Novinky v ochraně osobních údajů aneb nařízení Evropské komise GDPR
Jednou z oblastí, které byla v poslední době věnována na poli evropské právní úpravy zásadní pozornost, je ochrana osobních údajů. Evropský parlament a Rada EU přijali Nařízení č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „Nařízení“), které je přímo aplikovatelné, závazné a účinné od 25. 5. 2018. Ačkoli se okamžik nabytí účinnosti Nařízení může jevit v současné chvíli ještě poměrně vzdálený, je nutno si uvědomit, že Nařízení ovlivní všechny zpracovatele osobních údajů a že zvláště vyhodnocení rizik a příprava na implementaci jeho jednotlivých ustanovení, zejména těch v Nařízení - na rozdíl od současného zák. č. 101/2000 Sb. o ochraně osobních údajů, ve znění pozdějších předpisů, (dále též „ZOOÚ“) - nově zakotvených, může být poněkud složitější a časově náročnější. Pojďme se tedy blíže seznámit se základními změnami a novinkami, které Nařízení přináší.
Mezi nově zařazené instituty patří zejména obecné rozšíření práv subjektů údajů (např. nové právo na to být zapomenut), rozšíření povinností správců a zpracovatelů (např. hlášení bezpečnostních incidentů), přístup založený na riziku (např. neustálé vyhodnocování rizik a jejich předcházení, povinná analýza rizik), nové instituty (např. pověřenec pro ochranu osobních údajů, kodexy chování) a vysoké sankce (např. pokuty do výše 4% ročního obratu celého koncernu nebo 20mil EUR).
Jak bylo již výše uvedeno, nově přijaté Nařízení, je přímo aplikovatelné a jeho důsledkem dojde k novelizaci ZOOÚ, ze kterého bude vypuštěna většina hmotněprávních ustanovení o ochraně osobních údajů, a ponechá si ve své dikci úpravu pravidel charakteru veskrze procesního – tedy např. stanovení pravomocí Úřadu pro ochranu osobních údajů (dále též „ÚOOÚ“) nebo řízení před ním. Většina práv a povinností, institutů a sankcí za přestupky, pak zůstane upravena pouze v závazném Nařízení.
Přijaté Nařízení se dotkne téměř 99,9% všech zpracování osobních údajů a tím i téměř všech správců a zpracovatelů osobních údajů, kteří s takovými daty fyzických osob nakládají. Výjimku bude tvořit krom zpracování za účelem prevence, vyšetřování a odhalování trestných činů dle Směrnice Evropského Parlamentu a Rady EU 2016/680 pouze zpracování pro osobní či domácí potřeby (např. uchovávání jmen a čísel v adresářích, telefonech, fotoalba apod.) Pod působnost Nařízení pak budou spadat všichni správci, pokud zpracovávají data o osobách nacházejících se v EU, stejně jako v případě, že činnosti provozovny jsou prováděny na území EU.
Nařízení dále specifikuje, rozšiřuje a definuje základní pojmy, které jsou spojené s ochranou osobních údajů. Zejména s ohledem na současné hrozby ze strany internetu a kyberprostoru, stanovuje Nařízení za osobní údaj např. i e-mail osoby, IP adresu počítače nebo MAC adresu přístroje osoby. Zvláštní kategorií údajů rozumíme zejména osobní údaje týkající se zdravotního stavu osob, rasového či etnického původu osoby, vyznání, náboženství, politických názorů, sexuality či genetických nebo biometrických údajů o osobě.
Nařízení dále rozlišuje mezi správcem osobních údajů a zpracovatelem osobních údajů. Zatímco správce je ten subjekt, který určuje, „proč a jak“ se budou osobní údaje pro něj získávat, zpracovatel, zejména na základě smlouvy o zpracování osobních údajů, takové zpracování pro správce obstarává.
Ochrana osobních údajů dle Nařízení podléhá základním zásadám, které se prolínají celým systémem ochrany a které je nutno za každých okolností dodržovat. Tyto základní zásady jsou následující.
Zákonnost zpracování osobních údajů se projevuje zejména v nutnosti mít jeden z legitimních základů pro zpracovávání osobních údajů. Předchozí úprava, obsažená také v ZOOÚ, udávala jeden titul opravňující zpracovávat údaje, a tím byl souhlas subjektu. K tomuto pak zákon udával celkem 7 výjimek, kdy není souhlas nutný. Nařízení naopak stanovuje souhlas pouze jako jeden ze zákonných titulů, kdy dalšími jsou, souhlasu na roveň postavené: plnění smluvních povinností, povinnost stanovená zákonem, ochrana životně důležitých zájmů, subjektem zveřejněné informace, ochrana svých právních nároků, účely preventivního nebo pracovního lékařství, veřejný zájem či výkon veřejné moci, archivace apod. Dle doporučení Úřadu se má každý správce či zpracovatel v rámci nakládání s osobními údaji zaměřovat na využití legitimního titulu odlišného od souhlasu, jednotlivá data separovat tak, aby bylo možno s daty získanými na základě odlišných titulů nakládat nezávisle, popř. „pokrývat“ získaná data několika tituly zároveň (např. souhlas zaměstnance + pracovní smlouva).
Korektnost, přesnost a transparentnost zpracování se promítá při zpracování zejména v těchto pravidlech: zpracovávat pouze data, která potřebuji; data jsou vždy přesná a aktualizovaná; faktický způsob, účel i titul odpovídá tomu tvrzenému; subjekt osobních údajů stručně, transparentně, srozumitelně, za použití jasných a jednoduchých jazykových prostředků, snadno přístupným způsobem informuji. Nařízení na rozdíl od ZOOÚ značně rozšiřuje informační povinnost správců a zpracovatelů. Doporučováno je pak zejména zakotvení tzv. multilayer policy, tedy vícevrstvé politiky, kdy jednotlivé informace jsou uváděny „ve vrstvách“. Obecné informace jsou dostupné všem osobám a při postupném odkrývání a zobrazování dalších informací je každý informován více podrobně (např. typicky odkaz ve všeobecných obchodních podmínkách na webové stránky apod.).
Účelovost zpracování osobních údajů se projevuje v důrazu právě na účel. Tento musí být vždy stanoven před zpracováním jednotlivých údajů, a to ve vypracovaném Záznamu o činnostech zpracování. Tyto Záznamy svým způsobem nahrazují dosavadní povinnou registraci u ÚOOÚ. Správce i zpracovatel je povinen vést Záznamy pro každý okruh zpracovávaných osobních údajů a víceméně odpovídá rozsahem informacím, které byly zveřejněny v registru. Tyto Záznamy jsou zpracovávány před samotným zahájením nakládání s osobními údaji a obsahují kromě základních údajů o správci také účel zpracování, kategorie subjektů a osobních údajů, lhůty nebo důvody pro výmaz, popis zabezpečovacích opatření, kategorii příjemců údajů apod. Ačkoli Nařízení stanovuje výjimku, že tyto Záznamy není nutno vypracovávat v podnicích, které zaměstnávají méně než 250 osob, díky dalším výjimkám z této výjimky (zvláštní kategorie údajů, riziko, nepříležitostné zpracování apod.) nemá téměř žádný správce či zpracovatel možnost zaměstnaneckou výjimku na sebe vztáhnout a Záznamy nevypracovávat.
Zásada minimalizace údajů se projevuje zejména v povinnosti správce shromažďovat pouze takové množství a takové informace, které jsou přiměřené, relevantní a omezené na nezbytný rozsah a účel. Každý správce či zpracovatel je povinen zakotvit do svého systému programy, instituty nebo upozornění, aby vždy docházelo k „vyčištění“ databází nebo seznamů v době, kdy další uchování údajů už není nezbytné. Zároveň je nutno dodržovat zásadu omezení ukládání a na ni navazující nutnost smazat nebo anonymizovat získaná data (např. za pomoci šifrování, pseudonimizace apod.)
Bezpečnost a důvěrnost ukládaných údajů musí být zajištěna za využití dostatečných a vhodných technických a organizačních opatření, aby nedocházelo k protiprávnímu zpracování, nakládání, zcizení, zničení nebo poškození osobních údajů. Takovými opatřeními rozumíme např. specializované bezpečnostní softwary, stanovení okruhu osob manipulujících s údaji, mechanické překážky, přihlašovací údaje apod.
Mimo výše uvedené je každý správce či zpracovatel povinen do svého systému zakotvit taková pravidla, opatření a systémy, aby byla vždy dodržována práva subjektů, kterými jsou:
právo dostat informace o zpracování osobních údajů, včetně informací o příjemcích, a to v souladu se zásadou transparentnosti, právo na přístup k osobním údajům – správce je povinen poskytnout subjektu bezplatně kopii veškerých osobních údajů, které o něm shromažďuje,právo na opravu a výmaz, právo být zapomenut – na žádost subjektu musí být data aktualizována či opravena nebo neprodleně vymazána a zároveň musí být vymazána i z historie, odkazů, kopií, databází apod., výmaz se netýká těch dat, která jsou nutná pro uplatňování nároků apod. právo na omezení zpracování - na žádost subjektu je zpracování omezenoprávo na přenositelnost osobních údajů – správce je povinen údaje zpracovávat tak, aby z nich mohl být pořízen strukturovaný, běžně používaný a strojově čitelný výpis, který následně může být poskytnut jinému správci či zpracovateli osobních údajů, a to v případech, kdy jsou data zpracovávána na základě smlouvy nebo souhlasu subjektu a jsou automatizovaná, právo vznést námitku – subjekt má právo, v případě, že jsou údaje zpracovány na základě oprávněného zájmu správce nebo z důvodu veřejného zájmu, vznést námitku zpracování, se kterou se musí správce vypořádat, právo nebýt předmětem automatizovaného rozhodnutí, právo podat stížnost, domáhat se soudní ochrany a náhrady újmy.
Jedním z nových institutů, které nařízení přináší a které je schopno přinést správcům nemalé komplikace, je povinnost správce či zpracovatele ohlašovat ÚOOÚ případy porušení zabezpečení osobních údajů, kterými se rozumí takové porušení, které vede k neoprávněnému nebo protiprávnímu zničení, změně, ztrátě nebo poskytnutí či zpřístupnění uložených nebo zpracovávaných dat. Za neohlášení porušení hrozí správci či zpracovateli vysoké pokuty (2% celkového ročního obratu nebo 10 mil EUR).
Další novinkou je zavedení funkce pověřence pro ochranu osobních údajů, který funguje jako styčný bod mezi správcem, subjektem údajů a ÚOOÚ. Tento bude zřizován buď dobrovolně, nebo povinně, a to v případech, kdy je správce orgánem veřejné moci, hlavní činností správce je rozsáhlé zpracování zvláštních kategorií údajů (zdravotní stav, vyznání atd.) nebo pravidelné a systematické monitorování (sociální sítě, cílená reklama apod.).
Další novinkou, kterou Nařízení přináší, je několik možností, jak doložit plnění povinností správce a zpracovatele vyplývající z Nařízení. Jednou z možností je připojit se k obecným vypracovaným Kodexům chování. Tyto Kodexy si vytváří sám správce nebo zpracovatel, ale podléhají schválení ÚOOÚ a zakotvují hlavní pravidla chování při nakládání s osobními údaji. Dodržování takových Kodexů je pak pravidelně ÚOOÚ monitorováno. Další možností je pak vydání Osvědčení o ochraně osobních údajů, kdy dozorový orgán nebo jím akreditovaná společnost vydá potvrzení o splnění veškerých povinností plynoucích z Nařízení ze strany správce nebo zpracovatele. V současné chvíli ÚOOÚ pracuje na zavedení jednotného systému podmínek k získání akreditace pro společnosti a připravuje školení a veškeré nutné podklady.
Závěrem nezbývá než podotknout, že ačkoli účinnost Nařízení nastane až za poměrně dlouhou dobu, je nutno provést některé kroky k implementaci Nařízení co nejdříve. Správci a zpracovatelé musí vynaložit úsilí k tomu, aby provedli řádnou analýzu současného stavu svých systémů, zakotvili řádně fungující a účinné softwary a bezpečnostní opatření, vypracovali dokumentaci nutnou k naplnění povinností plynoucích z nařízení a popř. začali s hledáním vhodných kandidátů na pověřence.
Advokátní kancelář JELÍNEK & Partneři s.r.o.
Mgr. Lucie Šimková
Pardubice - Dražkovice 181, PSČ 533 33
tel./fax: +420466310691
gsm: +420 724 794 986