Několik postřehů z praxe implementace GDPR (1. díl)
Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 20. 2. 2019 09:57 | Přečteno: 3620XOd nabytí účinnosti Obecného nařízení o ochraně osobních údajů (tedy Nařízení Evropského Parlamentu a Rady č. 2016/679, známého jako Obecné nařízení o ochraně osobních údajů neboli „GDPR“, dále jako „Nařízení“) uplynulo už několik měsíců. Většina správců a zpracovatelů osobních údajů, kteří jej chtěli implementovat do své praxe, už většinu kroků potřebných k implementaci učinila. Ti, kteří se rozhodli Nařízením nezabývat, jej úspěšně a zatím bez následků ignorují i nadále.
Podnikatelské i veřejnoprávní subjekty se z naší zkušenosti začaly seriózněji Nařízením zabývat v průběhu podzimu roku 2017. Za zhruba dvanáct měsíců, které od této doby uplynuly, provedla naše kancelář několik desítek implementací Nařízení, lišících se podle typu klienta (počínaje individuálními OSVČ, pokračuje přes menší či větší s.r.o. nebo a.s. a konče veřejnoprávními subjekty o několika tisících zaměstnanců), podle charakteru jeho činnosti (od IT firem přes standardní výrobní společnosti až po nemocnice), nebo podle požadavku na rozsah implementace (od minimalistické varianty pouze těch naprosto nevyhnutelných kroků až po komplexní rozsah včetně školení jednotlivých odpovědných osob a výkonu funkce pověřence pro ochranu osobních údajů). Z těchto zkušeností lze učinit několik základních postřehů, s nimiž se chceme podělit.
Význam záznamů o činnostech zpracování osobních údajů
Vedení záznamů o činnostech zpracování osobních údajů (dále „záznamy“) je často marginalizovanou povinností, obzvláště ve srovnání s často probíranými povinnostmi týkajícími se výkonu práv ze strany subjektů údajů, jmenování pověřence pro ochranu osobních údajů nebo povinnostmi týkajícími se bezpečnostních incidentů. Nicméně pro úspěšnou implementaci Nařízení a potažmo i pro úspěšné absolvování jakékoli budoucí kontroly ze strany Úřadu pro ochranu osobních údajů je vypracování a vedení záznamů zcela zásadním faktorem. Institut záznamů je upraven v čl. 30 Nařízení, podrobně jsme jej rozebrali v dřívějším článku: GDPR 3. díl: Vedení záznamů o činnostech zpracování osobních údajů.
Zde stojí za to především uvést, že bez vytvoření komplexního katalogu jednotlivých činností zpracování a vyhodnocení základních parametrů každé z nich, jako je zejména účel zpracování, jeho právní základ, dotčené subjekty osobních údajů, kategorie samotných osobních údajů nebo doba zpracování, není možné plnohodnotně splnit nejen samotnou povinnost vedení záznamů, ale ani další povinnosti. Subjektům údajů v takovém případě není poskytnuta plnohodnotná informace o zpracování jejich osobních údajů, neboť tato by měla ve smyslu čl. 13 Nařízení obsahovat i účely a právní základy zpracování ke všem činnostem zpracování, které se subjektu údajů týkají. Samotný správce údajů dostatečně transparentně neplní povinnost určit účel a prostředky zpracování osobních údajů, a není schopen plnohodnotně reagovat na požadavky subjektů údajů v rámci výkonu jejich práv (např. práva na přístup ke zpracovávaným osobním údajům, v rámci něhož má subjekt údajů právo být informován o účelech zpracování, kategoriích dotčených osobních údajů, době jejich zpracování apod.). Existence záznamů jakožto jediného přehledného zdroje, z něhož lze zjistit všechny relevantní informace, je v tomto ohledu více než nezbytná.
Stále se setkáváme s názorem klientů, že povinnost vedení záznamů na ně nedopadá, protože mají méně než 250 zaměstnanců. Je pravdou, že Nařízení v čl. 30 odst. 5 Nařízení stanoví obecné kritérium minimálně 250 zaměstnanců na to, aby na daný podnik nebo organizaci dopadala povinnost vedení záznamů o činnostech zpracování. Hned v téže větě však jsou jako výjimky z tohoto pravidla specifikovány situace, kdy musí záznamy o činnostech vést i organizace, které mají méně než 250 zaměstnanců – jednou z těchto výjimek je i případ, kdy zpracování není příležitostné. V běžných činnostech organizací snadno nalezneme případy zpracování, které z podstaty věci příležitostné být nemohou – takovou činností je zejména vedení personální agendy. Povinnost vést záznamy o činnostech zpracování tedy bude téměř vždy dopadat na zaměstnavatele, protože tito rozhodně nemohou jednotlivé evidenční povinnosti v rámci pracovněprávních vztahů plnit pouze příležitostně. Výjimku si lze představit např. u podnikatele – fyzické osoby, který pouze čas od času zaměstnává brigádníky. Nicméně u většiny zaměstnavatelů je minimálně personální činnost zcela pravidelná a konzistentní, proto se na ně aplikuje výjimka z kritéria počtu minimálně 250 zaměstnanců, a jsou tedy povinni záznamy vést bez ohledu na počet zaměstnanců.
Mnoho klientů záznamy zaměňuje s vnitřním předpisem týkajícím se ochrany osobních údajů. Koncepčně se přitom jedná o dva zcela odlišné typy dokumentace. Vnitřní předpis je dokumentací normativní povahy, která stanoví určitá interní pravidla týkající se ochrany osobních údajů, zejména co se týče výkonu práv ze strany subjektů údajů, bezpečnostních incidentů nebo vymezení kompetencí jednotlivých odpovědných osob. Oproti tomu záznamy mají dokumentární povahu, kdy zachycují určitý reálný stav, dokumentují existující činnosti zpracování, nestanoví však povinnosti odpovědným osobám nenormují vzorce chování. V rámci implementace GDPR mají oba druhy dokumentace svůj samostatný význam.
Problémy vyplývající ze souběhu ochrany osobních údajů s jinými právními předpisy
Stejně jako tomu bylo doposud, i za účinnosti Nařízení se ochrana osobních údajů úzce dotýká jiných právních předpisů, a nezřídka se stává, že se na tutéž povinnost vztahuje více předpisů najednou. Čistě teoreticky si právo s těmito problémy poradit dokáže (zejména klasifikací vzájemného vztahu obou kolidujících předpisů jakožto subsidiárních nebo speciálních), v praxi to ovšem tak jednoduché nebývá.
S problémem souběhu se setkáváme zejména v případě činností zpracování, jejichž právním základem je souhlas subjektu údajů (čl. 6 odst. 1 písm. a) Nařízení). Souhlas se zpracováním automaticky znamená i právo subjektu tento souhlas odvolat. Zaměstnavatelé často požadují možnost pořídit a použít fotografie nebo videozáznamy zaměstnanců pro marketingové účely (v rámci propagačních brožur, prezentací, nebo videí prezentovaných na internetových stránkách, veletrzích apod.). Zachycováním podoby a projevů zaměstnanců jsou dotčeny minimálně dvě skupiny práv – jednak práva osobnostní, upravená občanským zákoníkem, a jednak práva na ochranu osobních údajů, upravená Nařízením.
Občanský zákoník stanoví poměrně jasný a dlouhodobě osvědčený režim pro zachycování podoby člověka způsobem, umožňujícím určit jeho totožnost. Kromě výjimek typu úřední nebo zpravodajské licence lze takto se záznamem podoby člověka pořizovat a nakládat s ním pouze na základě jeho svolení. § 87 občanského zákoníku pak člověku stanoví možnost své svolení s použitím pořízených záznamů odvolat, a to i když bylo toto svolení uděleno pouze na určitou (rozuměj omezenou) dobu – v takovém případě, neodůvodňuje-li odvolání souhlasu podstatná změna okolností nebo jiný rozumný důvod, nahradí odvolávající osoba škodu, která z toho druhé osobě (v daném případě např. zaměstnavateli) vznikla. Z hlediska osobnostních práv jsou tedy jasně stanoveny důsledky, které bezdůvodné odvolání souhlasu pro člověka má – pokud tedy byly obrazové nebo audiovizuální záznamy zaměstnance zaměstnavatelem pořízeny a zpřístupněny veřejnosti v rozsahu krytém souhlasem, měl by zaměstnanec zaměstnavateli nahradit škodu, která mu vznikne v důsledku nutnosti vytvořit záznamy nové (jiného zaměstnance) a použít je pro stejný účel. Práva člověka a práva subjektu pořizujícího a užívajícího záznam jsou tedy touto formou do jisté míry vyvážena.
Tatáž situace z pohledu ochrany osobních údajů však vypadá poněkud odlišně. Marketingové užití obrazových a audiovizuálních záznamů osoby (např. zmíněného zaměstnance) je nutno standardně považovat za činnost zpracování osobních údajů, k níž je zapotřebí souhlas subjektu. Nařízení stojí na principu, že souhlas se zpracováním osobních údajů musí být nejen aktivně udělený, doložitelný, srozumitelný a snadno přístupný, ale hlavně odvolatelný. Správce osobních údajů provádějící zpracování na základě souhlasu musí být vždy připraven na situaci, že subjekt údajů souhlas odvolá. Odvolání souhlasu musí být stejně snadné jako jeho udělení, přičemž platí pravidlo, že odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.
Správce tedy musí subjektu údajů poskytnout bezplatnou a jednoduchou možnost odvolání souhlasu, kterou nesmí podmiňovat žádným protiplněním, sankcí apod. Pravidlo, že odvoláním souhlasu není dotčena zákonnost zpracování k němuž došlo před jeho odvoláním, je podle stanoviska Sboru pro ochranu osobních údajů nutno chápat tak, že všechny operace zpracování údajů, jež byly na souhlasu založeny a konaly se před odvoláním souhlasu je nutno považovat za zákonné, avšak na základě odvolání je správce povinen tyto operace zastavit. Chybí však jakákoli zmínka o odpovědnosti subjektu údajů za bezdůvodné odvolání souhlasu. Právo subjektu údajů na odvolání souhlasu se zpracováním je dle Nařízení bezpodmínečné a ničím neomezené.
Výsledkem tedy je, že v téže situaci se zaměstnavatel řídí jednak podle občanského zákoníku, který mu v případě odvolání souhlasu dává možnost alespoň částečné kompenzace vynaložených nákladů, a který dává jednání zaměstnance určité mantinely, na druhou stranu se musí řídit zároveň Nařízením, které zaměstnanci jakožto subjektu údajů nestanoví mantinely žádné. Mezi oběma předpisy není dán vztah speciality, kdy by bylo možno říci, že se lze přednostně řídit pouze jedním z nich (Nařízením), protože upravuje speciálně určitou problematiku, kterou druhý předpis (občanský zákoník) upravuje pouze v obecné rovině. V otázce odvolání souhlasu mezi nimi není dán ani vztah subsidiarity, kdy by se zase jeden předpis mající obecnější povahu (občanský zákoník) použil proto, že ten druhý, konkrétnější, danou problematiku neupravuje. Oba předpisy upravují tutéž problematiku rovnocenně, každý ze svého pohledu.
Pokud zaměstnanec v odvolání souhlasu výslovně uvede jeden nebo druhý právní základ svého postupu, pak má zaměstnavatel situaci zjednodušenou alespoň tím, že nemusí řešit, podle kterého právního předpisu při odvolání postupovat. Pokud to však zaměstnanec neuvede a třeba ani uvést nechce, pak by měl zaměstnavatel postupovat tak, aby neporušil ani jeden z relevantních předpisů. Lze se ptát, zda v takové situaci musí být zaměstnavatel připraven zanechat užívání obrazových nebo audiovizuálních záznamů zaměstnance, pořízených s jeho souhlasem, a to skutečně bez jakékoli náhrady nebo omezení vůči němu, byť se vedle osobních údajů takový požadavek z podstaty věci týká i osobnostních práv? A lze říci, že výkon práv zaměstnance dle Nařízení se nijak nedotýká jeho práv a povinností dle občanského zákoníku? Vzájemná nezávislost obou předpisů by takovému závěru nasvědčovala, a považujeme za vhodné o právech zaměstnavatele podle občanského zákoníku zaměstnance informovat v příslušném souhlasu nebo dokumentu, který je zaměstnanci v souvislosti s udělením souhlasu poskytován.
Lze očekávat, že správci osobních údajů se přirozeně budou snažit hledat jiné právní základy pro zpracování, než je souhlas (což lze jedině doporučit – takovým právním základem může v některých situacích být například plnění smlouvy uzavřené se subjektem údajů). Avšak tam, kde to nebude možné, budou správci muset kalkulovat s nemalým rizikem nákladů, vzniklých v důsledku odvolání souhlasu ze strany subjektu údajů.
Závěr
Výše uvedené zkušenosti jsou pouze zlomkem z postřehů, které jsme v rámci implementace GDPR učinili, a problémů, které nová právní úprava skýtá v praxi. V dalším článku se budeme věnovat dalšímu problému, kterým je kvalifikace poskytovatelů supportních služeb v IT jakožto zpracovatelů osobních údajů.
Poznámka:
Tento článek byl publikován v čísle 11/2018 časopisu IT Systems.
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.