NOVÉ POVINNOST V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ | Advokátní kancelář Praha 1 | Macek Legal | právní služby & advokát

NOVÉ POVINNOST V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Úvodem

Po mnoho let trvajících jednáních přijal Evropský parlament a Rada Evropské unie nařízení č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů) (dále „Nařízení“), které vešlo v platnost dne 24. 5. 2016, přičemž osoby, na něž dopadá povinnost řídit se tímto ustanovením, se musí nově zavedeným pravidlům přizpůsobit nejdéle do 25. 5. 2018 kdy se Nařízení stane účinným v celé Evropské unii. Ačkoli se může zdát, že na zavedení změn je nepřeberné množství času, opak je pravdou a podnikatelé by se na účinnost tohoto Nařízení měli začít připravovat co nejdříve. Při nedodržení povinností, které nařízení o ochraně osobních údajů zavádí, hrozí pokuta až do výše 20 mil. EUR nebo až 4 % celkového ročního světového obratu.

Současný stav

Na evropské úrovni je ochrana osobních údajů upravena směrnicí č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, nicméně úprava na úrovni národní je značně nesourodá.

V současné době je oblast ochrany osobních údajů v ČR upravena zejména zákonem č. 101/2001 Sb., o ochraně osobních údajů (dále „zákon o ochraně osobních údajů“), který vymezuje a popisuje základní pojmy, působnost zákona, práva a povinnosti při zpracování osobních údajů, povinnost likvidace osobníc údajů, ochranu práv subjektů údajů a předávání osobních údajů do dalších států. Dále byl tímto zákonem zřízen Úřad pro ochranu osobních údajů mající pravomoci správního orgánu. Povinnosti při zabezpečení osobních údajů při jejich zpracovávání jsou vyjmenovány v § 13 odst. 1 zákona o ochraně osobních údajů, přičemž tyto jsou popsány pouze velmi obecně. Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Opatření přijatá pro ochranu a zabezpečení osobních údajů jsou tedy odlišná u každého správce, a to v závislosti na několika faktorech, zejména na charakteru zpracování osobních údajů, rozsahu jejich zpracování atd. Rozsah opatření v návaznosti na všechna možná rizika je však správce povinen posuzovat sám, přičemž § 13 odst. 3 zákona o ochraně osobních údajů poskytuje základní, nikoli však konečný, výčet oblastí, na něž by se měl správce zaměřit, tj. a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

Účinností nařízení se rozsah povinností poněkud pozmění.

Nové povinnosti a okruh dotčených subjektů

Jak výše uvedeno, úprava ochrany osobních údajů je v současné době poměrně různorodá, avšak s účinností Nařízení, které je přímo aplikovatelné, dojde ke sjednocení právní regulace ochrany osobních údajů ve všech členských státech EU. Nařízení na evropské úrovni zavádí některé povinnosti, kterou jsou v našem právním prostředí, díky zákonu o ochraně osobních údajů, již známé. Kupříkladu možnost zpracovávání údajů pouze na základě souhlasu subjektu údajů či na základě jiného legitimního důvodu, např. pokud je zpracování údajů nutné pro splnění závazků ze smlouvy apod. je povinností, kterou Nařízení zavádí, nicméně v našem právním řádu je tato povinnost zakotvena již v současné době. Dle Nařízení též zůstává povinnost předem informovat subjekt údajů o zpracování údajů a o jeho právech.

Stejně jako dnes, je třeba, aby souhlas udělovaný ke zpracování osobních údajů, byl učiněn svobodně, určitě, vážně, informovaně a jednoznačně. Podle Nařízení je však třeba, aby žádost o vyjádření souhlasu se zpracováním osobních údajů byla formulována srozumitelně a za použití jasných a jednoduchých jazykových prostředků, navíc pokud budou osobní údaje zpracovávány pro marketingové účely, musí mít subjekt údajů kdykoli možnost bezplatně vznést námitku proti zpracování, a to v rozsahu, v němž zpracování souvisí s daným marketingem. V souhlasu se zpracováním údajů musí být subjekt údajů na toto své právo výslovně a zřetelně upozorněn.

V případě, že se osobní údaje zpracovávají automatizovaně, měly by mít subjekty údajů právo získat osobní údaje, které se jich týkají a jež poskytli správci, a to ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu, aby je mohli předat jinému správci. Vzhledem k povaze tohoto práva, by však nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci.

 

Změny dozná též úprava smlouvy o zpracování osobních údajů, kterou je povinen uzavřít správce údajů se zpracovatelem, jemuž údaje předal ke zpracování. Změní se kromě jejích povinných náležitostí i forma této smlouvy, na rozdíl od zákona o ochraně osobních údajů totiž Nařízení nepředepisuje písemnou formu této smlouvy a v tomto směru naopak úpravu zmírňuje, když umožňuje její uzavření i v elektronické podobě bez zaručeného elektronického podpisu.

S účinností nařízení taktéž odpadne povinnost registrace u příslušného dozorového orgánu, avšak místo ní budou správci, či případní zástupci, povinni vést záznamy o veškerých činnostech zpracování údajů, za které nesou odpovědnost. Správci budou též povinni ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení údajů, a to do 72 hodin od okamžiku, kdy se o takové skutečnosti dozvědí, ačkoli z této povinnosti existuje výjimka, konkrétně případ, kdy by incident neznamenal riziko pro práva a svobody subjektů údajů.

V neposlední řadě dojde též k rozšíření definice osobních a citlivých údajů, za citlivá se nyní budou považovat i genetická a biometrická data. Za osobní údaje budou v případě, že na základě nich bude možné identifikovat konkrétní osobu, považovány taktéž některé síťové identifikátory, např. IP adresa nebo cookies.

 

Poměrně silným právem subjektů údajů, které bude výslovně zakotveno v Nařízení, bude právo být zapomenut, na jehož základě se může subjekt údajů domáhat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se jej týkají.

Pro transfer osobních údajů v rámci Evropské unie zůstávají pravidla víceméně stejná. Mimo státy Evropské unie lze údaje předávat, pouze pokud Evropská komise rozhodla, že určená země splňuje danou úroveň ochrany osobních údajů, přičemž již od rozsudku Soudního dvora EU ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner ze 6. října 2015, nelze údaje bez dalšího předávat do USA.

Pověřenec pro ochranu osobních údajů

Institut, který zavádí Nařízení v kontextu ostatních států Evropské unie ničím zásadně přelomovým, některé státy totiž povinnost jmenovat osobu, jejímž úkolem je dohlížet na ochranu osobních údajů mají ve svých právních řádech zakotvenu již nyní, jako např. Německo.

Povinnost jmenovat správce se podle Článku 37 odst. 1. Nařízení bude na subjekty vztahovat, jestliže a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. Článek 37 odst. 4. Nařízení pak ještě rozšiřuje povinné subjekty o další, jejichž povinnost plyne z práva Evropské unie či z práva členského státu.

Bez jakýchkoli pochybností lze shrnout, že povinnými subjekty budou orgány veřejné moci či veřejný subjekt, které, resp. který, provádí zpracování osobních údajů. V případě Článku 37 odst. 1 písm. b. a c. však již tak jasná situace není, když zákonodárce užil poněkud vágních pojmů, jako „hlavní činnost“ a „rozsáhlé zpracování“.

 

Z výkladových stanovisek Pracovní skupiny pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů (dále „pracovní skupina“), z nichž jedno podrobněji pojednává taktéž o institutu pověřence pro ochranu osobních údajů, a to konkrétně tzv. „Pokyny k pověřenci pro ochranu osobních údajů“, je patrno, že za „hlavní činnosti“ správce či zpracovatele by měly být považovány činnosti související se základními a provozními činnostmi – tedy předmětem podnikání. Jestliže je tedy zpracování osobních údajů prováděno v rámci pomocné činnosti pro dosahování hlavních cílů, resp. při naplňování hlavního předmětu činnosti (např. evidence kontaktních údajů zaměstnanců za účelem možnosti vyplácet jim mzdy). Naopak tuto povinnost budou mít společnosti, u nichž je zpracování údajů neoddělitelně spjato s jejich činností a mělo by být proto považováno za hlavní činnost (např. zpracovávání zdravotních údajů pacientů posuzuje pracovní skupina pro ochranu osobních údajů jako hlavní činnost nemocnice).

 

Pojem „rozsáhlý“ pracovní skupina doporučuje zejména zvažovat, jaké množství údajů zpracovává, jaká je doba trvání zpracovávání osobních údajů, případně též velikost území, z něhož pochází osobní údaje. Jedním z příkladů rozsáhlého zpracování může být podle pracovní skupiny zaměřování reklamy na základě chování při používání vyhledávacích nástrojů.

 

Pravidelné a systematické monitorování“ dle pracovní skupiny zahrnuje všechny formy sledování a profilování na internetu, včetně využití pro účely behaviorální reklamy. Tento pojen se nevztahuje pouze na monitorování v online prostředí, nýbrž i další monitorování subjektů údajů, monitorování online by mělo být bráno jen jako jeden z příkladů monitorování subjektů údajů. Za „pravidelné“se má dle skupiny takové zpracování, které je a) průběžné nebo v pravidelných intervalech a po určitou dobu se opakující, popř. b) stále se opakující nebo opakované ve stanoveném čase, či c) neustále nebo pravidelně se vyskytující.

 

Slovo „systematický“ vykládá pracovní skupina jednou nebo kombinací následujících charakteristik: a) vyskytující se podle určitého systému, b) přednastavený, organizovaný nebo metodický, c) uskutečňující se jako součást obecného plánu pro sběr dat, d) vykonávaný jako součást strategie. Příkladem činností, které mohou být hodnoceny jako pravidelné a systematické monitorování subjektů údajů mohou být například provozování telekomunikační sítě, cílení internetové reklamy pomocí emailu, marketing řízený daty, sledování polohy např. u mobilních aplikací, věrnostní programy, sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení, kamerové systémy, chytrá auta, inteligentní domy atd.

Jak je vidno, škála charakteristik, při jejichž splnění vzniká povinnost jmenovat správce osobních údajů je poměrně široká a povinnost jmenovat správce se proto dotkne značného množství subjektů. V souladu s doporučením pracovní skupiny je žádoucí, aby každý zpracovatel, který pověřence nejmenuje, měl připraveno jakési stanovisko, popř. odůvodnění, na základě něhož/nichž se domnívá, že nenaplňuje podmínky Nařízení pro jmenování pověřence.

Hrozící sankce

Jak již zmíněno v úvodu tohoto článku, na realizaci změn a zapracování příslušných systémových úprav není až tak moc času, jak by se mohlo zdát. Z porušení povinností mohou osobám zpracovávajícím osobní údaje vyplynout nemalé problémy, když příslušný orgán dozoru bude mít oprávnění udělit pokutu až do výše 10 milionů eur nebo až 2 % celkového ročního světového obratu (např. při nejmenování pověřence pro ochranu osobních údajů) popř. dokonce až do výše 20 mil. eur či 4 % celkového ročního světového obratu při závažnějším porušení povinností.

 Závěr

Značně vysokým sankcím lze předejít důslednou aktualizací existující smluvní dokumentace (smlouvy se zákazníky, smlouvy o zpracování osobních údajů, interní předpisy apod.) a taktéž řádným evidováním informací o všech zpracovávaných údajích.

 

 

Mgr. Vít Hruška

advokátní koncipient | macek | legal

Haštalská 1072/6, Praha 1 –Staré Město, 110 00

www.maceklegal.cz | T: 604 873 614 | E: hruska@maceklegal.cz

 

Napište nám