1. díl: GDPR: Desatero omylů o nařízení o ochraně osobních údajů

Už 25. května roku 2018 vstoupí v účinnost nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR). Všichni, kdo spravují osobní údaje, a to třeba i IP adresy, by se už měli připravovat na přicházející změny.

Přečtěte si další články z našeho seriálu o GDPR.

S tím, jak se k tomuto tématu vyjadřuje stále více lidí a odborníků, vznikají také nejrůznější fámy, omyly a mylné informace. Úřad pro ochranu osobních údajů proto sestavil na základě zkušeností svých pracovníků a veřejně dostupných zdrojů soupis desatera omylů, které se na veřejnosti objevují.

1. Odkazování na obecné nařízení jako na směrnici

Nezaměňujte nařízení za směrnici. Zatímco nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné, směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.

Nařízení, které vstoupí v účinnost 25. května 2018, může být konkrétně zaměňováno za směrnici o ochraně osobních údajů ze dne 27. dubna 2016 (směrnice Evropského parlamentu a Rady EU 2016/680, zkráceně neoficiálně nazývaná trestněprávní směrnice o ochraně osobních údajů, pozn. red.). Odlišnost je ve věcné působnosti obou předpisů, jež souhrnně vytvářejí nový rámec ochrany osobních údajů v Evropské unii. Působnost směrnice 2016/680 zahrnuje zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

2. Začíná revoluce ve zpracování osobních dat

Označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy v roce 2012 a následného schvalování. Po schválení už ale změny tak revoluční nejsou. Výsledek můžete porovnat se směrnici 95/46/ES, na kterou nařízení jednoduše navazuje. Jsou používány stejné definice klíčových pojmů a obdobně formulované, obsahově velmi blízké. Pravidla pro ty, kdo osobní údaje zpracovávají, tedy správce a zpracovatele, jsou v novém nařízení podrobnější a vesměs přesnější.

Správcům jsou ukládány některé nové povinnosti – ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů, a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů. Oproti současné obecné formulaci povinností při zabezpečení zpracování v § 13 zákona o ochraně osobních údajů jsou v obecném nařízení akcentovány „technické prostředky“ a jmenovitě určené technologie. Podstatné je i to, že ve všech povinnostech správců a zpracovatelů se promítají konstrukční zásady záměrné a standardní ochrany a přístupu založeného na riziku, které se uplatňují rovněž současně – např. v povinnosti posuzovat vliv jednotlivých zpracování na ochranu osobních údajů.

3. Rozšiřuje se definice osobního údaje

Nejčastěji se toto tvrzení objevuje v podobě, že osobními údaji dosud jsou pouze údaje identifikační. Někdy se změna dokládá na rozsudku Soudního dvora Evropské unie, v němž Soudní dvůr konstatoval, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES. Právě tento rozsudek však je dokladem toho, že osobní údaje nejsou omezeny na údaje přímo identifikující nějaký subjekt údajů ani dnes. Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě.

Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů, jako jsou např. právě internetové technologie. IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě, ne od doby vynesení rozsudku Soudního dvora EU, ale od prvního použití IP adresy v provozu. GDPR již také nemá podmínku systematičnosti zpracování osobních údajů.

4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody

Takové doporučení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků. Nelze ho však uplatňovat tam, kde platí jiné právní tituly zpracování, např. sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů. v obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování a nařízení výslovně upravuje podmínky jeho získání.

Ve srovnání se současným stavem v Česku přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům, zatímco dnes je, alespoň dle textu zákona, důvodem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji. Optické srovnání významu uznávaných právních důvodů neznamená snížení váhy souhlasu dotčeného subjektu údajů. Jedním ze základních projevů toho je, že souhlas se zpracováním se skutečně uplatní jen tam, kde mohou být naplněny jeho základní znaky, totiž svoboda jeho poskytnutí a informovanost. Souhlas může subjekt údajů kdykoli odvolat.

Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení.

5. Šifrování je povinné

Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Naopak, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje, se obecné nařízení výslovně dovolává ohledu na stav techniky, nákladů na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování, a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Šifrování je uvedeno jako jedno ze vhodných opatření.

6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou:

• zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí
• hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají. Jinými slovy, správci provádějící jiná zpracování pověřence pro ochranu osobních údajů jmenovat nemusí.

7. Pověřenec musí mít osvědčení

Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení.

Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí. Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.

8. Obecné nařízení klade na pověřence obtížně splnitelné nároky

Obecné nařízení ukládá ne moc přesně, že pověřenec má být zvolen na základě profesních kvalit jmenované osoby. Podrobněji je vše popsáno ve vodítku Pracovní skupiny podle čl. 29 směrnice 95/46/ES k funkci pověřence pro ochranu osobních údajů. Text je ale v angličtině a český překlad existuje jen neoficiálně. Není pak divu, že se na různých akcích a v médiích požadavky na osoby připadající v úvahu jako budoucí pověřenci požadavky zveličují. u některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat.

Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů. Výklad nároků je tak výhradním úkolem jmenujícího správce nebo zpracovatele, stejně tak jako trvalá podpora činnosti pověřence poskytováním zdrojů a prostředků nutných k výkonu jeho funkce.

9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly

Jedná se o velký omyl. Tvrzení vychází z posunutí významu omezující podmínky, že správce a zpracovatel jsou povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a že není v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován.

Úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.

10. Nově hrozí správcům a zpracovatelům pokuty podle obratu

Obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Zatímco v některých členských státech včetně Česka dozorové úřady pokuty ukládají, v jiných členských státech EU (např. Dánsko) tomu tak dosud není.

Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 milionů korun. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby. Horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující.