Ochrana osobních údajů ve světle obecného nařízení GDPR

GDPR, obecné nařízení o ochraně osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679), je revoluční především v tom, že by mělo sjednotit tuto regulaci v celé Evropské unii. Představíme si zásadní změny, které GDPR přinese.

Foto: Fotolia

Předně nutno říci, že ochrana osobních údajů se nemění zásadně. Změna se ale dotkne všech obcí a všech zpracovatelů osobních údajů. Osobním údajem je totiž dnes skoro všechno.

Na GDPR se tzv. nalepilo velké množství článků, teorií, debat o tom, co všechno se může a nemůže v rámci ochrany osobních údajů dít. Často se debatuje o tom, zda je GDPR revoluce či evoluce. My říkáme jednoznačně, že to druhé, tedy evoluce. Pokud si GDPR přečtete podrobně, zjistíte, že právě podrobnost je mu imanentní. Nepřináší totiž obsahově moc nového, zcela nových institutů je tu relativně málo, několik stávajících institutů se výrazně zpřísní. Avšak velká většina institutů, které již dnes známe a dodržujeme, se jen zpřísní, lépe a jednotně upraví. Většinu institutů tedy známe, ale pro příště už je budeme dělat lépe a jednotně v rámci celé Evropy.

Osobní údaje podle GDPR

Definice osobního údaje zůstává v obecné rovině stejná tak, jak ji známe ze směrnice 95/46/ES či zákona 101/2000 Sb. Přibývají ale podrobnosti, například z hlediska úpravy citlivých údajů. Přibývají ale například nově genetické údaje a údaje jim podobné. Jako příklad zpřesnění si všimněme § 13 zákona o ochraně osobních údajů, podle nějž jsou správce a zpracovatel povinni přijmout opatření. Už se ale neříká, jaké to opatření má být. GDPR přesněji říká, jaké prostředky a postupy mají být použity, jak vyhodnocovat situaci tak, aby subjekt ochrany osobních údajů byl co nejvíce chráněn.

Celkově GDPR upravuje nezávislost, pravomoci, úkoly dozorových úřadů. Víme, že pro příště budeme mít společný evropský postup. Pokud Vám například v minulosti ukradli a prodali osobní údaje v Německu, nebylo moc možností, co s tím dělat, kromě stížnosti přímo u zdroje v Německu. Úspěšnost a vymahatelnost práva byla velice malá. Každý Vám sice řekl, že práva máte, ale realita byla jiná. Dnes díky GDPR bude daná i vymahatelnost. Nejen, že si budete moci stěžovat v Německu, ale budete si moci stěžovat i u nás a naše orgány Vám dovedou pomoci. Novinky podle GDPR by nám měly pomoci k realizaci ochrany osobních údajů.

GDPR definuje osobní údaje jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Chráníme hlavně fyzické osoby, právnických se to netýká. Zastavme se nyní u řečené identifikovatelnosti. Nezbavíte se odpovědnost za zpracování údajů a povinnosti postupovat podle GDPR jen tím, že použijete jen nějaké složité technické řešení. Krásný příkladem je tzv. pseudonymizace. To, že přiřadím k osobním údajům místo jména číslo a řeknu si, že teď už nikdo nepozná, o koho se jedná, není dostatečné. Pokud někde v mé databázi existuje soubor, který dokáže danou osobu zpětně identifikovat, zůstávají údaje stále osobními údaji, protože nakonec správným technickým postupem je možné se dobrat, čí údaje jsou. Dostanu se ale ještě navíc k tomu, že jsem vytvořil další soubor osobních údajů, protože vymyšlená čísla jsou najednou spojena s konkrétní osobou a tak se vlastně stávají osobním údajem. Takto s nimi do budoucna musí být nakládáno.

Definice osobních údajů je záměrně velmi obecná. Někdy je snaha vykládat ji spíše úzce, v Evropě je ale usus všech dozorových úřadů vykládat tento pojem spíše široce, neboť primární snahou je chránit subjekty osobních údajů. Výklad bude použit spíše takový, aby daný údaj osobním údajem byl. Na to je třeba být opatrný.

S rozvojem technologií dochází ke vzniku nových osobních údajů, nelze tedy očekávat, že by někdo přinesl taxativní výčet osobních údajů. Jednoduše to není možné. Definice osobních údajů je vykládána velice volně a je vidět i na judikatuře ESLP, že spíše dovodí, že údaj je osobní.

GDPR nově zavádí zvláštní kategorie osobních údajů a velmi podrobně s nimi pracuje v čl. 9 nařízení. Snadno ale můžeme zjistit, že tento pojem je v podstatě totožný s pojmem citlivé údaje, který je nám znám ze zákona 101/2000 Sb. Je vidět, že revoluce skutečně není tak silná, jde spíše o zpřesnění. Máte-li zavedenou praxi se zpracováním osobních údajů, pak GDPR doženete jejím zlepšením. Není potřeba začínat od nuly.

Za zmínku stojí, co je z uplatnění GDPR vyloučeno. Osobní údaje nemají právnické osoby, je vhodné zmínit rovněž anonymizované údaje. K tomu připomenu již zmíněný pseudonym. Pokud nesmažete cestu, jak lze najít spojení mezi osobním údajem a pseudonymem tak, že již jej nelze identifikovat za žádnou cenu, nelze pseudonym považovat za anonymní údaj. Mohu vám předložit anonymní seznam, například dat narození. Pro Vás je to anonymní seznam. Avšak pro mě, jako správce, je to pouze pseudonymizovaný seznam, neboť já jsem ho vytvořil a data musel shromáždit. Podle svých identifikátorů totiž dokážu jména zpětně přiřadit k datům narození. Domníváme se, že právě toto bude do budoucna vytvářet velké problémy. Riziko sankcí je přitom veliké. V různém kontextu může mít stejná informace různou povahu. Správce informace musí být schopen si tuto otázku správně vyřešit. Vůči kontrole a dozoru v této oblasti je situace taková, že jako správci budete vykonávat činnost, vést databázi. Najednou přijde kontrola. V tu chvíli se vás zeptá, zda jste schopni doložit, že data zpracováváte správně. Musíte je zpracovávat správně od samého začátku, protože zpětně už to nelze spravit. Je proto potřeba věnovat velkou pozornost kategorizaci a rozklíčovat data správně již na začátku.

Důvody zpracování

GDPR nepřináší revoluci právních důvodů zpracování (čl. 6 a násl.). Najdeme zde důvody, které již známe. Zdůrazňuje se například princip proporcionality, tedy pamatovat, jak dlouho důvod trvá, jak je intenzivní a zda je dostatečný. Nejdůležitější u právního důvodu zpracování je, že trvá. Mezi nové povinnosti patří povinnost starat se o to, abyste nedělali to, co už dělat nesmíte. Pokud povedete databázi s tím, že je to archivace, s tím není problém. GDPR přináší novinku v povinnosti spočívající v tom, aby pokud dojde k zániku právních důvodů zpracování údajů, byly tyto ihned vymazány, a to bez jakékoli aktivity subjektu údajů. Trvání důvodů musí přezkoumávat sám zpracovatel, a pokud pak přijde kontrola a zeptá se, co jste udělali s osobními údaji za loňský rok, pak vy jako správce budete muset prokázat, že jste kroky učinili. To je asi největší problém, se kterým se setkáváme, neboť dochází k nárůstu administrativy. Pro někoho to bude jen o nastavení programu a nebude to takový problém, pro někoho to ale problém bude. Představme si situaci, kdy máte větší množství databází a seznamů, se kterými pracujete, a například se i prolínají (v obcích typicky seznamy o poplatcích za psa, popelnice apod.). Co udělat, pokud se z obce někdo odstěhuje? Právní důvod zpracování osobních údajů skončí, měly by tedy být všechny vymazány. Je vidět, že do databází se bude muset vracet.

Práva subjektů údajů

Správci údajů mají své databáze a dosud platilo, že subjekt údajů se sice mohl dovolat ochrany proti zásahům, které se ho týkají, avšak spíše výjimečně. Jednalo se spíše o případy zásahů, které už způsobily škodu. Podle GDPR ale daný subjekt má jednotlivá práva, může se zeptat, jaké údaje jsou o něm vedeny, jak budou zpracovávány. Správce proto musí už na začátku vyhodnotit, za jakým účelem a jakým způsobem bude údaje zpracovávat, protože už na začátku musí subjektům říci, jak bude s údaji nakládat. Pokud to neudělá, vznikne problém.

Subjekt tak může vyvinout kontrolu, zeptat se, jaké údaje jsou o něm vedeny, co se s nimi děje. Správce musí ve lhůtě 30 dnů odpovědět na dotaz subjektu ohledně informací k němu vedených, například na prostý dotaz: „Co o mně vedete?“. Pravděpodobnost, že se lidé budou ptát, možná není velká, ale pokud tak učiní, musí být správce schopný správně odpovědět. Pokud se kontrola správce zeptá, jak při zpracování osobních údajů postupuje, musí správce odpovědět, že má postupy nacvičené, zavedené, všichni jsou přeškoleni a prokázat, jak byly v daném období údaje zpracovávány. V negativním případě mohou přijít sankce, GDPR přichází se sankcemi až 20.000.000,- Kč. Také ale přichází s velkým množstvím podmínek, za kterých se bude ukládat konkrétní sankce. Domnívám se, že minimálně zpočátku nebudou sankce příliš vysoké, ale spíše výchovného charakteru. Každopádně ale sankce budou. A je zřejmé, že Úřad pro ochranu osobních údajů se nebude zdráhat dávat sankce například i obcím, samosprávám.

Novinky zavedené GDPR

Shrňme shora uvedené: definice osobních údajů se v podstatě nemění, důvody zpracovávání se také v podstatě nemění, zpřesňují se dílčí povinnosti, mimo jiné na požadavek na souhlas se zpracováním. Pokud v rámci obecních databází máte údaje, které zpracováváte na základě souhlasu subjektu, je potřeba překontrolovat, zda tento souhlas bude použitelný i do budoucna. V případě státních správ a samospráv bude asi většina údajů zpracovávána na základě jiných důvodů, zejména povinností ze zákona, případně smlouvy.

GDPR zavádí zdánlivě novou povinnost, a tou je povinnost vést záznamy o činnostech zpracování. Ta nahrazuje tzv. registraci u Úřadu pro ochranu osobních údajů, přičemž samospráv se registrace zpravidla moc netýkala. U zbytku zpracovatelů, kterých se týkala, tato povinnost zanikne. Všichni ale nově budou muset vést tzv. záznamy o činnostech zpracování, které do určité míry nahradí povinnost registrace. Subjekty údajů se už tak nebudou moci dívat na stránky Úřadu, aby viděli, co má obec zaregistrována, nýbrž budou se obracet přímo na obce, které budou muset odpovědět.

Důležité je, že dochází k přenosu důkazního břemene. Úřad nebude muset prokazovat pochybení, ale bude mu stačit, pokud zpracovatel nebude schopen prokázat soulad s nařízením. Právě proto by záznamy o činnostech zpracování měly být skutečně kvalitní.

Zcela nové je právo na přenositelnost osobních údajů, což se ale podle mého názoru státní správy a samosprávy nedotkne. Jedinou možnou situací je pravděpodobně stěhování občana, avšak k přenosu informací dochází již dnes přes matriku. Pravděpodobně se to týká spíše komerční sféry.

Novou povinností je povinnost hlásit tzv. data breach, tj. ohrožení nebo porušení povinnosti zabezpečit osobní údaje, tedy bezpečnostní incident. Ten musí být bezpodmínečně hlášen Úřadu. Pokud je zde reálný dopad na práva klientů, musí být hlášen i přímo jim. Ztratíte-li například služební mobil s databází jmen a telefonních čísel, měl by být tento incident hlášen. Stejně tak, pokud do tiskárny na chodbě odešlete výtisk s osobními údaji a tento se ztratí. Víte-li ale, že se dotyčný papír nemohl dostat z budovy, že jej sekretářka skartovala, že ztracený mobil je zabezpečen heslem, není potřeba to hlásit minimálně subjektu údajů, neboť nehrozí konkrétní dopad na jeho práva.

Dále GDPR zakotvuje povinnost provést posouzení vlivů na ochranu osobních údajů. Zde je patrná inspirace z posuzování vlivů na životní prostředí. Než se začnou zpracovávat potenciálně riziková data, musí být proveden tzv. impact assessment. Aktuálně je ve Sněmovně návrh zákona o zpracování osobních údajů, podle nějž jedná-li se o zpracování, které nařizuje právní předpis, by nebylo posouzení vlivů povinné. Je ovšem třeba říci, že skutečnost, že povinnost zpracovat údaje je zákonná, neznamená, že je tak činěno správně a bezpečně. Pro zpracovatele by to ale každopádně znamenalo odbřemenění.

GDPR ale reaguje i na některé události, vzpomeňme na kauzu Snowden v USA. Evropské orgány, které byly zpočátku proti zavedení pověřence, následně zcela změnily názor. Organizace, které pracují s velkým množstvím osobních údajů a jsou potenciálně rizikové, musí mít pověřence. Pověřence budou muset mít i obce, což přinese nemalé náklady.

Pokud jde o pokuty, v navrhovaném zákoně o zpracování osobních údajů se předpokládá zastropování ve výši 10.000.000,- Kč pro obce. K návrhu zákona se bohužel sešly stovky pozměňovacích návrhů a je už obtížně srozumitelný.

V praxi čekám velký problém ve střetu ochrany osobních údajů se svobodným přístupem k informacím. Do kleští Vás může dostat pouhý kverulant, který se ptá na všechno nebo někdo, kdo Vás osočí z toho, že jste dané informace neměli poskytnout, neboť jsou chráněny. Judikatura se vyvíjí, nedávno se dokonce Nejvyšší správní soud dostal do rozporu s Ústavním soudem. Podle Nejvyššího správního soudu jsou platy v zásadě vždy věc veřejná, neboť je zde vždy zájem na hospodárnosti nakládání s veřejnými prostředky. Ústavní soud zase řekl, že je vždy nutno vážit testem proporcionality. Stanovisko vydal už i Úřad na ochranu osobních údajů, podle nějž je třeba v každém jednotlivém případě vážit zájmy, ochranu soukromí a zájem na hospodárnosti nakládání s veřejnými prostředky.

Pověřenec

Pověřenec je, jak říká jeden můj kolega advokát, takový malý „bonzáčik“, osoba, která tzv. sedí třech židlích. Má chránit zájmy zpracovatele osobních údajů, zájmy subjektů údajů a spolupracovat s Úřadem. Dělat tuto pozici bude opravdu těžké. Podrobnější pravidla upravuje čl. 37 až 39 GDPR. Stávající pracovní komise 29, která byla ustanovena podle původní směrnice, a která bude transformována ve sbor dozorových úřadů, vydává již dnes guidelines, vodítka. Jedno z nich se věnuje právě i pověřencům, doporučuji se na něj podívat. Pro obce je zásadní Metodické doporučení Ministerstva vnitra k činnosti obcí k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí. Řeší, kdo organizačně může dělat pověřence. Podle Ministerstva vnitra bylo doporučení sepsáno v úzké spolupráci s Úřadem, tedy pokud se podle něj budete řídit, nedostanete pokutu. Do jaké míry se na to dá spolehnout, těžko říci, ale osobně bych tomu v zásadě věřil. Každopádně pověřenec je obligatorní pozicí.

Předpokladem pověřence jsou nesporné profesní kvality a znalost práva ochrany osobních údajů. Představa, že obce naleznou takové osoby, je zvláštní. Pověřenec musí být absolutně nezávislý, přímo podřízený nejvyššímu vedení. Platí neslučitelnost funkcí, tedy pověřencem nemůže být tajemník, starosta, HR úředník, IT pracovník. Pověřenec by měl skloubit neslučitelné zájmy, podle mého názoru bude potenciálně vždy ve střetu zájmů.

Ministerstvo vnitra v Doporučení uvádí, že by měl být vždy maximálně jeden pověřenec pro 10 obcí. Nyní se to snaží korigovat, když v tiskové zprávě uvedlo, že to může být i více obcí, nikoli ale velkých. Lze tedy učinit pověřence ze schopné úřednice na malé obci, ale jen v případě, že není v konfliktu zájmů. Lze vytvořit jednoho pověřence pro všechny subjekty v obci, tzn. pro knihovnu či technickou správu. Pověřencem by neměl být pověřen advokát, který pro obec zastupuje spory. Těžko by mohl figurovat jako nezávislé kontaktní místo pro Úřad, když takový advokát by mohl obec proti Úřadu zastupovat. Obecně ale advokáti pověřenci být mohou, je ale nutné striktně tuto pozici oddělovat od běžné práce advokáta.

Doporučení na závěr

Mé doporučení tedy je – udělejte si audit, kategorizujte údaje, zjistěte, jak a proč s údaji nakládáte. Poté si vše upravte vnitřním předpisem. Zkuste si své procesy a vnitřní předpisy vylepšit. Jestliže si k tomu seženete pověřence, budete velmi blízko naplnění GDPR.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články