GDPR

Vedle GDPR je oblast ochrany osobních údajů na unijní úrovni upravena dalšími dvěma směrnicemi Evropského parlamentu a Rady, pro potřeby tohoto článku není třeba je blíže definovat.

Tato právní úprava bývá zpravidla označována jako revoluční. Ve skutečnosti však GDPR kontinuálně navazuje na úpravu stávající, zakotvenou směrnicí 95/46/ES, kterou nahrazuje. Kontinuita právní úpravy je vyjádřena tím, že GDPR používá téměř shodné definice stěžejních pojmů a vychází i z obdobných zásad zpracování osobních údajů. GDPR zejména rozvádí a konkretizuje právní úpravu stávajících povinností správců a zpracovatelů a práv subjektů údajů, současně však přináší některé nové povinnosti a práva, o nichž bude pojednáno dále. 

Ve vztahu k zákonu č. 101/2000 Sb., o ochraně osobních údajů, nahradí GDPR podstatnou část jeho ustanovení. Po novele bude zákon upravovat již jen ustavení a organizaci Úřadu pro ochranu osobních údajů jako dozorového úřadu, popřípadě dílčí oblasti ochrany osobních údajů, které GDPR umožňuje upravit v právních řádech jednotlivých členských států nebo takovou vnitrostátní úpravu přímo ukládá. V této souvislosti je vhodné poznamenat, že delegací oprávnění k úpravě některých institutů na členské státy současně GDPR částečně oslabuje možnost dosažení jednoho ze svých hlavních cílů vyložených níže, kterým je sjednocení nejednotné právní ochrany osobních údajů na území EU.  

Definice pojmů

Pro účely tohoto článku považuji za vhodné vymezit některé definice pojmů, s nimiž bude dále pracováno a jež jsou popsány v čl. 4 GDPR:

Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů, jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; zpracovatel je tedy zpracovatelem pouze ve vztahu k osobním údajů poskytnutým správcem, nikoliv osobních údajů, které zpracovává pro své vlastní účely.

Zpracováním je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě, dále jen „subjekt zájmů“. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Zvláštní kategorie osobních údajů, upravené v článku 10 GDPR, vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, dále jsou to genetické údaje, biometrické údaje a údaje o zdravotním stavu či sexuální orientaci fyzické osoby. Dříve byly tyto údaje označovány za citlivé (zákon č. 101/2000 Sb., o ochraně osobních údajů).

Principy GDPR

GDPR je založeno na dvou základních přístupech, a to na:

• Principu odpovědnosti správce za dodržení zásad zpracování, kterými jsou dle čl. 5 odst. 1 GDPR korektnost, zákonnost a transparentnost zpracování, účelové omezení možnosti shromažďování osobních údajů, minimalizace rozsahu zpracování ve vztahu k účelu, zpracování přesných a aktualizovaných údajů, omezení doby uložení údajů a integrita a důvěrnost zpracování (náležité zabezpečení osobních údajů); správce musí být současně schopen doložit soulad zpracování s těmito zásadami, k čemuž mu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování. Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže by zpracování, které provádí, představovalo riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.
• Principu rizika, kdy správce od samého počátku zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.

Všechny zásady zpracování osobních údajů vyjmenované v bodě 1) jsou obsaženy ve stávající právní úpravě a nepředstavují tedy žádnou novinku. Nově je však vymezena odpovědnost správce za jejich dodržování a jeho povinnost doložit soulad jím prováděného zpracování s těmito zásadami. Odpovědnosti přitom správce nezbavuje ani povinné či dobrovolné ustavení pověřence pro ochranu osobních údajů.  

Cíle GDPR

Základním cílem GDPR je překlenutí současné nejednotnosti právní úpravy ochrany osobních údajů v jednotlivých členských státech EU a přizpůsobení právní úpravy společenskému a zejména technologickému vývoji představovanému rozvojem digitalizace a prostředí internetu, které mění způsoby shromažďování a využívání dat včetně osobních údajů. Jednotnosti právní úpravy má být dosaženo zejména tím, že pro novou právní úpravu je použita forma přímo aplikovatelného nařízení namísto dříve použité směrnice 95/46/ES, jež vyžadovala následnou implementaci do právních řádu jednotlivých členských států.

Dalším z cílů GDPR je posílení práv subjektů údajů, čehož má být dosaženo podrobnější a konkretizovanou úpravou nástrojů, které již v současně úpravě existují a dále zakotvením nástrojů zcela nových.  

Nové povinnosti správců a zpracovatelů

GDPR stanovuje nové povinnosti správců osobních údajů, avšak základní zásady, principy a instrumenty zůstávají neměnné. Zavedení nových povinností reaguje na zvýšená rizika pro práva a svobody subjektů údajů v digitálním prostředí. 

Novými povinnostmi správců nebo zpracovatelů jsou:

• povinnost vést záznamy o činnostech zpracování,
• posuzovat vliv zpracování na ochranu osobních údajů, a to v případě, kdy je pravděpodobné, že určitý druh zpracování s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob; posouzení provádí buď správce na začátku zpracování nebo si vyžádá posudek od pověřence pro ochranu osobních údajů,
• provádět konzultace s dozorovým orgánem,
• ohlašovat případy porušení zabezpečení osobních údajů dozorovému orgánu, kterým bude pro Českou republiku Úřad pro ochranu osobních údajů,
• oznamovat případy porušení zabezpečení osobních údajů subjektu údajů,
• ustavit pověřence pro ochranu osobních údajů.

Popsané povinnosti budou povinni plnit nejen správci a zpracovatelé se sídlem nebo provozovnou na území Evropské unie, ale všechny osoby, které budou nakládat s osobními údaji subjektů, které se nacházejí na území EU.

Z principu odpovědnosti správce popsaného výše vyplývá povinnost správce zavést, revidovat, popř. aktualizovat vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování údajů je prováděno v souladu s GDPR. S principem odpovědnosti souvisí také povinnost zajistit odpovídající zabezpečení zpracování osobních údajů s přihlédnutím k rizikům zničení, pozměnění, neoprávněného zpřístupnění údajů atp.

V případě, že dojde k porušení zabezpečení osobních údajů, je správce povinen bez zbytečného odkladu, nejpozději do 72 hodin, takovou skutečnost ohlásit dozorovému orgánu. Splní-li správce ohlašovací povinnost až po uvedené lhůtě, je současně povinen sdělit důvod prodlení. Pokud je pravděpodobné, že porušení zabezpečení údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce povinen takové porušení oznámit mimo dozorového orgánu i dotčenému subjektu údajů.

Pověřenec pro ochranu osobních údajů

Samostatnou pozornost zaslouží nově zřizovaný institut pověřence pro ochranu osobních údajů, který má napomáhat zajišťování souladu zpracování údajů s GDPR. Pověřence nemusí jmenovat povinně všichni správci a zpracovatelé, ale pouze ti, které GDPR vymezuje takto:

• orgány veřejné moci či veřejné subjekty (s výjimkou soudů),
• správci a zpracovatelé, jejichž hlavní činnost spočívá v operacích vyžadujících rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
• správci a zpracovatelé, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů,
• správci a zpracovatelé, jimž to ukládá vnitrostátní právní předpis.

Výkladem pojmů použitých pro stanovení okruhu povinných organizací lze dospět k závěru, že mezi správce a zpracovatele, jež jsou povinni ustanovit pověřence pro ochranu osobních údajů, budou patřit mimo jiné i nemocnice, poskytovatelé telekomunikačních služeb, poskytovatelé věrnostních programů, úvěrové společnosti (z důvodu prověřování žadatelů úvěru za účelem zhodnocení úvěrového rizika). Za rozsáhlé pravidelné a systematické monitorování subjektů lze dále považovat např. i pořizování kamerových záznamů. Blíže se vymezením těchto subjektů, jakož i podrobnějším definováním dalších institutů GDPR zabývá Pracovní skupina pro ochranu dat a soukromí.

Ostatní správci a zpracovatelé mohou ustanovit pověřence dobrovolně. GDPR současně umožňuje, aby skupina podniků jmenovala jediného pověřence, a to za předpokladu, že tento pověřenec bude snadno dosažitelný z každého podniku.

Co se týká kvalifikačních předpokladů pro výkon funkce pověřence, požaduje GDPR určité profesní kvality této osoby, zejména odbornou znalost práva a praxe v oblasti ochrany údajů a schopnost plnit úkoly pověřence stanovené GDPR. Z uvedeného tedy nevyplývá, že by pověřencem musel být jen kvalifikovaný právník, pověřence však bude vhodné zvolit s ohledem na převažující způsob zpracování osobních údajů.

Forma vztahu mezi správcem nebo zpracovatelem a pověřencem není jednoznačně předepsána, GDPR připouští, aby pověřenec byl zaměstnancem správce nebo zpracovatele (v tomto případě by dle mého názoru bylo složité dodržet požadovanou nezávislost pověřence), možná je ale i spolupráce na základě smlouvy o poskytování služeb.

Správce nebo zpracovatel jsou zejména povinni poskytovat pověřenci zdroje nezbytné k plnění jeho úkolů, k přístupu k osobním údajům a operacím zpracování a jsou povinni zajistit pověřencovu nezávislost tím, že pověřenec nesmí dostávat žádné pokyny týkající se plnění jeho úkolů, je podřízen pouze vrcholovým řídícím pracovníkům a nesmí být v souvislosti s plněním svých úkolů sankcionován nebo propuštěn.

Úkolem pověřence je poskytovat správci, zpracovateli a jejich zaměstnancům informace a poradenství týkající se plnění jejich povinností stanovených GDPR, monitorovat soulad plnění povinností při zpracování údajů s právními předpisy na ochranu osobních údajů, poskytování poradenství týkající se posouzení vlivu na ochranu osobních údajů a spolupráce s dozorovým úřadem.

Další povinností pověřence je také být k dispozici subjektům údajů, kteří se mohou na pověřence obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejích práv dle GDPR. Jak již však bylo uvedeno, pověřenec nenese osobní odpovědnost za dodržování GDPR, tato odpovědnost vždy tíží správce a zpracovatele.

Práva subjektů údajů

Práva subjektů údajů vymezují články 12 až 22 GDPR, zejména je subjektům přiznáno právo na:

1. přístup k osobním údajům,
2. opravu nepřesných osobních údajů a na doplnění neúplných osobních údajů,
3. výmaz osobních údajů, tzv. právo být zapomenut,
4. omezení zpracování údajů ve vymezených případech,
5. přenositelnost údajů a právo předat tyto údaje jinému správci bez možnosti správce tomu bránit,
6. vznesení námitky proti zpracování osobních údajů, které se subjektu týkají.

Práva subjektů popsaná pod body 1 až 4 vycházejí ze stávající právní úpravy, resp. nyní explicitně vyjádřené oprávnění dříve dovodil ve své rozhodovací činnosti Soudní dvůr EU. Právo vznést námitku je modifikací současného oprávnění odvolat souhlas se zpracováním osobních údajů a vede ke stejnému výsledku. Jediným zcela novým právem je právo na přenositelnost údajů, které reaguje na potřebu posílení pozice subjektu údajů.

Závěr

Z výše uvedených skutečností vyplývá, že pokud organizace, jako správci osobních údajů, zpracovávaly osobní údaje v souladu s povinnostmi stanovenými zákonem č. 101/2000 Sb., o ochraně osobních údajů, a směrnicí 95/46/ES, neměla by pro ně implementace GDPR představovat výraznější problém. Lze však jednoznačně doporučit, aby správci a zpracovatelé využili období do nabytí účinnosti tohoto nařízení, tedy období do 25. května 2018, k provedení interního auditu v oblasti nakládání s osobními daty a případně k nápravě nedostatků v této oblasti.