Základní příručka
1. Obecné nařízení
Co znamená obecné nařízení o ochraně osobních údajů?
Obecné nařízení představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, který v současné době stanovuje povinnosti a práva při zpracování osobních údajů.
V souvislosti s nutností adaptovat český právní řád na obecné nařízení vyvstane nutnost upravit některé dílčí aspekty nezbytné k dotvoření celého rámce ochrany osobních údajů na zákonné úrovni. Je to z toho důvodu, že obecné nařízení například umožňuje, aby se v jím definovaných případech členský stát odchýlil od úpravy v obecném nařízení nebo dokonce i stanovuje, že některé aspekty mají být upraveny ve vnitrostátním právu členského státu. Nepůjde již ale o svébytný zákon, ale jen o doplňkový k obecnému nařízení, dotvářející komplexní úpravu ochrany osobních údajů při jejich zpracování a to např. i v oblasti zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti atd. Návrh adaptačního zákona je již v legislativním procesu a je dostupný veřejnosti.
Charakteristická pro obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norsku a Lichtenštejnsku) a tudíž i sjednocující účinek právní úpravy, jelikož jednotná pravidla pro zpracování osobních údajů budou platit v každém státě EU a v předchozí větě třech vyjmenovaných. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí obecného nařízení.
Celý název předpisu je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Anglická zkratka obecného nařízení, se kterou se lze setkat v odborných textech
či hovoru, je GDPR (z anglického názvu General Data Protection Regulation).
Proč muselo dojít k revizi právního rámce ochrany osobních údajů?
K revizi bylo přikročeno z toho důvodu, že současný právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami let (např. v oblasti profilování, automatizace zpracování osobních údajů atd.) a tudíž je i rizikovější pro práva a svobody fyzických osob. Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích činilo problémy.
Cílem obecného nařízení je tedy přizpůsobení právního rámce ochrany osobních
údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na
které dopadá, posílení práv subjektů údajů a v neposlední řadě je snahou
dosáhnout sjednoceného výkladu obecného nařízení a dozoru jednotlivými
dozorovými úřady.
Je obecné nařízení revolucí, tak jak jsem o něm několikrát slyšel hovořit?
V základních bodech obecné nařízení není revolucí, jelikož jde o kontinuitu se zmíněnou Směrnicí 95/46/ES, která jím bude zrušena. Je nutné si uvědomit, že od roku 2000 upravuje zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vychází ze zmíněné směrnice. Každá organizace by již tedy měla zpracovávat osobní údaje podle tohoto zákona. Za revoluci bychom mohli označit pouze přímou použitelnost obecného nařízení, což vyplývá z jeho charakteru, jakožto nařízení.
Obecné nařízení nemění základní zásady zpracování osobních údajů či základní pojmy jako jsou např. osobní údaj, subjekt údajů, správce, zpracovatel či zpracování. Nerozšiřuje ani svoji působnost oproti současné právní úpravě. Pro některá zpracování, resp. subjekty, však klade vyšší nároky při zpracování osobních údajů. Typicky jde o velké správce osobních údajů typu bank, telekomunikačních operátorů atd., tj. pro správce, kteří zpracovávají rozsáhlé množství osobních údajů a které je současně ze své podstaty rizikové pro práva a svobody subjektů údajů, tedy fyzických osob, o nichž jsou osobní údaje zpracovávány.
Na druhou stranu pro drobné živnostníky apod., kteří de facto zpracovávají
osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku,
nepřináší obecné nařízení zásadní změny oproti stávající úpravě a v takových
případech je nutné zejména sledovat dodržování základních zásad zpracování.
S nařízením jsem nikdy nepracoval, má nějaké zvláštnosti?
Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují práva a povinnosti a. Jistou zvláštností nařízení je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a jsou v některých případech výkladem či do jisté míry důvodovou zprávou k vlastnímu textu nařízení. Je tak vhodné při práci s nařízením sledovat i příslušné recitály.
Dále je nutné vzít v potaz, že celý právní rámec bude dotvářet adaptační zákon,
který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k obecnému
nařízení. Kompletní právní rámec ochrany osobních údajů tak bude tvořen obecným
nařízením a adaptačním zákonem.
Co znamená datum použitelnosti obecného nařízení?
Použitelnost znamená jinými slovy účinnost obecného nařízení, tedy datum, od kdy
se obecné nařízení začne používat neboli aplikovat.
Byť je obecné nařízení v
současné době platné, není ještě účinné (použitelné), tj. prošlo již
legislativním procesem, je to tudíž schválený platný dokument, ale jeho účinnost
nastane 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované
na zpracování osobních údajů budou řídit obecným nařízením.
Nyní běží pro správce a zpracovatele dvouletá lhůta, aby uvedli ke dni
použitelnosti obecného nařízení svá zpracování osobních údajů do souladu s
obecným nařízením. Tato lhůta skončí dnem použitelnosti obecného nařízení, kdy
uskutečňované zpracování s ním musí být již v souladu (tedy 25. května 2018).
Co bude se současným zákonem o ochraně osobních údajů?
Jelikož obecné nařízení stanovuje práva a povinnosti při zpracování osobních údajů, v tomto rozsahu zákon č. 101/2000 Sb., o ochraně osobních údajů nahrazuje. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazeny právy a povinnostmi přímo vyplývajícími z obecného nařízení. Zákon o ochraně osobních údajů bude účinností adaptačního zákona zrušen.
Vyvstane pouze nutnost přijmout tzv. adaptační zákon, který bude přijat v
souvislosti s přímou použitelností obecného nařízení. Tento zákon bude upravovat
např. aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho opětovné
zákonné ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření
celého rámce ochrany osobních údajů, které nejsou obecným nařízením upraveny
nebo které obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých
aspektů obecné nařízení výslovně předpokládá vnitrostátní úpravu. Mezi ně patří
například aspekty zpracování osobních údajů pro účely výkonu svobody projevu,
práva na informace, svobody vědeckého bádání a umělecké tvorby.
Kdo se bude muset obecným nařízením řídit?
Obecným nařízením se bude především, pokud jde o povinnosti, řídit subjekt,
který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem
osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který
pro správce osobní údaje zpracovává. Pokud jde o práva vyplývající z obecného
nařízení, ta vyplývají fyzické osobě, což je subjekt údajů. Dále se obecným
nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů,
který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.
Musí se obecným nařízením řídit i drobný živnostník nebo malý internetový obchod?
Ano, pokud při jejich činnosti dochází ke zpracování osobních údajů, což z povahy věci zpravidla dochází (nejčastěji osobní údaje zákazníků – fyzických osob, či osobní údaje zaměstnanců nebo obchodních partnerů). Je však nutné si uvědomit, že obecné nařízení klade vyšší nároky především na subjekty, které zpracovávají osobní údaje ve velkém rozsahu či zvláštní kategorie osobních údajů, resp. pokud jsou osobní údaje hlavním bodem činnosti. To jsou například banky, telekomunikační operátoři, velké nemocnice atd.
Pokud při činnosti určitého subjektu dochází k běžné práci s osobními údaji
nezbytnými např. k provedení služby či prodeji výrobku, lze zpravidla
konstatovat, že obecné nařízení nepřináší rozdíly oproti současnému zákonu č.
101/2000 Sb., o ochraně osobních údajů. U těchto subjektů (malý internetový
obchod, živnostník – opravář, mající klientelu z řad fyzických osob), které tedy
neprovádí rozsáhlé či rizikové zpracování, je nezbytné zejména dodržovat zásady
zpracování osobních údajů. Nutné je především sledovat legitimní účel, pro který
byly osobní údaje shromážděny (např. uzavření kupní smlouvy a s tím spojené
dodání zboží či poskytnutí služby) a osobní údaje adekvátně zabezpečit.
Na jaké činnosti obecné nařízení nedopadá?
Z působnosti obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz článek 2 odst. 2 písm. c) obecného nařízení], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost. Např. na zpracování osobních údajů pro účely tvorby rodinného rodokmenu se na fyzickou osobu, která tento rodokmen vytváří pro osobní potřebu, nevztahuje obecné nařízení.
Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné
příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání
trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou
bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského
parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v
souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence,
vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném
pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož
jde o směrnici, je nutné její provedení, které bude vesměs v adaptačním zákoně.
2. Nové přístupy a povinnosti
Co znamená přístup založený na riziku a jaké nové instituty přináší?
Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. Tento přístup platí v současné době za účinnosti zákona č. 101/2000 Sb., o ochraně osobních údajů.
V pojetí obecného nařízení tento přístup navíc znamená aplikaci dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele patří:
• záznamy o činnostech zpracování,
• jmenování pověřence pro ochranu
osobních údajů,
• posouzení vlivu na ochranu osobních údajů,
• předchozí
konzultace s dozorovým úřadem.
Tyto zmíněné povinnosti mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.
Novou povinností je i
• povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.
Tato povinnost se z povahy věci může týkat každého správce či zpracovatele (ten
oznamuje správci), a to tehdy, pokud je porušení zabezpečení už závažnějšího
charakteru, tj. musí z něj vyplývat riziko pro práva a svobody fyzických osob.
Pro uplatnění povinnosti oznámit porušení zabezpečení subjektu údajů musí být
takové porušení vysoce rizikové pro práva a svobody fyzických osob.
Jak budu jako správce dokládat soulad zpracování?
Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správcům, jak výslovně zmiňuje obecné nařízení, napomáhat mimo jiné záznamy o činnostech zpracování a pověřenec pro ochranu osobních údajů, kodexy, osvědčení (pečetě, známky).
Základním instrumentem pro většinu správců by měly být záznamy o činnostech zpracování dle článku 30 obecného nařízení. Záznamy o činnostech zpracování obsahují obecné informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí.
Pověřenec pro ochranu osobních údajů má u některých správců a zpracovatelů sloužit jako prvek, který má dbát, aby zpracování osobních údajů u některých správců bylo v souladu s obecným nařízením.
Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví). Vypracování kodexu není povinné, ani se k jeho dodržování přihlásit. Jde o fakultativní možnost.
Osvědčení má sloužit k prokázání souladu zpracování s obecným nařízením. Není stanovena povinnost získat osvědčení, jde o fakultativní možnost, kterou správce či zpracovatel může deklarovat soulad zpracování osobních údajů s obecným nařízením. Osvědčení budou moci vydávat pouze k tomu akreditované subjekty.
Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.
Dokládání souladu ve shora uvedeném smyslu se uplatní zejména u organizací, na které se vztahují dodatečné povinnosti založené na riziku.
Soulad zpracování však musí být i u ostatních správců, na které se nevztahují
dodatečné povinnosti. Ti zejména musí plnit základní zásady zpracování,
adekvátní zabezpečení osobních údajů a dodržovat práva subjektu údajů.
Kdo bude vydávat kodexy a osvědčení?
Kodexy budou moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů přičemž návrh kodexu musí být předložen Úřadu pro ochranu osobních údajů, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictvím.
Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V
současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro
vydávání osvědčení ze strany akreditovaných subjektů.
Kdy musí správce provést posouzení vlivu na ochranu osobních údajů?
Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se
fyzických osob, které je založeno na automatizovaném zpracování, včetně
profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k
fyzickým osobám právní účinky
u rozsáhlého zpracování zvláštních kategorií
údajů nebo rozsudků v trestních věcech
u rozsáhlého systematického
monitorování veřejně přístupných prostorů
Jak vidno, aby nastala tato
povinnost, musí se již skutečně jednat o zpracování, které přináší vysoké riziko
pro práva a svobody fyzických osob. Netýká se tedy každého zpracování.
Podrobněji k této povinnosti viz schválené pokyny Pracovní skupiny WP29 k
posouzení vlivu na ochranu osobních údajů.
Kdy musí správce konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů?
Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu
osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by
dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal
opatření ke zmírnění tohoto rizika. Jinými slovy, pokud správci i po přijetí
opatření ke zmírnění vysokého rizika toto vysoké riziko přetrvává. Účelem
předchozí konzultace je tak korigovat hrozící vysoké riziko s dozorovým úřadem.
K této povinnosti viz schválené pokyny Pracovní skupiny WP29 k posouzení vlivu
na ochranu osobních údajů.
Co jsou záznamy o činnostech?
Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací
povinnost, která byla obecným nařízením zrušena. Správce a zpracovatel, pokud se
na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou
povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní
správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy.
Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné
záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena
forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se
budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum
záznamů je uvedeno v článku 30 odst. 1 obecného nařízení.
Kdo nemusí vést záznamy o činnostech zpracování?
Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech. Do tohoto počtu se počítají i zaměstnanci na dohody o pracích konaných mimo pracovní poměr či agenturní zaměstnanci.
S ohledem na praktičnost záznamů o činnostech zpracování lze doporučit jejich
vyhotovení i organizacím, u nichž není zcela zřejmé, že s ohledem na jejich
činnost dojde k aplikaci výjimky z této povinnosti.
Je pravda, že bude zrušena oznamovací povinnost?
Ano, obecné nařízení oznamovací povinnosti nepřebírá. Roli oznamovací povinnosti
budou přebírat především záznamy o činnostech zpracování (do jisté míry si
správce informace, které by zasílal Úřadu pro ochranu osobních údajů
prostřednictvím této povinnosti, ponechá pro své účely) a v některých případech
povinnost provést posouzení vlivu na ochranu osobních údajů.
3. Nejdůležitější pojmy
Definice pojmů jsou obsaženy v článku 4 odst. 1 obecného nařízení.
Co je zpracování osobních údajů?
Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování ve smyslu obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování.
Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně
osobních údajů.
Co se rozumí pojmem automatizovaně?
S pojmem automatizace se lze setkat u vymezení působnosti obecného nařízení, které se vztahuje na zpracování osobních údajů, které je prováděno zcela či částečně automatizovaně a dále na zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
Definice evidence je obsažena v článku 4 odst. 6 obecného nařízení.
Definice automatizace však obsažena není. Automatizaci lze vyložit tak, že jde o
zpracování pomocí informačních systémů, tj. prostřednictvím softwaru, který je z
logiky věci automatizovaný. Lze tedy zjednodušit, že automatizovaně znamená
prostřednictvím výpočetní techniky.
Co je osobní údaj?
Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů de facto změněn.
Podstatné pro definici osobního údaje je nutné uvědomění, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.
Byť je definice osobního údaje poměrně široká, je nutné vzít v potaz, že
aplikace zákona o ochraně osobních údajů, resp. obecného nařízení nastává až při
zpracování osobních údajů.
Kdo je subjekt údajů?
Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz
Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.
Definice subjektu údajů je obsahově totožná jako v zákoně č. 101/2000 Sb., o
ochraně osobních údajů.
Kdo je správce?
Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Z povahy věci musí být u každého zpracování správce. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.
Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.
V případě právnické osoby je správcem daná právnická osoba, nikoli její některý
zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů
má právnická osoba jako taková. Pojem správce nebyl oproti zákonu č. 101/2000
Sb., o ochraně osobních údajů změněn.
Kdo je zpracovatel?
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar).
Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců). Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště apod.)
Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů
změněn.
Co se rozumí profilováním?
Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k
profilování dochází i v současné době. Profilování není a priori zákonem o
ochraně osobních údajů či obecným nařízením zakázáno, nevyžaduje se a priori
souhlas subjektu údajů. Je však důležité, aby se dělo v předvídaných případech a
na základě stanovených pravidel. Profilování je běžné např. ve finančních
službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u
kterého hodnotí schopnost splácet.
4. Zásady a právní důvody zpracování
Na jakých zásadách je obecné nařízení postaveno?
Zásady lze ve stručnosti shrnout na:
zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje
na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a
korektně,
omezení účelu - osobní údaje musí být shromažďovány pro určité a
legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito
účely,
minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve
vztahu k účelu, pro který jsou zpracovávány,
přesnost - osobní údaje musí být
přesné,
omezení uložení - osobní údaje by měly být uloženy ve formě
umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro
které jsou zpracovávány,
integrita a důvěrnost - technické a organizační
zabezpečení osobních údajů.
Jednotlivé zásady jsou rozvinuty v článku 5 odst.
1 obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce
zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i
proto, že v článku 5 odst. 2 obecného nařízení je stanovena odpovědnost správce
za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto
zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce.
K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech
zpracování a též kodexy a osvědčení.
Zásady zpracování zároveň můžeme označit za základní stavební kameny každého
zpracování. Jde o souhrn zásad, které musí být při zpracování osobních údajů
dodržovány.
Co se rozumí právními důvody zpracování osobních údajů?
Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.
Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely,
přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů.
Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí
právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich
určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely
mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje
likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce
pozbude poslední právní důvod ke zpracování osobních údajů.
Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?
Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
zpracování
je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo
pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto
subjektu údajů,
zpracování je nezbytné pro splnění právní povinnosti, která
se na správce vztahuje,
zpracování je nezbytné pro ochranu životně důležitých
zájmů subjektu údajů nebo jiné fyzické osoby,
zpracování je nezbytné pro
splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým
je pověřen správce,
zpracování je nezbytné pro účely oprávněných zájmů
příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají
přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu
osobních údajů.
Co znamená souhlas se zpracováním osobních údajů?
Souhlas (viz definice článek 4 odst. 1 bod 11 obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.
Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.
Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Pracovní skupina WP29 vydala k tématu své pokyny.
Musím mít ke každému zpracování osobních údajů souhlas subjektu údajů?
Ne, nemusíte. Zejména tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje. Souhlas se nevyžaduje ani k dalším účelům zpracování, které jsou uvedeny výše (vyjma prvního bodu). V případě zpracování pro účely, které nelze podřadit pod výše uvedené účely, je nutné zpracování provádět na základě souhlasu subjektu údajů.
Souhlas subjektu údajů není vyžadován pro účely zpracování nezbytné např. pro
dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů
zaměstnanců pro pracovněprávní účely (pro plnění pracovní smlouvy či plnění
zákonem stanovených povinností ze strany zaměstnavatele).
Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?
Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a
jednoznačnosti projevu vůle subjektu údajů, stanovuje obecné nařízení v článku 7
podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což
znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt
údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy
či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí.
Zároveň nesmí být uzavření smlouvy (např. na poskytnutí služby) podmiňováno
poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v
závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu)
určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či
plnění zákonem stanovené povinnosti, což činí bez souhlasu subjektu údajů.
Je souhlas odvolatelný?
Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce
připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např.
provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování
vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si
uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy
představovat pro správce povinnost osobní údaje zlikvidovat, ale bude
představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro
určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce
použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních
údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro
zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např.,
pokud osobní údaje musí mít pro zákonem stanovené účely.
Jak to bude se současnými souhlasy za použitelnosti obecného nařízení?
Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou,
že souhlas byl udělen způsobem a v souladu s podmínkami obecného nařízení. To
bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude
splňovat podmínky stanovené v článku 7 obecného nařízení, například podmínku
odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních
podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení
souhlasu se zpracováním osobních údajů. Presumovaný souhlas, který někteří
správci využívali (typicky v oblasti finančních služeb, velcí poskytovatelé
energií či telefonní operátoři), nepřejde do použitelnosti obecného nařízení. Na
poskytování služeb to však nemůže mít žádný vliv. Případné vyžadování udělení
nového souhlasu nesmí být prezentováno jako povinnosti pro subjekt údajů.
Můžu zpracovávat osobní údaje zveřejněné na internetu?
V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení.
Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně
zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně
zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce
neměl právní důvod k jejich zpracování. Veřejnost údajů nikdy a priori neznamená
možnost jejich dalšího bezmezného zpracovávání.
5. Zvláštní kategorie osobních údajů (citlivé údaje)
Proč se rozlišují zvláštní kategorie osobních údajů?
Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé a jimž je poskytnuta zvýšená ochrana při jejich zpracování.
Zvýšená ochrana se projevuje zejména ve stanovených zvláštních právních
důvodech, na základě kterých je lze zpracovávat, vázanost některých institutů na
jejich zpracování (např. posouzení vlivu, ustavení pověřence, vyhotovit záznamy
o činnostech zpracování), důraz na jejich zvýšené zabezpečení.
Jaké údaje spadají do zvláštní kategorie osobních údajů?
Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o
rasovém či etnickém původu, politických názorech, náboženském vyznání či
filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním
životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou
považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem
jedinečné identifikace fyzické osoby.
Jejich výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb.,
o ochraně osobních údajů, až na údaj o odsouzení za trestný čin, který již
nebude považován za zvláštní kategorii osobních údajů, ale podmínky pro
zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných
činů mají zvláštní režim v článku 10 obecného nařízení.
Kdy lze zvláštní kategorie osobních údajů zpracovávat?
Zvláštní kategorie osobních údajů lze zpracovávat, pokud:
subjekt údajů udělil výslovný souhlas,
zpracování je nezbytné pro plnění
povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální
ochrany,
zpracování je nutné pro ochranu životně důležitých zájmů subjektu
údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo
právně způsobilý udělit souhlas,
zpracování provádí v rámci svých oprávněných
činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické,
filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování
vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto
subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní
údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při
jednání soudů,
zpracování je nezbytné z důvodu významného veřejného zájmu,
zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro
posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování
zdravotní nebo sociální péče atd.,
zpracování je nezbytné z důvodu veřejného
zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními
zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých
přípravků nebo zdravotnických prostředků,
zpracování je nezbytné pro účely
archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo
pro statistické účely.
Velmi často bude zmocnění pro zpracování zvláštní
kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se
správce musí řídit, či bude vyplývat z oprávněné činnosti správce.
Například pro zaměstnavatele pro zpracování zvláštních kategorií osobních údajů
(typicky údaj o zdravotním stavu) v případě nezbytnosti představuje oprávnění
druhý, zvýrazněný bod.
Je fotografie nositelem citlivých údajů? Vždyť z ní dokážu vydedukovat údaj o zdravotním stavu či rase.
Fotografie může být nositelem různých informací. Podstatné je, jak je s těmito
informacemi nakládáno a zdali vůbec. Nakládání s fotografií není a priori
zpracování citlivých údajů o subjektu údajů. O zpracování zvláštních kategorií
osobních údajů by se jednalo až tehdy, pokud by z fotografie byly tyto údaje
cíleně zpracovávány ve vztahu ke konkrétní fyzické osobě. Např. by fotografie
sloužily jako zdroj získávání informací o nemoci pleti pro lékařský výzkum ve
vztahu k identifikovaným či identifikovatelným osobám.
6. Práva subjektu údajů
Proč má subjekt údajů práva?
Obecné nařízení, ostatně tak jako i zákon č. 101/2000 Sb., o ochraně osobních
údajů, přiznává subjektům údajů práva. Jejich účelem je vybalancovat vztah mezi
správcem a subjektem údajů. Jsou základním pilířem modelu ochrany osobních údajů
v evropském prostoru. Nutno podotknout, že obecné nařízení posiluje systém práv
subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci
stávajících práv, tak i některými novými právy, jako je např. právo na
přenositelnost.
Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?
Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být
informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém
případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných
případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany
správce informován, včetně důvodů prodloužení.
Jaká jsou práva subjektu údajů?
Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.
Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě
(žádosti) subjektu údajů, patří
• právo na přístup k osobním údajům,
•
právo na opravu, resp. doplnění,
• právo na výmaz,
• právo na omezení
zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními
či obdobnými účinky, zahrnujíce i profilování.
Co se rozumí přístupem k osobním údajům?
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
účely zpracování,
kategorie dotčených osobních údajů,
příjemci nebo
kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
plánovaná doba, po kterou budou osobní údaje uloženy,
existence práva
požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
právo podat stížnost u dozorového úřadu,
veškeré dostupné informace o zdroji
osobních údajů, pokud nejsou získány od subjektu údajů,
skutečnost, že
dochází k automatizovanému rozhodování, včetně profilování.
Pokud správce o
fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje
tazatele nejsou předmětem zpracování osobních údajů ze strany správce.
Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného
zákona č. 101/2000 Sb., o ochraně osobních údajů.
Co když jsou údaje nepřesné?
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají.
Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně
vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená
povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho
údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné
údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí,
že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.
Co znamená právo být zapomenut?
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo
jinak zpracovány,
subjekt údajů odvolá souhlas a neexistuje žádný další
právní důvod pro zpracování,
subjekt údajů vznese námitky proti zpracování a
neexistují žádné převažující oprávněné důvody pro zpracování,
osobní údaje
byly zpracovány protiprávně,
osobní údaje musí být vymazány ke splnění právní
povinnosti,
osobní údaje byly shromážděny v souvislosti s nabídkou služeb
informační společnosti podle článku 8 odst. 1 obecného nařízení.
Právo na
výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost.
Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývají z jeho podstaty.
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost
žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v
rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při
ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se
vztahují povinnosti o dalším uchování některých osobních údajů.
Co znamená právo na přenositelnost údajů?
Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.
Společné podmínky k aplikaci práva na přenositelnost:
musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
zpracování se provádí automatizovaně.
Výkonem práva na přenositelnost nesmí
být nepříznivě dotčena práva a svobody jiných osob.
K právu na přenositelnost údajů byl ze strany Pracovní skupiny WP29 vydán
výkladový materiál dostupný v rubrice Schválené pokyny:
Kdy lze vznést námitku proti zpracování osobních údajů?
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při
výkonu veřejné moci, kterým je správce pověřen,
zpracování je nezbytné pro
účely oprávněných zájmů příslušného správce či třetí strany.
Správce osobní
údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro
zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů,
nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o
ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o
ochraně osobních údajů.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého
marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování
pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely
zpracovávány.
Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.
Nelze tak například automatizovaně pokutovat řidiče překračující rychlost, aniž by pokutu nepřezkoumal člověk.
Zákaz automatizovaného individuálního rozhodování je stanoven i v § 11 odst. 6
současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mohu si jako správce účtovat náklady v souvislosti s výkonem práv subjektu údajů?
Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle
článků 15 až 22 a 34 obecného nařízení se poskytují a činí bezplatně. Pouze v
případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo
nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený
poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.
Co když subjekt údajů zneužívá své právo?
Zneužitím nelze a priori rozumět výkon práv subjektu údajů. O zneužití práva
subjektem údajů lze hovořit zejména tehdy, pokud se žádosti opakují a jsou
zjevně nedůvodné či nepřiměřené. V takovém případě může správce uložit přiměřený
poplatek nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost
dokládá správce.
7. Správce, zpracovatel
Za co správce odpovídá?
Správce odpovídá za dodržování povinností kladených obecným nařízením. Zcela
zásadní je dodržování zásad zpracování, jejichž dodržování zároveň musí být
správce schopen doložit. Základním nezbytným předpokladem je existence řádného
právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby
vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně
zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených
obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné
nařízení dopadne, zejména pokud jde o nové povinnosti založené na přístupu na
riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na
ochranu osobních údajů).
Mohou být společní správci?
Ano, nově obecné nařízení výslovně počítá i s možností tzv. společných správců.
Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více
správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na
odpovědnosti za plnění povinností.
Jak se mě, jako správce, dotkne obecné nařízení?
Každého správce se obecné nařízení dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na obecné nařízení. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy je i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti obecného nařízení).
Pokud správce řádně plní povinnosti vyplývající ze současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nemělo by pro něj obecné nařízení představovat výrazný problém, se kterým by si neporadil.
Důležité též je nezapomenout na osvětu zaměstnanců, aby především věděli, co se
rozumí osobním údajem a byli si vědomi povinností, které musí dodržovat. Též je
vhodné zmínit povinnost mlčenlivosti.
Jak na vztah správce – zpracovatel?
Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 obecného nařízení.
Není nutné, aby se jednalo o samostatnou smlouvu, požadované náležitosti lze zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.
Správce se přizváním zpracovatele a priori nezbavuje odpovědnosti za zpracování
osobních údajů.
Může zpracovatel zapojit do zpracování jiného zpracovatele?
Jde o tzv. řetězení zpracovatelů, které není a priori zakázáno, nicméně je
nutné, aby správce k tomuto dal písemné svolení zpracovateli. Svolení může být
dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v
takovém případě však zpracovatel musí správce informovat o veškerých přijetích
dalších zpracovatelů nebo jejich nahrazení, přičemž u přibrání nového
zpracovatele může správce vznést námitku. Účelem tak je, aby správce, který za
zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj
osobní údaje zpracovávají.
Musí být měněny „staré“ smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem?
V případě, že smlouvy odpovídají obsahově požadavkům obecného nařízení, resp.
nemají s ohledem na kontext a účel zpracování výrazné nedostatky, není nutné je
nově uzavírat. V opačném případě je nutné provést jejich nové sjednání, resp.
aktualizaci tak, aby odpovídaly požadavkům obecného nařízení.
8. Zabezpečení osobních údajů
Jak musí správce zabezpečit osobní údaje?
Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační. Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.
Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo
šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však
správci může přinést i zproštění např. povinnosti ohlásit případ porušení
zabezpečení osobních údajů subjektu údajů.
Co se rozumí porušením zabezpečení osobních údajů?
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které
vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému
poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných
osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by
správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému
úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud
porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody
fyzických osob.
Kdy a co musí správce při bezpečnostním incidentu ohlásit Úřadu pro ochranu osobních údajů?
Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.
Například používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.
V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.
Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.
Pracovní skupiny WP29 vydala k ohlašování porušení zabezpečení osobních údajů
své pokyny. Jejich neoficiální český překlad je v rubrice Schválené pokyny.
Kdy a co musí správce při bezpečnostním incidentu oznámit subjektu údajů?
V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.
Pracovní skupiny WP29 vydala k ohlašování porušení zabezpečení osobních údajů
své pokyny. Jejich neoficiální český překlad je v rubrice Schválené pokyny.
Jak se určí riziko porušení zabezpečení?
Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví).
Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení
úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového
činu, jelikož osobní údaje byly terčem útoku. Porušení zabezpečení se tak musí
provést komplexně, nikoli izolovaně a vyšlé riziko následně určí eventuální
povinnost oznámit porušení zabezpečení Úřadu pro ochranu osobních údajů nebo i
oznámit subjektu údajů.
Modelové situace jsou popsány ve schválených
pokynech Pracovní skupiny WP29.
Musí být vždy osobní údaje u správce v šifrované nebo pseudonymizované podobě?
Šifrování ani pseudonymizace nejsou výslovnou podmínkou zpracování osobních údajů. Jsou bezpečnostním prvkem, který i v některých případech může správci zlepšit jeho postavení v případě úniků těchto údajů, jelikož v takovém případě se na něj nemusí (v závislosti na případu, neznamená to, že pokaždé) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp. jej oznamovat subjektu údajů. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či dostatečně silné šifrování a zdali nedošlo i ke kompromitaci šifrovacího klíče.
Lze proto doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat (zpracovávat) údaje v šifrované či pseudonymizované podobě, k čemuž i obecné nařízení nabádá.
9. Pověřenec pro ochranu osobních údajů
Jako doplňující informace k této kapitole lze využít:
Schválené pokyny Pracovní skupiny WP29 k pověřencům pro ochranu osobních údajů,
metodický materiál MV, kde naleznete informace ohledně pověřenců pro obce,
důležitý materiál MŠMT k pověřencům pro školská zařízení.
Kdo musí jmenovat pověřence pro ochranu osobních údajů?
Pověřence musí jmenovat správce a zpracovatel pokud:
zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů
jednajících v rámci svých soudních pravomocí,
hlavní činnosti spočívají v
operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům
vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobích
údajů a osobních údajů týkajících se rozsudků v trestních věcech.
Jak vidno,
povinnost jmenovat pověřence pro ochranu osobních údajů se netýká všech správců
nebo zpracovatelů.
Skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý
podnik snadno dosažitelný. Stejně tak lze i pro jmenování pověřence pro orgán
veřejné moci či veřejný subjekt přihlédnout k jejich organizační struktuře a
jejich velikosti a ve vhodných případech pro ně jmenovat jednoho pověřence.
Musí být pověřenec organizačně podřízen přímo vedení organizace?
Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím
pracovníkům správce nebo zpracovatele. Nejde však o podmínku organizační, tj. že
pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby pověřenec
měl přímý přístup k vedení organizace, tj. aby při předávání informací vedení
organizace nebyl mezi pověřencem a vedením další mezičlánek a pověřenec se tak
na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních
údajů.
Jaké jsou úkoly pověřence pro ochranu osobních údajů?
Především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s obecným nařízením a dalšími předpisy. Pověřenec poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Pověřenec může vypracovat záznamy o činnostech zpracování. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem pro ochranu osobních údajů a působení jako kontaktní místo.
Pověřenec může plnit i ostatní úkoly, ale při jejich plnění se nesmí dostat do
střetu zájmů s funkcí pověřence.
Kdy může docházet ke střetu zájmu u pověřence?
Především tehdy, pokud by určoval účel zpracování osobních údajů (např. jako
statutární orgán). Zároveň střet zájmů může představovat zvláštní zákon, pokud
by pověřenci v určitých momentech mohl znemožňovat jeho činnost (např. zvláštní
mlčenlivost pro některá svobodná povolání).
Jaké má mít pověřenec pro ochranu osobních údajů vzdělání?
Obecné nařízení nestanovuje přesné požadavky na vzdělání pověřence ve smyslu
akademických titulů. Pověřenec musí být osoba disponující profesními kvalitami a
odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí
dostatečně ovládat obecné nařízení. Každému správci může vyhovovat pověřenec s
jiným vzděláním (např. právní vzdělání versus technické).
Musí být pověřenec pro ochranu osobních údajů certifikován?
Obecné nařízení nestanovuje certifikaci pověřence jako předpoklad výkonu funkce
pověřence. Obecné nařízení ani nijak s certifikacemi pověřenců nepracuje, tj.
ani je nepředpokládá. Pověřenec tak certifikát mít nemusí a správce může jako
pověřence vybrat i necertifikovanou osobu, která disponuje dostatečným právním
povědomím o ochraně osobních údajů a obecném nařízení. Do budoucna není vyloučen
vznik subjektů, které se „certifikace“ pověřenců chopí, nicméně využití
certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak
ze strany správce, který nemá povinnost vybírat certifikovaného pověřence. Takto
pojatá certifikace však nebude certifikací ve smyslu článku 42 obecného
nařízení.
Může poskytnout pověřence i právnická osoba? Např. jako službu?
Obecné nařízení tuto možnost nevylučuje, resp. umožňuje i jeho fungování na
základě smlouvy o poskytování služeb. Vždy však musí být, v případě, že
pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba,
která pověřence bude vykonávat. Při uvažování o využití služby pověřence by měl
správce vzít v úvahu i to, že pověřencem by měla být osoba, která zpracování
osobních údajů u správce detailně pozná a pouze tak dokáže identifikovat
případná riziková místa či slabiny, což u najatého pověřence být vždy nemusí.
Také je vhodné zvážit konkurenční hledisko, kdy jeden poskytovatel pověřence
může poskytovat stejného pověřence i pro konkurenta a hrozí tak i vyzrazení
know-how.
10. Předávání osobních údajů do jiných zemí
Jak lze předávat osobní údaje do zemí Evropské unie?
Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu
ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani
zakázán. Tuto premisu však nelze považovat za právní důvod k předávání osobních
údajů jakémukoli správci či kdykoli. Možnost předávat osobní údaje bez omezení v
Evropské unii se týká institucionálního zabezpečení, tj. je vyjádřeno to, že v
zemích Evropské unie platí stejný vysoký standard právního rámce ochrany
osobních údajů při jejich zpracování a není tak nutné dodatečně zajišťovat
jejich institucionální bezpečnost. K samotnému předání jinému správci musí mít
správce právní důvod, jelikož i předání je jednou z činností zpracování či lze
osobní údaje předat zpracovateli. Právní důvod musí mít správce i tehdy, pokud
předává osobní údaje do země mimo Evropskou unii (nebo pokud předává osobní
údaje zpracovateli), kdy ještě navíc musí být splněny podmínky pro předání
osobních údajů i z hlediska jejich institucionálního zabezpečení. Nesmíme
opomenout, že nařízení bude platit navíc i na Islandu, Norsku a Lichtenštejnsku,
tudíž i na tyto země je nutné pohlížet v tomto kontextu jako na součást Evropské
unie.
Jaké jsou možnosti předávání osobních údajů do zemí mimo Evropskou unii?
Pokud správce chce předat jinému správci osobní údaje do země mimo Evropskou unii, musí být zajištěna jejich institucionální ochrana, tj. nelze (až na výjimky) předávat osobní údaje do zemí, kde není zajištěna dostatečná právní ochrana osobních údajů, resp. správce nepřijal instrumenty, které tuto ochranu při předávání zajistí.
Možnosti předávání:
předání založené na rozhodnutí o odpovídající ochraně,
předání založené na
vhodných zárukách,
o závazná podniková pravidla,
o standardní smluvní
doložky
výjimky pro specifické situace, kdy nelze aplikovat jeden ze dvou
shora uvedených bodů.
Co se rozumí předáním založeném na rozhodnutí o odpovídající ochraně?
Komise může rozhodnout, že konkrétní země zajišťuje odpovídající úroveň ochrany
osobních údajů. V takovém případě se nevyžaduje zvláštní povolení a předání
osobních údajů nejsou kladeny žádné administrativní překážky. Tato rozhodnutí
jsou k dispozici na
https://www.uoou.cz/prehled-pripadu-predavani-osobnich-udaju-do-zahranici-u-nichz-neni-nutne-zadat-urad-o-povoleni/ds-1649/archiv=0&p1=1633
v bodě 3.
Co se rozumí předáváním založeném na vhodných zárukách?
Pokud neexistuje rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů
v dané zemi, mohou být osobní údaje do třetí země předány, pouze pokud
přijímající správce poskytl vhodné záruky a za podmínky, že jsou k dispozici
vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů. Mezi
tyto vhodné záruky patří zejména závazná podniková pravidla a standardní smluvní
doložky.
Co jsou závazná podniková pravidla?
Závazná podniková pravidla je koncepce ochrany osobních údajů, kterou dodržuje
správce nebo zpracovatel usazen na území členského státu při jednorázových nebo
souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více
třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících
společnou hospodářskou činnost. Jde tak o pravidla platící uvnitř správců,
tvořících skupinu podniků nebo uskupení podniků vykonávajících společnou
hospodářskou činnost.
Co jsou standardní smluvní doložky?
Standardní smluvní doložky jsou instrumentem, na základě kterého lze předávat
osobní údaje do třetích zemí (tedy mimo Evropskou unii, resp. státy, o nichž
bylo Evropskou komisí rozhodnuto, že poskytují adekvátní ochranu). Jde o
standardizovaný text, kterým se příjemce osobních údajů zavazuje dodržovat
pravidla odpovídající pravidlům platících v Evropské unii. Jinými slovy díky
použití tohoto instrumentu se nesníží ochrana předávaných osobních údajů. Text
standardních smluvních doložek viz
https://www.uoou.cz/standardni-smluvni-dolozky/ds-3505
A co specifické situace? Např. když cestovní kancelář předává osobní údaje hotelům do různých zemí světa?
Vyjma shora uvedených případů (instrumentů) předávání osobních údajů lze osobní
údaje do třetí země předat, pokud je splněna alespoň jedna z podmínek uvedených
v článku 49 odst. 1 obecného nařízení. Např. v případě informovaného výslovného
souhlasu subjektu údajů, nebo pokud je takové předání nezbytné pro splnění
smlouvy mezi subjektem údajů a správcem osobních údajů.
Více ke specifickým
výjimkám zmíněné ustanovení článku 49 odst. 1 obecného nařízení a též i vodítka
Pracovní skupiny WP29
http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49846.
11. Sankce, pokuty
Pracovní skupina WP29 vydala k této oblasti oficiální dokumenty. K dispozici
jsou v rubrice Schválené pokyny.
Jaké jsou podmínky pro ukládání pokut?
Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu, a to kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j) obecného nařízení. Podstatné tedy je, že nikoli za každé porušení obecného nařízení musí být udělena pokuta, ale správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují obecné nařízení, nebo může být správci, jehož operace zpracování porušily obecné nařízení, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s obecným nařízením atd.
Není tak pravdou, že každé porušení obecného nařízení bude představovat uložení
správní pokuty.
Jak vysoká může být udělená pokuta?
V souvislosti s obecným nařízením je často skloňována výše pokut, kterou lze za
porušení udělit. Výše pokut je rozdělena do dvou skupin dle porušení, jakého se
správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2%
celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000
EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik).
Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině
s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita
zásahu do práva na ochranu osobních údajů, které obecné nařízení zajišťuje. Do
nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech
zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby
jsou například zahrnuta porušení povinností upravujících zásady a zákonnost
zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování
zvláštních kategorií osobních údajů a práva subjektu údajů.
Jsou při ukládání pokut polehčující či přitěžující okolnosti?
Polehčující a přitěžující okolnosti jsou vyjmenovány v čl. 83 odst. 2 písm. a)
až k) obecného nařízení. Brána v úvahu bude zejména povaha, závažnost a délka
trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií
údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní
porušení, kroky podniknuté správcem a spolupráce s Úřadem pro ochranu osobních
údajů atd. Viz úplný výčet okolností, které se při rozhodování o výši pokuty
zohledňují.
Jak může postupovat subjekt údajů, pokud mu vznikla v souvislosti se zpracováním jeho osobních údajů škoda?
Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení
obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy.
Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či
zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset
obrátit na soud.
12. Různé
Co je to Pracovní skupina WP29?
Pracovní skupina WP29 je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie. Mezi její činnosti patří mimo jiné posuzování otázek týkajících se uplatňování vnitrostátních předpisů přijatých k provedení směrnice 95/46/ES s cílem přispívat k jejich jednotnému uplatňování. Pracovní skupina WP29 může z vlastního podnětu podat doporučení k jakékoli otázce týkající se ochrany osob v souvislosti se zpracováním osobních údajů. Výstupem známým veřejnosti tak jsou stanoviska a doporučení této skupiny, týkající se oblasti zpracování osobních údajů či aktuálních témat. Stanoviska a doporučení Pracovní skupiny WP29 lze nalézt zde: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.
V souvislosti s obecným nařízením nyní pracovní skupina WP29 vydává k jednotlivým institutům obecného nařízení metodické materiály, které obsahují vodítka pro správce a zpracovatele. Vydaná vodítka jsou k dispozici v českém překladu na: https://www.uoou.cz/schvalene-pokyny/d-28603
Pracovní skupina WP29 nabytím použitelnosti obecného nařízení bude
transformována na Evropský sbor pro ochranu osobních údajů. Úkolem Sboru bude
především zajišťování jednotného uplatňování obecného nařízení a za tím účelem
monitorovat jeho uplatňování a vydávat pokyny, doporučení a osvědčené postupy, a
to i pro některé stanovené oblasti a instituty obecného nařízení.
Poskytuje Úřad konzultace k obecnému nařízení?
S ohledem na možnosti Úřadu pro ochranu osobních údajů jsou konzultace ohledně obecného nařízení zaměřeny zejména na sdružení či asociace zastupující sektorově jednotlivé správce, s nimiž jsou projednávána specifika daného sektoru. Předpokládá se, že tyto subjekty, zastupující své členy, na ně následně přenesou nabytou znalostní bázi a tito členové v pozicích správců či zpracovatelů se nebudou muset samostatně obracet na Úřad pro ochranu osobních údajů. Konzultace Úřad však poskytuje i jednotlivým správcům či zpracovatelům a subjektům údajů.