žádná opatření, jak ze strany správce, tak dozorového orgánu nalezena nebyla, pak by zřejmě nezbývalo dozorovému orgánu, než konstatovat, že zpracování nelze provádět.

Další nevyjasněnou otázkou zůstává, jaký charakter má nebo má mít stanovisko dozorového orgánu vydaného v rámci konzultací, tedy zda se bude jednat o systém povolení, např. podobný současnému systému předběžných kontrol podle § 17 zákona č. 101/2000 Sb., prováděných v rámci správního řízení, nebo se bude jednat o konzultace v pravém slova smyslu, které budou mít pouze doporučující charakter. Ohledně stanoviska/povolení dozorového orgánu lze vzhledem k tomu, že nařízení ponechává finální podobu tohoto institutu na samotných členských státech, důvodně předpokládat, že mohou v tomto ohledu panovat do budoucna značné rozdíly mezi jednotlivými členskými státy. Vyjdeme-li ovšem z gramatického výkladu, jelikož nařízení výslovně hovoří o konzultaci nikoliv o povolení, pak se spíše lze přiklonit k názoru, že by se mělo jednat pouze o určité doporučení či radu dozorového úřadu, nežli o schvalovací proces, na jehož konci by bylo vydání individuálního správního aktu. Alespoň otázku závaznosti stanoviska dozorového orgánu pro jeho případnou další dozorovou činnost, řeší nařízení tím způsobem, že nevyjádření se dozorového orgánu ve stanovené lhůtě, nebude mít vliv na dozorové pravomoci orgánu dozoru včetně pravomoci zpracování zakázat např. v rámci provedené kontroly.[11]

Z výše uvedeného vyplývá, že část dosavadní oznamovací povinnosti zůstala prostřednictvím povinných konzultací zachována, a to ta část, která se týká povinnosti správce oznámit rizikové zpracování a povinnosti dozorového orgánu takové zpracování podrobit tzv. předběžné kontrole, resp. předchozí konzultaci. Vágnost institutu předběžných konzultací by však přeci jenom měla být alarmující, neboť neprovedení posouzení dopadu nebo zpracování osobních údajů bez předchozí konzultace může být penalizováno až do výše 10 000 000 EUR nebo v případě podniků do výše 2 % jejich ročního celosvětového obratu.

3. Povinnost vést záznamy o zpracováních osobních údajů

Další administrativní povinností správce, případně zpracovatele nebo zástupce správce nebo zpracovatele bude vést záznamy o všech zpracováních, za která nesou odpovědnost. Nařízení vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace (jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů). Nařízení počítá s výjimkami z povinnosti vést dokumentaci zpracování pro podniky s méně než 250 zaměstnanci. Nicméně i malé podniky mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování. Proto je výjimka omezena pouze na taková zpracování, která nelze kvalifikovat jako riziková, resp. nezasahující závažným způsobem do práv a svobod jednotlivců nebo zpracování, která nebudou zahrnovat citlivé údaje.

Jak z výše uvedeného vyplývá, bude správce povinen vést dokumentaci, jejímž obsahem bude v zásadě podobné penzum informací, které je v současné době správce povinen sdělovat dozorovému orgánu v rámci oznamovací povinnosti, a které dozorový orgán následně zapisuje do veřejného registru zpracování. Na rozdíl od současné právní úpravy nebude již povinností správců dokumentaci obsahující informace o zpracování zasílat dozorovým orgánům za účelem jejich registrace, nicméně správci budou povinni záznamy o zpracování dozorovému orgánu na jeho žádost zpřístupnit.

4. Povinnost ohlašovat případy narušení bezpečnosti

Další, svou povahou ohlašovací povinností, která pro správce může znamenat nezanedbatelnou administrativní zátěž, je ohlašování případů narušení bezpečnosti osobních údajů (tzv. data breaches). Nejedná se o institut zcela nový. Do českého právního řádu byl v souladu s právem EU tento nový nástroj ochrany osobních údajů a soukromí zaveden dne 1. ledna 2012, kdy nabyl účinnosti zákon č. 468/2011 Sb., kterým se současně mění tři zákony týkající se oblasti elektronických komunikací, ochrany osobních údajů a služeb informační společnosti. Podle tohoto zákona se poskytovatelům služeb elektronických komunikací výslovně stanoví povinnost řešit případy porušení ochrany osobních údajů, včetně povinnosti takové narušení oznámit Úřadu pro ochranu osobních údajů.

Zatímco dnes se tato povinnost vztahuje ve většině členských států pouze na poskytovatele elektronických komunikací, podle nového nařízení musí tuto povinnost plnit každý správce, a to během 72 hodin od doby, kdy se o narušení dozví. Nařízení vyjmenovává minimální množství informací, které musí správce poskytnout dozorovému orgánu. Nařízení však připouští výjimku z této povinnosti a to v případě, kdy narušení bezpečnosti by pravděpodobně nepředstavovalo riziko z hlediska práv a svobod jednotlivce. Znamená to tedy, že by tak nemuselo docházet k ohlašování drobných bezpečnostních incidentů, nebo omylů způsobených např. selháním lidského faktoru, kdy by bylo možné konstatovat, že riziko pro práva a svobody fyzických osob není vysoké. Správce má rovněž povinnost vést přehled narušení ochrany osobních údajů včetně informací o okolnostech porušení, jeho dopadech a opatření přijatých k nápravě stavu.

Správce ovšem nemá povinnost oznamovat bezpečnostní incidenty pouze dozorovému orgánu ale také samotným dotčeným subjektům a to v případě, že narušení bezpečnosti by představovalo vysoké riziko pro práva a svobody fyzických osob. V průběhu přípravy nařízení došlo postupným vývojem alespoň k určitému omezení administrativní zátěže související s touto povinností správce v tom smyslu, že oznámení případů narušení bezpečnosti subjektu údajů nebude nutné provádět, pokud správce bude schopen prokázat, že zavedl příslušná technická a organizační ochranná opatření, která byla použita u údajů dotčených narušením bezpečnosti (např. byly údaje šifrovány), nebo prokáže, že přijal následná opatření, která zajistí, že riziko pro práva a svobody subjektů údajů se pravděpodobně již nebude opakovat.

Dosavadní zkušenosti s ohlašováním narušení bezpečnosti údajů nejen z ČR ale i z ostatních států EU však ukazují, že povinné subjekty plní tuto zákonem danou povinnost pouze velmi sporadicky. Většinou se jedná řádově o několik podání za rok. O důvodech takto nízkého počtu oznámení se vedou již několik let v rámci EU diskuse. Jeden z hlavních důvodů nezájmu správců oznamovat případy narušení lze určitě shledat v obavách oznamovatelů z případných sankcí, pokud by se přiznali, že k narušení bezpečnosti osobních údajů v jejich společnosti došlo. Otázkou rovněž zůstává i efektivnost oznamování narušení ve vztahu ke zvýšení úrovně ochrany bezpečnosti.

5. Povinnost jmenovat inspektora ochrany údajů

Neméně významnou novinkou obecného nařízení, která doposud v právním řádu České republiky chyběla, je výše několikrát zmíněná funkce inspektora ochrany osobních údajů. Jedná se o osobu s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů, jež pro správce nebo zpracovatele zajišťuje soulad s nařízením, případně dalšími předpisy v oblasti ochrany osobních údajů. Povinnost jmenovat inspektora ochrany údajů je nařízením explicitně stanovena pro orgány veřejné moci, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů. V jiných případech je povinností správce, zpracovatele či asociací nebo jiných institucích zastupujících kategorie správců či zpracovatelů jmenovat inspektora ochrany údajů pouze pokud tak stanoví unijní či vnitrostátní zákon, z čeho lze dovodit, že je v kompetenci členských států tuto povinnost rozšířit i na další subjekty. Jinými slovy, na rozdíl od původního záměru Komise, není jmenování inspektorů ochrany údajů povinné, ale je ponecháno na vůli jednotlivých členských států, zda povinnost jmenovat inspektory ochrany údajů rozšíří i na jiné subjekty, resp. okruhy zpracování, než obligatorně stanoví nařízení.

Danou činnost může osoba v této funkci pro správce či zpracovatele vykonávat jako pracovník i na základě smlouvy o poskytování služeb. Inspektor ochrany údajů má být přímo podřízen vrcholným řídícím pracovníků správce nebo zpracovatele. V členských státech, které již povinnost jmenovat inspektora ochrany osobních údajů mají ve svých právních předpisech stanovenou, je u podnikatelských subjektů tato funkce často svěřená do působnosti právních či compliance útvarů, přičemž výjimkou není ani outsourcing této funkce na další specializované entity. Nařízení pro tuto funkci stanoví nejen předpoklady a požadavky, jež musí každý inspektor ochrany údajů splňovat, ale také úkoly, které má v rámci své funkce plnit. Inspektor ochrany údajů, pokud je jmenován, musí být náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů, k plnění svých úkolů mu musí být poskytnuty nezbytné zdroje a rovněž přístup k osobním údajům a operacím zpracování. Pod pojmem potřebné zdroje si lze představit například personál, rozpočet či konkrétní nástroje pro zajištění řádného provádění výkonu funkce inspektora ochrany údajů jako například software pro reporting.

Mezi hlavní povinnosti inspektora ochrany údajů patří sledování souladu s regulací a poskytování informací a poradenství ohledně povinností vyplývajících z nařízení a má rovněž spolupracovat a sloužit jako kontaktní místo pro jednání s dozorovým orgánem. Na inspektora ochrany údajů se mohou také obracet subjekty údajů, a to ve všech záležitostech souvisejících se zpracováním jejich osobních údajů nebo výkonem práv podle nařízení. Dle nařízení není vyloučen ani výkon dalších činností inspektora ochrany údajů, za předpokladu, že nevedou ke střetu zájmu. Správce nebo zpracovatel má také povinnosti zajistit, aby inspektor ochrany údajů mohl jednat nezávisle. Skupiny podniků pak mají dle nařízení možnost jmenovat pouze jednoho inspektora ochrany údajů, za předpokladu, že je snadno dostupný pro všechny členy skupiny.

Další povinnosti

Kromě výše popsaných, je v nařízení obsažená i řada dalších povinností správců a zpracovatelů, jež jsou přímo odvozeny od práv subjektu údajů. Subjektům údajů nařízení totiž přináší posílení jejich stávajících práv, a to prostřednictvím výrazně větší kontroly nad vlastními osobními údaji. Nařízení fyzickým osobám poskytuje snazší přístup k jejich osobním údajům tím, že správci či zpracovatelé je budou muset důkladněji informovat o způsobu zpracovávání jejich osobních údajů, přičemž tyto informace mají být dostupné v jasné a srozumitelné podobě. Uvedené se odráží také v nových požadavcích, které jsou kladeny na souhlas subjektu údajů se zpracováním svých osobních údajů, jehož prokázání je odpovědností správce. Fyzické osoby budou nově disponovat také právem na přenositelnost osobních údajů mezi poskytovateli služeb a dnes zejména v souvislosti s internetovými vyhledávači často diskutovaným právem být zapomenut, které spočívá v tom, že pokud si to subjekt údajů nepřeje a správci či zpracovateli nesvědčí žádný právní titul, musí být osobní údaje vymazány. V této souvislosti lze také ještě jednou zmínit výše popsané právo subjektu údajů být informován o zneužití vlastních osobních údajů. Obecnou povinností správce i nadále zůstává povinnost zavést vhodná technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky nařízení a zaručovalo ochranu práv subjektů údajů.

Stručné shrnutí

Na jedné straně byla zrušena oznamovací povinnost, která do jisté míry znamenala pro hospodářské subjekty určitou administrativní zátěž, a částečně tak tím byl naplněn záměr omezit byrokratické zatížení a náklady, jak dozorových orgánů, tak správců samotných, na druhé straně se však základní atributy a meze právní úpravy povinného oznamování v podstatě transformovaly do několika více méně podobných činností, které bude muset správce v rámci prováděných zpracování vykonávat (provádět posuzování dopadu na ochranu osobních údajů, žádat dozorový orgán o předchozí konzultaci, vést dokumentaci zpracování, jmenovat inspektora ochrany údajů, oznamovat orgánu dozoru případy narušení bezpečnosti osobních údajů). Nelze se tedy příliš domnívat, že nařízení přinese pro správce a dozorové orgány snížení administrativní zátěže, spíše naopak. Až praxe následně ukáže, zda nárůst administrativy bude dostatečně vyvážen přínosem pro ochranu údajů jednotlivců.

Podobně si lze klást otázku, zda obecné nařízení v konečné podobě skutečně poskytne hospodářským subjektům větší právní jistotu a transparentnost v rámci vnitřního trhu, a to zejména vzhledem k některým ne zcela jasným ustanovením upravujícím nové instituty, jež mohou vést k rozdílné vnitrostátní právní úpravě v rámci členských států a následně i k jejich rozdílné aplikaci ze strany jednotlivých dozorových orgánů. Příkladem nám může být institut tzv. předběžné konzultace. Nařízení v podstatě nechává jeho konkrétní podobu na rozhodnutí jednotlivých členských států, které si mají vnitrostátním předpisem vymezit rizikové okruhy zpracování. Jaké okruhy rizikových zpracování členské státy vymezí, a tedy podrobí tzv. předběžné konzultaci, a jaká procesní pravidla pro takové přezkoumání zvolí, však není zcela evidentní.

Na úplný závěr

Byť v době přípravy tohoto textu nebylo nařízení vyhlášené v Úředním věstníku EU a tudíž ani nenabylo platnosti, je se změnami v oblasti ochrany osobních údajů nutné počítat. Jaké tedy jsou nebo spíše budou nové povinnosti správce osobních údajů, a jaké budou náklady na jejich plnění? Přispějí ke zlepšení ochrany osobních údajů jednotlivců? Nebudou pro správce přílišnou administrativní zátěží? Na tyto otázky zatím nelze poskytnout jasnou odpověď a až čas ukáže, zda skutečně dojde k pozitivním změnám deklarovaným v prohlášeních navrhovatelů. Dopady nařízení však v žádném případě nelze podceňovat a především obchodní korporace provádějící rozsáhlejší zpracovávání osobních údajů by mu měly věnovat zvýšenou pozornost. Na jeho implementaci do vnitřních procesů a systémů korporací je proto vhodné se začít připravovat již nyní. Lze předpokládat, že zejména korporace pracující s velkým objemem osobních údajů či zvláštními kategoriemi osobních údajů budou muset investovat nemalé prostředky do zajištění souladu s novým legislativním rámcem. Dalších institutů, práv či povinností, které nařízení nově upravuje či určitým způsobem modifikuje, je však daleko více a zaslouží si značnou pozornost, proto se budeme této problematice a specifickým institutům věnovat i nadále v některých z dalších příspěvků.

*Mgr. David Burian je zaměstnancem Úřadu pro ochranu osobních údajů a Mgr. Zuzana Radičová je zaměstnaná jako právník/compliance v Raiffeisen stavební spořitelně, a.s. Příspěvek vyjadřuje osobní názory autorů, nikoliv jejich zaměstnavatelů.


[1]  Jedná se o nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů); anglicky Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) ve zkratce GDPR.

[2] Autoři při zpracování příspěvku vycházejí z obecně známých informací, z jednotlivých verzí návrhů obecného nařízení o ochraně údajů, zejména z nekonsolidované verze obecného nařízení o ochraně údajů číslo 15039/15 z prosince 2015.

[3] V kapitole IV. je problematika upravena jak v nekonsolidované verzi obecného nařízení o ochraně údajů číslo 15039/15 z prosince 2015, tak i v návrhu tohoto nařízení ve formě obecného přístupu číslo 9565/15 z června 2015.

[4] Oznamovací povinnost byla v rámci  zákona č. 101/2000 Sb. o ochraně osobních údajů, ve znění pozdějších předpisů transponována prostřednictvím § 16 a násl. Transpozice článků týkajících se výjimek z oznamovací povinnosti do zákona č. 101/2000 Sb., není zcela konformní se směrnicí. To se týká zejména znění § 18/1/b a § 18 odst. 2.

[5] V souvislosti s obecnou ohlašovací povinností alespoň připomeňme, že jedním z hlavních cílů registrace oznámených zpracování bylo dosažení maximálně možné míry transparentnosti zpracování. Z toho důvodu je dozorovým orgánům svěřena také funkce spočívají ve vedení registru zpracování osobních údajů, který má charakter veřejné evidence. Povinnost vést registr zpracování osobních údajů je Úřadu pro ochranu osobních údajů uložena zákonem č. 101/2000 Sb., podobně jako povinnost učinit registr veřejně přístupným [s výjimkou informací uvedených v § 16 odst. 2 písm. e) a i) zákona], a to zejména způsobem umožňujícím dálkový přístup.

[6] Právní úprava tzv. předběžných kontrol je v zákoně č. 101/2000 Sb., upravena v § 16, resp. § 17.

[7] Relativně široké možnosti členských států, jakou formu a na jaké případy se má oznamovací povinnost vztahovat, způsobily, že proces registrace a její povaha jsou v rámci EU značně rozdílné. Není tedy překvapením, že pro zrušení oznamovací povinnosti v současné podobně, nebyly napříč EU žádné námitky.

[8] Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES v roce 1996, má poradní status a je složena ze zástupců vnitrostátních dozorových orgánů pro ochranu údajů, evropského inspektora ochrany údajů a zástupců Komise. Její úkoly jsou popsány v článku 30 směrnicečlánku 15 směrnice 2002/58/ES.

[9] § 5 odst. 2 písm. e) zákona o ochraně osobních údajů uvádí výjimku z povinnosti zpracovávat osobní údaje pouze se souhlasem subjektů údajů „pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života“.

[10] Nařízení rozlišuje celkem dvě úrovně rizika - obecné a vysoké riziko (risk, high risk). Povinnost konzultovat zpracování s orgánem dozoru je podmíněna tím, že správce v rámci posouzení dopadu vyhodnotí riziko jako vysoké.

[11] Analogii můžeme dnes najít např. v postupech vydávání osvědčení o registraci podle § 16 odst. 5 zákona o ochraně osobních údajů. Zápis zpracování do veřejného registru zpracování sám o sobě neznamená povolení zpracovávat osobní údaje a v rámci následně provedené kontroly téhož zpracování může Úřad dojít k závěru, že zpracování nesplňuje požadavky zákona a zpracování zakázat.

evropská unie ochrana osobních údajů nařízení

Diskuze k článku 0 komentářů

Všechny komentáře se zobrazí po vstupu do diskuze

Vstoupit do diskuze