1. Úvod
Tento článek si klade za cíl upozornit na některé zásadní dopady obecného nařízení o ochraně osobních údajů (angl. General Data Protection Regulation), nebo-li tzv. GDPR. GDPR by mělo vstoupit v účinnost dne 25. května 2018 a jeho cílem je posílení práv občanů EU při zpracovávání jejich osobních údajů.
GDPR se týká jak jednotlivců (fyzických osob), které jsou subjektem údajů, tak i společností, které zpracovávají data uživatelů, tedy správcům či zpracovatelům. Dokonce ukládá správcům a zpracovatelům povinnost zřídit nezávislou kontrolní funkci tzv. DPO (Data Protection Officer), který bude na zpracovávání osobních údajů v souladu s GDPR dohlížet.
2. Osobní údaje
Za osobní údaje GDPR považuje veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě, které jsou o ní shromažďovány.
Lze sem zařadit zejména jméno, pohlaví, věk a datum narození, osobní stav, e-mail adresu, IP adresu, telefonní číslo či fotografický záznam.
GDPR pak dále zohledňuje i zvláštní kategorie osobních údajů, jimiž jsou např. údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.
GDPR pak obdobně jako zákon o ochraně osobních údajů rozlišuje mezi osobním a citlivým údajem.
Citlivými údaji jsou např. údaje genetické, biometrické a osobní údaje dětí. Zpracování těchto údajů podléhá přísnějšímu režimu.
3. Povinnosti zpracovatelů a správců
GDPR zavádí novou povinnost všem správcům a zpracovatelům údajů (bez ohledu na jejich velikost nebo počet zaměstnanců) zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Jedná se tzv. princip zodpovědnosti.
Tato povinnost obnáší např.:
(i) vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment (DPIA),
(ii) povinnost pseudonymizace údajů,
(iii) povinnost pověřit zvláštní osobu ochranou osobních údajů, tedy DPO (Data Protection Officer),
(iv) vedení záznamů o činnostech zpracování,
(v) konzultace s dozorovým orgánem a další.
Výše uvedená povinnost vypracovat DPIA tak dopadne např. na banky, pojišťovny, bezpečnostní agentury, nemocnice, poskytovatele telekomunikačních služeb, ale i spousty dalších správců a zpracovatelů údajů.
Pseudonymizace pak bude spočívat v povinnosti uchovávat odděleně dodatečné informace, které by umožnily konkrétní identifikaci subjektu údajů. Jinými slovy údaje musejí být nyní zpracovávány tak, aby neumožnily identifikaci konkrétního subjektu údajů bez použití dodatečných informací, které budou uchovávány odděleně.
Každý správce a zpracovatel bude povinen vést detailní záznamy o činnostech zpracování. Bude rovněž povinen za účelem kontroly tyto záznamy zpřístupnit dozorovému orgánu. Výjimku budou moci dostat pouze správci/zpracovatelé s méně než 250 zaměstnanci, pokud (i) nezpracovávají citlivé údaje, (ii) zpracování osobních údajů není jejich hlavní činností a (iii) neexistuje u nich riziko narušení práv a svobod osob.
4. Práva subjektů údajů
GDPR dává rovněž každému subjektu údajů velmi silná práva, kterými dosud nedisponovali. Mezi tato práva patří právo na (i) přístup, (ii) opravu, (iii) výmaz, (iv) tzv. právo být zapomenut, (v) právo na přenositelnost údajů a (vii) právo vznést námitku.
- Právo na přístup. Právo na přístup umožní každému subjektu údajů ověřit si zákonnost zpracování jejich údajů. Toto právo pak může být omezeno v zájmu národní a veřejné bezpečnosti. Každý subjekt údajů má tedy právo znát např. období, po které budou údaje uchovávány či znát příjemce jeho osobních údajů.
- Právo na opravu. V případě zjištění pochybení v rámci práva na přístup pak může každý subjekt údajů žádat o opravu. Správce by měl zajistit podmínky pro to, aby žádosti o opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.
- Právo na výmaz. GDPR dává subjektu údajů rovněž právo žádat, aby správce bez zbytečného odkladu vymazal veškeré osobní údaje daného subjektu ze své evidence. Toto právo lze však uplatnit pouze při splnění určitých podmínek, jejichž rozbor přesahuje možnosti tohoto článku.
- Právo být zapomenut. Nad rámec práva na výmaz zavádí GDPR tzv. právo být zapomenut, které umožňuje subjektu údajů žádat, aby správce zajistil vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. Rovněž u tohoto práva je nutno splnit podmínky, jejichž rozbor přesahuje možnosti tohoto článku.
- Právo vznést námitku. Každý subjekt údajů má rovněž dle GDPR právo vznést námitku proti způsobu či rozsahu zpracování jeho osobních údajů a správce je povinen tuto námitku vypořádat.
- Právo na přenositelnost. Toto právo lze uplatnit, pokud (i) je zpracování údajů smluvní či na základě souhlasu subjektu údajů a (ii) je prováděno automatizovaně. Uplatněním tohoto práva vzniká správci povinnost předat subjektu údajů všechny o něm zpracovávané informace ve strukturovaném, běžně používaném, strojově čitelném formátu. Takto získané údaje je pak možné poskytnout jinému správci, tedy „přenést“ tyto údaje.
5. Sankce
GDPR rovněž upravuje relativně vysoké pokuty za porušení výše vymezených povinností správců a zpracovatelů.
Výše pokut se samozřejmě odvíjí od závažnosti přestupku, resp. deliktu (závažnost a délka porušování, počet poškozených, výše škody, atd). Maximální výše pokuty stanovená GDPR činí buď 20.000.000 EUR nebo 4 % z celkového ročního obratu správce/zprostředkovatel, přičemž se použije vyšší hodnota.
Takto vysoká pokuta pak může dle GDPR stihnout i relativně malou společnost a tím pádem může de facto znamenat její likvidaci.
6. Závěr
GDPR se dotkne velkého množství subjektů a pro správce a zpracovatele osobních údajů bude znamenat zvýšené administrativní náklady na splnění všech povinností, a to pod hrozbou velmi vysokých sankcí (viz bod 5 výše).
Dodržování pravidel GDPR pak bude každý správce a zpracovatel nucen evidovat a rovněž prokazatelně předložit ke kontrole, a to po celou dobu zpracování.
Subjektům údajů pak dává nová práva, která mohou vůči správcům a zpracovatelům uplatnit. Tato práva jsou podrobněji rozebrána v bodě 4 výše. Každý subjekt údajů bude mít nyní právo být důkladně informován o rozsahu a způsobu zpracovávání osobních údajů, zpracovávání kontrolovat a do značné míry ho i ovlivňovat, bude-li chtít.
Zásadním zcela novým právem je pak právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
Rovněž dochází k rozšíření definice osobního údaje, když za osobní údaj je nově považován např. e-mail, IP adresa nebo tzv. cookies v zařízení uživatele.
GDPR upravuje i další povinnosti, jako např. povinnost správce/zpracovatele ohlásit únik údajů kontrolnímu orgánu nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. Podrobnější rozbor GDPR je však již nad možnosti tohoto článku.
Pokud se Vás tedy GDPR dotýká, doporučujeme obrátit se na kvalifikovanou právní pomoc, která Vám pomůže navrhnout řešení, jak se adaptovat na GDPR a předejít tak velmi vysokým pokutám.
Pro více informací se prosím obraťte na partnera kanceláře, Mgr. Jiřího Kučeru, e-mail: jkucera@kuceralegal.cz; tel: +420604242241 nebo na spolupracujícího advokáta Mgr. Karla Machačku, e-mail: kmachacka@kuceralegal.cz; tel: +420734854856, popřípadě na sekretariát, e-mail: info@kuceralegal.cz; tel: +420737235119.
Napsal: Jiří Kučera