V pátek 25. května 2018 nabyla účinnosti nová právní úprava ochrany osobních údajů. Tímto dnem se ochrana osobních údajů začala řídit Nařízením Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývaným GDPR.
Vzhledem k tomu, že se jedná o Nařízení, jedná se o přímo použitelný předpis Evropské unie. Proto není potřeba jeho požadavky uvést v národním právním předpise. V České republice byl pouze vydán zákon o zpracování osobních údajů (č. 110/2019 Sb.), který nabyl účinnosti 24. dubna 2019. Zákon řeší některé dílčí aspekty, které nařízení umožňuje upravit, například postavení a pravomoc Úřadu pro ochranu osobních údajů. Také provádí novou trestněprávní směrnici EU (Směrnice Evropského parlamentu a Rady 2016/680).
GDPR se dotýká i zajišťování BOZP (oblastí školení zaměstnanců, evidence pracovních úrazů a poskytování náhrad atd.). Proto zde uvádím základní informace o něm. V žádném případě se nejedná o komplexní přehled o GDPR. Ochraně osobních údajů při zajišťování BOZP a PO se věnuji na jiné stránce.
Co je v GDPR nové
Nová úprava není žádnou revolucí v ochraně osobních údajů. Opravdových novinek přináší jen několik.
Novinkou je, že povinnosti jsou vázány na přítomnost rizika pro práva a svobody subjektu údajů (fyzická osoba, ke které se osobní údaje vztahují), obdobně, jako je tomu v BOZP. Dalšími novinkami, které Nařízení přineslo jsou povinnost zpracovat záznamy o činnostech zpracování, ohlašování porušení zabezpečení osobních údajů na ÚOOÚ, oznamování porušení zabezpečení osobních údajů subjektu údajů v případě vysokého rizika, posuzování vlivu zpracování na ochranu osobních údajů (vysoké riziko), povinné konzultace s ÚOOÚ (vysoké riziko) a pověřenec pro ochranu osobních údajů.
Některé základní pojmy
Nařízení upravuje ochranu osobních údajů při jejich zpracování. Za osobní údaje jsou považovány veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů), tedy například i e-mailová adresa konkrétního zaměstnance. Podskupinu osobních údajů vyžadující vyšší úroveň ochrany tvoří „zvláštní kategorie osobních údajů“ (dosud označené jako citlivé údaje; rozsah téměř totožný). Zpracování těchto údajů, až na Nařízením stanovené výjimky, je zakázáno.
Zpracováním je myšlena jakákoliv operace, která je prováděna s osobními údaji s pomocí nebo bez pomoci automatizovaných postupů (shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, seřazení, zkombinování, omezení, výmaz nebo zničení).
Odpovědným za soulad zpracování osobních údajů s GDPR je správce (fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatel (fyzická nebo právnická osoba, která zpracovává osobní údaje pro zprávce) není nikdy odpovědná, a to ani v případě, že se jedná o externí firmu (musí se řídit požadavky správce).
Zásady zpracování osobních údajů
Osobní údaje musí být zpracovány v souladu se stanovenými zásadami:
- zákonnost (prováděno zákonným způsobem),
- korektnost (relevantní informace o zpracování),
- transparentnost (nezastírat účel zpracování),
- omezení účelu (pouze pro výslovně vyjádřené a legitimní účely),
- minimalizace údajů (pouze nezbytný rozsah údajů, který je nutný k danému účelu),
- přesnost (v případě potřeby aktualizovat),
- omezení uložení (ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro kterou jsou zpracovávány),
- integrita a důvěrnost (náležité zabezpečení pomocí vhodných technických nebo organizačních opatření),
jež jsou základními stavebními kameny každého zpracování osobních údajů.
Osobní údaje mohou být zpracovávány bez souhlasu subjektu údajů (většina případů) nebo s jeho souhlasem (jen v případě, že je není možné zpracovávat bez souhlasu!).
Souhlas není nutné zajišťovat v případě, že zpracování je nezbytné pro:
- plnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro přijetí opatření před uzavřením smlouvy na žádost subjektu údajů,
- plnění právní povinnosti,
- ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
- účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobncíh údajů, zejména dítěte.
V ostatních případech musí být vyžádán souhlas subjektu údajů. Je však nutné mít na vědomí, že je možné osobní údaje zpracovávat pouze za předem jasně definovaným účelem (není možné zpracovávat osobní údaje s tím, že se to může někdy k něčemu hodit). Souhlas musí být dobrovolný, doložitelný, odlišitelný od ostatních údajů a odvolatelný.
Zabezpečení osobních údajů
Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Je možné, nikoliv povinné, například provést pseudonymizaci [nahrazení identifikačních údajů kódem (databáze vazeb kód-identifikační údaj je uložena odděleně)] nebo šifrování osobních údajů. Musí být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele. Jejich počet by měl být minimalizován.
Práva subjektu údajů
Správcem nesmí být ignorována práva subjektů údajů – právo na informace, na přístup k osobním údajům, na opravu na doplnění, na výmaz. Výkon těchto práv musí být bezplatný, vyjma případů zjevně nedůvodných žádostí (například neustále se opakujících). Uskutečněn má být bez zbytečného odkladu, resp. do třiceti dnů.
Kdokoliv, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo od správce nebo zpracovatele obdržet náhradu utrpěné újmy.
Co ještě nebylo uvedeno
Jak bylo zmíněno v úvodu, není možné, aby problematika GDPR zde byla popsána komplexně. Opomíjím povinnost ustanovit pověřence (novinka GDPR), která se týká jen omezeného okruhu správců, posouzení vlivu na ochranu osobních údajů (opět se týká omezeného okruhu), záznamy o činnostech zpracování, kodexy (sdruženími přijatá pravidla pro různé kategorie správců nebo zpracovatelů) a osvědčení, možnost subjektu údajů nechat se zastupovat při podání stížnosti, předávání osobních údajů v rámci unii a mimo ni atd.
Při zpracování osobních údajů se nesmí zapomínat na dodržení odpovídajícího způsobu jejich likvidace.
Pokuty
Velkým strašákem se staly pokuty, které mohou být podle GDPR uloženy. Pravdou však je, že mohou být uloženy, jak Nařízení uvádí, podle okolností každého případu. Sankce, tedy nejen pokuty, mají mít především preventivní, odstrašující a donucující účinek, nikoliv likvidační.
Nařízení nepožaduje, že v případě zjištění musí být pokuta uložena. Při rozhodování zda správní pokutu uložit či nikoliv a případně v jaké výši se zohledňuje například povaha, závažnost, délka porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů a jejich kategorie. Též je brán zřetel na to, zda se jednalo o úmysl nebo nedbalost, na kroky podniknuté správcem ke zmírnění škod, předchozí porušení správce atd.
Stanovená pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) se vztahuje pouze na závažnější porušení (porušení práv subjektu údajů, předávání osobních údajů atd.). Pro ta méně závažná (nenahlášení nebo neoznámení případu porušení zabezpečení osobních údajů atd.) jsou stanoveny poloviční hodnoty.
V souvislosti s výší pokut je nutné si uvědomit dva aspekty, a to že pokuta má být odstrašující i pro největší společnosti světa (proto tak vysoké částky), a že se budou ukládat podle okolností každého jednotlivého případu.
Pokuty též řeší zákon o zpracování osobních údajů.
2019-04-25