GDPR – Obecné nařízení o ochraně osobních údajů

Otázka ochrany osobních údajů se v posledních týdnech dostává do popření zájmu nejen médií, ale též odborné veřejnosti. Důvodem je nařízení Evropského parlamentu a Rady Evropské unie č. 2016/679 ze dne 4.5.2016 označované zkratkou GDPR z anglického zkráceného názvu General Data Protection Regulation. GDPR nabude účinnosti dne 25.5.2018, dnes tedy již uplynula téměř polovina stanovené legisvakační lhůty.

Účinnost byla Evropskou unií odložena o celé dva roky z toho důvodu, že toto nařízení unifikující ochranu osobních údajů ve všech členských státech EU zavádí řadu nových institutů a požadavků na každého, kdo pracuje s osobními údaji jiných osob. Jelikož těmto regulím byla dána forma nařízení, které je přímo aplikovatelné, budou se všechny subjekty povinny řídit přímo tímto unijním předpisem a nebude prováděna jejich transpozice vydáním českého zákona. Nařízení téměř zcela nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů, když tento bude nadále upravovat jen postavení a organizaci Úřadu pro ochranu osobních údajů a pár dílčích otázek svěřených nařízením výslovně do pravomoci parlamentů dílčích států. Bude tedy nutno zákon č. 101/2000 Sb. novelizovat, příslušné ministerstvo však práce na novelizujícím předpisu dosud nezahájilo.

Pokud se jedná o vymezení, co se rozumí osobním údajem, je tato definice obsahově téměř shodná se současnou definicí v zákoně č. 101/2000 Sb., neboť již dnes jsou dle stanovisek ÚOOÚ za osobní údaj považovány i např. IP adresa, cookies, e-mailové adresy obsahující jméno osoby atd. Stejně tak je u vybraných údajů vyžadován přísnější režim ochrany, dle zákona byly tyto údaje nazývány citlivými údaji, do budoucna budou označovány jako zvláštní kategorií údajů. Obsahově je i tato množina údajů bez mála shodná. Nic se neměnní též na principu odvolatelnosti souhlasu se zpracováním OÚ, nově však již nařízení klade důraz na srozumitelnost komunikace a tyto souhlasy tak již nemohou být součástí všeobecných obchodních podmínek.

Nařízení zakotvuje řadu samoregulačních institutů, které jsou běžné například v německém právním prostředí, jako jsou osvědčení o ochraně OÚ, pečetěznámky dokládající ochranu OÚ, kodexy chování správců OÚ atd. Způsob vydávání a akreditace kodexů chování a osvědčení má dle nařízení upravit členský stát, je tak třeba vyčkat na novelu zák. č. 101/2000 Sb.

Nařízení zrušuje registrační povinnost správců OÚ, namísto toho však ukládá povinnost vést záznamy o činnostech zpracování ve vymezeném rozsahu. K tomu se přidává v případě pochybení je to správce a zpracovatel OÚ, kdo je povinen doložit plnění povinností vyplývajících z nařízení, rozhodně nelze spoléhat na „presumpci neviny“.

Úroveň zabezpečení OÚ musí u každého správce či zpracovatele odpovídat rizikovosti zpracování , v případě vysokého rizika zpracování pro práva a svobody  fyzických osob bude pak nutné dle nařízení provádět analýzu rizik. ÚOOÚ by měl dle nařízení sestavit seznam druhů operací, které podléhají požadavku analýzy rizik, dosud zveřejněn nebyl.

Novinkou je též ohlašovací povinnost v případě, že správce zjistí  porušení zabezpečení OÚ. Tento princip byl v českém prostředí dosud zakotven jen v oblasti telekomunikací, nyní se stává univerzálním principem. Bude jistě zajímavé sledovat odbornou debatu ohledně kolize tohoto nového institutu se základní zásadou právní zákazu sebeobvinění.

Jednou z nejvýraznějších změn pak je povinnost vybraných správců ustavit novou funkci pověřence pro ochranu osobních údajů. Nařízení přesně vymezuje kvalifikační požadavky na tuto osobu, na druhou stranu zatím není upravena žádná povinnost ověřování nebo zkoumání naplnění těchto předpokladů. Nařízení klade důraz na jistou autonomii této funkce a zakazuje možný střet zájmů. Osoba na této pozici by měla mít přístup k OÚ  a k procesům jejich zpracování, mohou se na něj obracet subjekty OÚ, monitoruje zpracování, poskytuje správcům poradenství a současně spolupracuje ÚOOÚ či příslušným dozorovým orgánem. Funkci pověřence tak rozhodně nemohou vykonávat personalisté či IT specialisté, kteří OÚ zpracovávají, ani osoby jim podřízené. V čl. 37 odst. 1 GDPR jsou vymezeny tři okruhy správců OÚ, kteří budou povinni tuto novou funkci zřídit, jsou jimi například orgány veř. moci, obce, nemocnice, banky, podnikatelé v oblasti telekomunikací atd. Evropská komise vydala k tomuto ustanovení již výkladové stanovisko, v tuto chvíli je prováděn jeho odborný překlad ÚOOÚ.

Ze shora uvedeného je zřejmé, že téměř každého našeho klienta čeká realizace řady změn v souvislosti s účinností GDPR na jaře příštího roku. Novou legislativu naše kancelář intenzivně studuje, stejně jako sleduje dění a odbornou diskuzi s tímto spojené, abychom mohli našim klientům včas poskytnout potřebné informace. Byť se odborná diskuze teprve rozvíjí a řadu otázek nelze bez legislativní činnosti českého zákonodárce a ÚOOÚ zodpovědět, je nejvyšší čas na zahájení přípravy na implementaci nutných změn.

Klientům v tuto chvíli doporučujeme, aby provedli zmapovali a analyzovali současný stav zpracování osobních údajů, které u nich probíhá. Je třeba tak zmapovat databáze zákazníků a zaměstnanců, automatizované zpracování dat, prováděné profilování zákazníků, rozsah zpracovávaných údajů atd. Rovněž je nutno analyzovat, proč jsou ty které údaje zpracovávány a zda je jejich zpracování nutné pro realizaci zakázky, poskytnutí služby nebo pro plnění zákonem uložených povinností (lze s nimi pracovat bez souhlasu) anebo zda je zpracování prováděno nad rámec základního účelu poskytnutí, a nelze tak činit bez souhlasu se zpracováním osobních údajů. Z této analýzy poté budeme vycházet při individuálním poradenství klientům ohledně nutných změn v procesech zpracování osobních údajů.

 

autor: Mgr. Martina Sedlářová