Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

GDPR - 1. díl: Obecný úvod k nové úpravě nakládání s osobními údaji

Autor: Mgr. Petr Otevřel | Vloženo: 5. 9. 2017 10:59 | Přečteno: 7044X

V tomto článku se budeme zatím jen obecně zabývat nařízením Evropského Parlamentu a Rady č. 2016/679 - obecným nařízením o ochraně osobních údajů (dále „Nařízení”), častěji označovaným anglickou zkratkou GDPR (General Data Protection Regulation). Tento článek vyšel v časopise IT Systems 7-8/2017 v rámci seriálu "GDPR od A do Z" a měl by být prvním z celé série článků, které se budou zabývat jednotlivými aspekty nové úpravy ochrany osobních údajů podrobněji.


Obecně k Nařízení

Dosud vycházela právní úprava ochrany osobních údajů v jednotlivých členských státech ze směrnice 95/46/ES o ochraně osobních údajů. Pravidla této směrnice poté členské státy různým způsobem implementovaly do svých právních řádů. Ačkoliv základní principy byly stejné, právní úprava v jednotlivých členských státech EU se mnohdy značně lišila. 

Oproti tomu Nařízení je přímo závazným předpisem, úprava ochrany osobních údajů bude proto v celé EU zcela totožná, a to od 25. 5. 2018, kdy Nařízení vstoupí v platnost. Nařízení totiž zrušilo nejen zmíněnou směrnici 95/46/ES, ale nahradí také jednotlivé zákony upravující ochranu osobních údajů v členských státech EU. V ČR tak Nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů.

V čem je Nařízení nové, a v čem nikoliv?

Obecně je třeba uvést, že principy a základní povinnosti vztahující se k ochraně osobních údajů zůstaly nezměněny. Namátkou lze uvést tyto:

  • Osobní údaje mohou být zpracovávány pouze na základě souhlasu příslušné fyzické osoby (dále „subjekt údajů“), popř. na základě jiného právního důvodu, např. v rámci plnění zákonné povinnosti nebo v souvislosti se splněním smluvního vztahu uzavřeného se subjektem údajů.
  • Osobní údaje mohou být zpracovávány pouze ke stanovenému účelu a pouze v nezbytném rozsahu.
  • Osoby, které nakládají s osobními údaji, ať už jako správci či zpracovatelé, jsou povinny zavést organizační a technická opatření k ochraně osobních údajů před jejich zneužitím, ztrátou či zničením. 

Nařízení také zpřesňuje úpravu některých oblastí a reaguje tak na vývoj, k němuž přispěly především výklady soudů a jednotlivých úřadů na ochranu osobních údajů. 

Např. IP adresa je dle v Nařízení jednoznačně označena za osobní údaj, nicméně k tomuto závěru už dospěl ve svém rozhodnutí Soudní dvůr EU výkladem starší směrnice 95/46/ES, takže nelze říci, že by toto byla novinka zavedená nově až Nařízením.

Rovněž povinnost zavést organizační opatření (např. vnitřní předpisy a školení zaměstnanců) a technická opatření (např. pseudonymizace osobních údajů) k ochraně osobních údajů není nová, byla však upřesněna. 

Skutečně však došlo také k výraznému rozšíření povinností na straně správců či zpracovatelů osobních údajů. Těch novinek je celá řada, zde proto jen ty vybrané:

  • Došlo k výraznému rozšíření informační povinnosti vůči subjektům údajů v souvislosti s žádostí o poskytnutí osobních údajů. V důsledku tohoto bude většina dosud udělených souhlasů se zpracováním osobních údajů nedostatečná (!!!) a správci budou muset žádat o souhlas znovu.
  • Došlo k výraznému rozšíření práv subjektů údajů vůči správcům osobních údajů. Subjekt údajů má nově např. právo na to „být zapomenut“, právo na přenositelnost osobních údajů (tj. právo na jejich předání „ve strukturovaném, běžně používaném a strojově čitelném formátu“ buď žádajícímu subjektu údajů nebo přímo jinému správci), nebo právo vznášet námitky vůči zpracování svých osobních údajů. Pro splnění těchto a dalších práv ukládá Nařízení lhůty, které budou vyžadovat u správců i zpracovatelů takové nastavení procesů, aby vůbec byli schopni včas reagovat. 
  • Nařízení zavádí novou povinnost vést podrobné záznamy „o činnostech zpracování“ vztahující se na všechny správce či zpracovatele, kteří zaměstnávají více než 250 osob. Tato povinnost se však může vztahovat i na menší správce.
  • Nařízení požaduje obecně, ale i v řadě jednotlivých ustanovení, aby správce či zpracovatel provedli posouzení „pravděpodobnosti a závažnosti rizika“ souvisejícího se zpracováním. Tak např. nová povinnost vést shora zmíněné záznamy o zpracování se může vztahovat i na správce zaměstnávajících méně než 250 osob, pokud zpracování „pravděpodobně představuje riziko pro práva a svobody subjektu údajů“.
  • Vybrané společnosti budou muset jmenovat tzv. pověřence pro ochranu osobních údajů.
  • Nařízení zavádí zcela nové požadavky v rámci incident managementu, včetně ohlašovací povinnosti v případě incidentů při zpracování osobních údajů vůči dozorovým orgánům. 

Proč Nařízení věnovat pozornost? 

Už ze shora uvedeného neúplného výčtu nových povinností zavedených Nařízením vyplývá, že i ti správci či zpracovatelé osobních údajů, kteří mají své procesy při nakládání s osobními údaji ošetřeny v souladu se stávající legislativou, budou muset provést audit a své procesy doplnit a přizpůsobit. 

Samotné Nařízení přitom v řadě případů požaduje po správcích i zpracovatelích, aby doložili, že jsou připraveni své povinnosti plnit. Už v čl. 5 odst. 2 Nařízení je upravena velice široká povinnost doložit dodržování základních zásad zpracování osobních údajů. Tato povinnost je stanovena opakovaně i u zcela konkrétních témat upravených Nařízením. 

Sankce 

A tím se pomalu dostáváme k problematice mediálně tolik probíraných sankcí stanovených Nařízením. Ty jsou na první pohled skutečně astronomické. Dle čl. 83 odst. 4 Nařízení může být za porušení řady ustanovení Nařízení uložena správní pokuta „až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově“. Za porušení jiných povinností pak stanoví Nařízení možnost uložit správní pokuty až do výše 20 000 000 EUR, popř. 4 % celkového ročního obratu. 

Zde je na místě říci, že každý dozorový orgán má povinnost odůvodnit výši jím uložené sankce a postupuje tak dle kritérií, které mu určují příslušné právní předpisy. Čím vyšší uložená sankce, tím důkladněji musí její výši dozorový orgán odůvodnit. A rovněž Nařízení uvádí v čl. 83 odst. 2 hned celou řadu vodítek a okolností, které musí dozorový orgán zohlednit při stanovení výše správní pokuty. 

Dozorový orgán tak musí mj. přihlédnout nejen k povaze a závažnosti porušení povinností či počtu dotčených subjektů údajů, ale také k tomu, zda došlo k porušení úmyslně nebo z nedbalosti, jaká je „míra zavinění správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným“, nebo „zda správce či zpracovatel porušení oznámil“. Dozorový orgán musí rovněž přihlédnout k okolnosti, zda se jedná o první porušení nebo naopak porušení opakované. 

Shora uvedených vodítek pro rozhodování dozorových orgánů je v Nařízení daleko více a nabízí nám další odpověď na otázku, proč Nařízení věnovat pozornost. Obecně totiž platí, že správci či zpracovatelé mohou zcela zásadně snížit či zvýšit riziko uvalení vysoké správní pokuty tím, nakolik prokáží, že usilují o zpracování osobních údajů v souladu s Nařízením, a že přitom provedli posouzení rizik a zakotvili v interních předpisech své vnitřní procesy v souladu s Nařízením.

Spolu se shora zmíněnou povinností dokládat plnění povinností dle Nařízení tak i způsob a kritéria pro stanovení výše správní pokuty nabádají správce i zpracovatele k tomu, aby řešili problematiku zpracovávání osobních údajů preventivně. 

Koho se Nařízení týká?

Zjednodušeně řečeno, v oblasti IT se týká takřka všech podnikatelů. V prvé řadě se samozřejmě týká správců osobních údajů. Podnikatelé by si měli uvědomit, že v pozici správců jsou vždy minimálně vůči svým vlastním zaměstnancům.

V řadě oborů zpracovávají podnikatelé osobní údaje třetích osob, zpravidla na základě souhlasu subjektů údajů (typicky souhlas se zasíláním newsletteru), nebo protože je jejich zpracování nezbytné k tomu, aby mohli splnit smlouvu uzavřenou se subjektem údajů (typicky v souvislosti s uzavřením smlouvy o poskytnutí spotřebitelského úvěru). 

Znalost Nařízení se však může týkat i podnikatelů, kteří krom osobních údajů vlastních zaměstnanců žádné další osobní údaje nezpracovávají. Provozovatelé celé řady služeb, využívající ve své činnosti informační systémy, budou muset tyto své systémy upravit. Nařízení vyžaduje, aby informační systémy správců a zpracovatelů byly navrhovány přímo s ohledem na požadavky ochrany osobních údajů a minimalizace užívání osobních údajů pouze v nezbytném rozsahu (zásada „Privacy by design“). Celá řada tvůrců a poskytovatelů informačních systémů bude konfrontována s požadavky či dotazy svých klientů a bude provádět a nabízet jejich úpravy. Přitom již nyní z praxe vyplývá, že řada klientů žádá tvůrce a provozovatele informačních systémů v podstatě o poradenství v této oblasti.  

Závěr

Takřka každý podnikatel by si měl v souvislosti s Nařízením včas zodpovědět základní otázky vztahující se ke zpracování osobních údajů. Ve většině případů bude nezbytné provést posouzení rizik spojených s nakládáním s osobními údaji, stávajících vnitřních předpisů, dokumentace určené subjektům údajů i vzorových smluv o zpracování osobních údajů. Z vlastní zkušenosti můžeme říci, že prakticky vždy bude nutné upravit a podstatně doplnit vnitřní předpisy a procesy vztahující se k nakládání s osobními údaji a další související dokumentaci. Ale tomu už se budou postupně věnovat další články.  

Autor: Mgr. Petr Otevřelotevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.