Obecná charakteristika nařízení

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) známé pod zkratkou GDPR (z anglického názvu General Data Protection Regulation) nabylo účinnosti dne 25. 5. 2018.
Nařízení navazuje na dosavadní právní úpravu ochrany osobních údajů, kterou byla směrnice 95/46/ES o ochraně osobních údajů, která byla do našeho právního řádu transponována zákonem č. 101/2000 Sb., o ochraně osobních údajů.
Nařízení je na rozdíl od směrnice, která na úrovni EU dosud upravovala nakládání s osobními údaji, přímo závazné a upravuje práva a povinnosti fyzických i právnických osob na poli ochrany osobních údajů. Směrnice toliko vytýčila cíl, které jednotlivé členské státy EU měly dosáhnout, ovšem nechala na nich způsob, jak to učiní.
Nařízení si dává za cíl sjednotit dosavadní roztříštěnou právní úpravu ochrany osobních údajů v jednotlivých členských státech EU a ochránit subjekty údajů ve vztahu k rozvíjející se digitalizaci, sběru velkého množství dat o každém z nás a profilování, tj. automatizovanému zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů fyzických osob. Technologický pokrok je překotný a umožňuje hromadit nezměrné množství osobních údajů, které většina z nás bezelstně umísťuje na sociální sítě a pomocí robotických programů sledovat naše aktivity na internetu.
Nařízení předpokládá, že jednotlivé členské státy přijmou vnitrostátní předpis, který jednotlivá práva a povinnosti rozvede. Ministerstvo vnitra ČR připravilo nový zákon o ochraně osobních údajů, který vláda schválila a předkládá ke schválení Parlamentu ČR.
Nařízení se vztahuje na celou EU, tedy na zpracování osobních údajů subjektů údajů, které se nacházejí v EU, a to i správcem nebo zpracovatelem, který není usazen v EU, pokud činnosti zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů v Unii.
Nařízení se v zásadě neliší od našeho zákona č. 101/2000 Sb., o ochraně osobních údajů, rozruch kolem GDPR přinesly zejména výše pokut za jeho nedodržování. Nařízení posiluje systém práv subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost. Mezi nové povinnosti správce či zpracovatele patří:

  • záznamy o činnostech zpracování
  • jmenování pověřence pro ochranu osobních údajů
  • posouzení vlivu na ochranu osobních údajů
  • předchozí konzultace s dozorovým úřadem
  • povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů
  • právo na přenositelnost údajů.

Tyto zmíněné povinnosti mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.
Nařízení se nevztahuje na zpracování osobních údajů:

  • prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností
  • prováděné orgány činnými v trestním řízení v rámci výkonu jejich pravomoci
  • zesnulých osob
  • právnických osob, ty nejsou dle definice osobními údaji

Obecným nařízením se jinak musí řídit každý, kdo provádí zpracování osobních údajů. Lze říci, že pro toho, kdo se řídil dosavadním zákonem o ochraně osobních údajů, nepředstavuje GDPR žádnou zásadní změnu. Ovšem vzhledem k tomu, že zákon na ochranu osobních údajů byl začasté přehlížen, ochrana osobních údajů se zanedbávala a spočívala povětšinou jen ve vyžadování souhlasů s jejich zpracováním i v případech, kdy poskytnutí souhlasu nebylo nutné, čeká subjekty, které dosud ochranu osobních údajů zanedbávaly, dost práce, aby GDPR implementovaly do své každodenní práce s osobními údaji. Na druhou stranu je to možné brát jako příležitost nastolit ve firmě pořádek v oblasti ochrany osobních údajů a nakládání s nimi.

  1. Základní pojmy (čl. 4)

Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají.
Zpracováním je jakákoli operace s osobními údaji nebo soubory osobních údajů, jako např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, vyhledání, nahlédnutí, použití, zpřístupnění, šíření, výmaz či zničení.
Správcem je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje typicky zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv).
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Typickým zpracovatelem je např. externí mzdová účetní firma nebo poskytovatel cloudu (úložiště apod.)

  1. Zásady zpracování (čl. 5)

GDPR je založeno na dvou základních principech:

  • odpovědnost správce za dodržení zásad zpracování
  • rizika, tzn. že správce je povinen zabezpečit zpracovávané osobní údaje vzhledem k rozsahu, účelu a povaze zpracování a z toho vyplývajících možných rizik

Základní zásady zpracování:

  • zákonnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu, viz níže,
  • korektnost, transparentnost – vůči subjektu údajů transparentně a korektně, tj. správce je povinen zpracovávat osobní údaje otevřeně, nezatajovat důvody, proč potřebuje osobní údaje zpracovávat, plnit informační povinnost vůči subjektům údajů – stručným, transparentním, srozumitelným a snadno přístupným způsobem, za použití jasných a jednoduchých jazykových prostředků
  • omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány, je např. běžné, že zákazník si nemůže objednat v e-shopu zboží, aniž by neprošel procesem úplné registrace, při které musí uvést nejen své adresné údaje, ale i pohlaví, rodné číslo apod., to je v rozporu s nařízením
  • přesnost – osobní údaje musí být přesné, nepřesné údaje musí být opraveny nebo vymazány
  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
  • integrita a důvěrnost – technické a organizační zabezpečení osobních údajů před neoprávněným nebo protiprávním zpracování, náhodnou ztrátou, zničením či poškozením

Za jejich dodržování je odpovědný správce, který musí být schopen dodržování těchto zásad (povinností) doložit. Správce je povinen zavést a aktualizovat vhodná technická a organizační opatření, aby zajistil a doložil zpracování osobních údajů v souladu s GDPR.

  1. Právní důvody zpracování (čl. 6) – vyhovění zásadě zákonnosti
  • subjekt údajů udělil souhlaspro jeden či více konkrétních účelů
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. epidemie, katastrofy),
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů (za podmínky, že subjekt údajů mohl zpracování důvodně očekávat, např. z důvodu zajištění bezpečnosti sítě).
  1. Souhlas se zpracováním osobních údajů

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas nemusí být výslovný (kromě osobních údajů zvláštní kategorie), postačí, pokud subjekt údajů učiní nějakou akci, ze které je zjevný jeho úmysl souhlas udělit, což může být zaškrtnutí políčka (nesmí ovšem být předem zaškrtnuto), ale i vyplnění e-mailové adresy do pole, u kterého je uvedeno, že si subjekt údajů přeje zasílat reklamní sdělení.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Žádost správce o souhlas musí být vyjádřena srozumitelně jasnými a jednoduchými jazykovými prostředky. Souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, již není možné, aby byl jejich nedílnou součástí.
Souhlas musí být svobodný. Souhlas není svobodný, pokud subjekt údajů nemá skutečnou a svobodnou volbu udělení souhlasu odmítnout, aniž by byl poškozen. Souhlas zaměstnance s vystavením jeho fotografie na webových stránkách zaměstnavatele není svobodný, pokud by jeho neudělení pro něj znamenalo zpomalení kariérního růstu nebo nepřiznání pohyblivé složky mzdy.
Uzavření smlouvy (např. na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. V praxi není neobvyklé, že např. internetové obchody neakceptují objednávku zákazníka, pokud nezaškrtne, že souhlasí se zpracováním osobních údajů. To je v rozporu s nařízením.
Souhlas ke zpracování osobních údajů byl nadužíván a vyžadován zbytečně, což vedlo k jeho vyprázdnění. Tam, kde je zpracování nezbytné pro plnění smlouvy či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje.
Souhlas je odvolatelný. Ne vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Např. jméno a příjmení zákazníka může být zpracováváno jednak pro účely plnění závazku z kupní smlouvy, jednak pro účely nabízení zboží a služeb, jednak pro účely vymáhání právních nároků a jednak pro účely archivnictví.
V případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů. Pokud dojde k anonymizaci osobních údajů, bude možné s nimi pracovat i nadále a GDPR se na ně nebude vůbec vztahovat.
Souhlas u osoby mladší 16 let je možný pouze tehdy, pokud je vyjádřen nebo schválen osobou vykonávající rodičovskou odpovědnost k dítěti. Členské státy EU mohou tuto hranici snížit na 13 let. V návrhu českého zákona je věková hranice stanovena na 15 let.
Souhlasy udělené subjekty údajů před nabytím účinnosti nařízení mohou být využity i po tomto datu, ovšem jen za podmínky, že souhlas byl udělen způsobem a v souladu s podmínkami nařízení. To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 obecného nařízení, například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.
Souhlasem se zpracováním osobních údajů není jejich zveřejnění na internetu:
V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění založené na některém z právních důvodů v článku 6 odst. 1 nařízení.
Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování. Právní důvodem zpracování zveřejněných osobních údajů by mohl být oprávněný zájem správce, ten je však nutno poměřit s právy a zájmy subjektu údajů, negativními a pozitivními důsledky pro subjekty údajů, jejich rozumnými očekáváními a vztahem mezi subjektem údajů a správcem.

  1. Zvláštní kategorie osobních údajů

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Zvláštní kategorie osobních údajů lze zpracovávat, pokud:

  • subjekt údajů udělil výslovný souhlas
  • zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas
  • zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt
  • zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů
  • zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
  • zpracování je nezbytné z důvodu významného veřejného zájmu
  • zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.
  • zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků
  • zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.
Nakládání s fotografií není a priori zpracování citlivých údajů o subjektu údajů. O zpracování zvláštních kategorií osobních údajů by se jednalo až tehdy, pokud by z fotografie byly tyto údaje cíleně zpracovávány ve vztahu ke konkrétní fyzické osobě.

  1. Práva subjektu údajů

a) Právo na informace o zpracování svých osobních údajů (čl. 13, 14):
Správce poskytne subjektu údajů v okamžiku získání osobních údajů od subjektu údajů tyto informace o zpracování jeho osobních údajů:

  • totožnost správce a pověřence, popř. příjemce os. údajů
  • účel zpracování
  • doba, po kterou jsou osobní údaje uloženy
  • práva subjektu údajů na přístup, opravu, výmaz, omezení zpracování, vznést námitku proti zpracování, podat stížnost, odvolat souhlas, na přenositelnost
  • zda poskytnutí OÚ je zákonným nebo smluvním požadavkem

b) Právo na přístup k osobním údajům (čl. 15):
Oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

  • účely zpracování
  • kategorie dotčených osobních údajů
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
  • plánovaná doba, po kterou budou osobní údaje uloženy
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku
  • právo podat stížnost u dozorového úřadu
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování

Správce na žádost poskytne kopii zpracovávaných os. údajů.
Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.
c) Právo na opravu (čl. 16):
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.
d) Právo na výmaz (čl. 17):
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
  • osobní údaje byly zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění právní povinnosti

Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost. Jestliže správce os. údaje zveřejnil, přijme s ohledem na dostupnou technologii a náklady přiměřené kroky, aby informoval správce, které tyto údaje zpracovávají, že je subjektu údajů žádá, aby vymazali veškeré odkazy a jejich kopie. To se týká internetových vyhledavačů, které má každý člověk právo požádat, aby se postaraly o odstranění výsledků vyhledávání, ve kterých je obsaženo jméno či jiné osobní údaje subjektu údajů.
Právo na výmaz není absolutní právo. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů, pokud je zpracování nezbytné pro plnění právní povinnosti nebo z důvodu veřejného zájmu, pro výkon nebo obhajobu právních nároků (právo věřitele vůči dlužníku), z důvodu archivace ve věř. zájmu (např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů), popř. pro výkon práva na svobodu projevu a informace.
Subjekt údajů namísto práva na výmaz může uplatnit právo na omezení zpracování (čl. 18).
e) Právo na přenositelnost údajů (čl. 20):
Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci, je-li to technicky proveditelné.
Společné podmínky k aplikaci práva na přenositelnost:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě
  • zpracování se provádí automatizovaně

Toto právo bylo zakotveno k podpoře konkurence na digitálním trhu. V praxi půjde nejčastěji o přenos dat mezi jednotlivými aplikacemi, jako jsou sdílené kalendáře, elektronická pošta, vyhledávače zaměstnání, aplikace shromažďující informace o zdravotním stavu, úložiště fotografií, hudební platformy apod.
f) Právo vznést námitku (čl. 21):
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
g) Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování (čl. 22):
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.
Nelze tak například automatizovaně pokutovat řidiče překračující rychlost, aniž by pokutu nepřezkoumal člověk.
Zákaz automatizovaného individuálního rozhodování je stanoven i v § 11 odst. 6 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.

  1. Správce, zpracovatel (čl. 24 – 29)

Správce odpovídá za dodržování povinností uložených mu nařízením, zejm. zásad zpracování, jejichž dodržování zároveň musí být správce schopen doložit. Nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadne, zejména pokud jde o nové povinnosti založené na přístupu na riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů). Nařízení váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují.
Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření tak, aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky nařízení a byla zajištěna ochrana práv subjektů údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnost zpracovatele zabezpečit zpracování, zajistit mlčenlivost osob oprávněných zpracovávat osobní údaje a zajistit zpracování osobních údajů jen na základě doložených pokynů správce.
Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů. Správce je povinen pravidelně prověřovat, zda zpracovatel plní požadavky na něj kladené smlouvou a nařízením.

  1. Záznamy o činnostech zpracování (čl. 30)

Správce a zpracovatel, jsou povinni vést o činnostech zpracování záznamy. Nejedná se o záznamy každodenní činnosti s osobními údaji, ale o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Záznamy obsahují identifikaci správce/zpracovatele, účely zpracování, kategorie subjektu údajů a osobních údajů.
Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech. Do tohoto počtu se počítají i zaměstnanci na dohody o pracích konaných mimo pracovní poměr či agenturní zaměstnanci.

  1. Zabezpečení osobních údajů (čl. 32 – 34)

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením, zejm. že jsou osobní údaje zabezpečeny před neautorizovaným přístupem, změnou, zničením apod. Každý správce tak musí přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné. Každý správce musí vyhodnotit, jak závažně by byla poškozena práva a ohroženy zájmy subjektů údajů, pokud by došlo k neautorizovaným nebo nezákonným zásahům do osobních údajů. Je nutno zajistit automatizovanou sofwarovou kontrolu práce s osobními údaji a zabránit tomu, aby zaměstnanci správce např. zkopírovali a vynesli osobní údaje.
Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, popř. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven. Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.
V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.
Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví). Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku.

  1. Posouzení vlivu na ochranu osobních údajů (čl. 35), konzultace s ÚOOÚ (čl. 36), kodexy (čl. 40, 41), osvědčení (čl. 42, 43)

Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
Posouzení vlivu na ochranu osobních údajů se vyžaduje především:

  • u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
  • u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
  • u rozsáhlého systematického monitorování veřejně přístupných prostorů

Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Jinými slovy, pokud správci i po přijetí opatření ke zmírnění vysokého rizika toto vysoké riziko přetrvává. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko s dozorovým úřadem.
Kodexy budou moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů přičemž návrh kodexu musí být předložen Úřadu pro ochranu osobních údajů, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictví.

Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů.

  1. Pověřenec pro ochranu osobních údajů

Pověřence musí jmenovat správce a zpracovatel pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí
  • hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech

Nespadá-li správce do výše uvedených kategorií, pověřence jmenovat nemusí. Pokud lékař, který ze své podstaty zpracovává zvláštní kategorie údajů, neprovádí jejich rozsáhlé zpracování, pověřence jmenovat nemusí; na rozdíl od nemocnice, která rozsáhlé zpracování os. údajů provádí.
Je samozřejmě obtížné určit, co se již považuje za rozsáhlé zpracování osobních údajů. Zpřesnění výkladu přinese až praxe a rozhodnutí ÚOOÚ. Pro určení rozsáhlosti zpracování je stěžejní počet dotčených subjektů, objem zpracovávaných dat, rozsah datových položek apod. (typickými příklady jsou banky, pojišťovny). Pravidelným a systematickým monitorováním subjektů údajů je např. provozování telekomunikačních sítí, daty řízený marketing a věrnostní programy.
Skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý podnik snadno dosažitelný. Stejně tak lze i pro jmenování pověřence pro orgán veřejné moci či veřejný subjekt přihlédnout k jejich organizační struktuře a jejich velikosti a ve vhodných případech pro ně jmenovat jednoho pověřence.
Pověřenec:

  • poskytuje informace a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí,
  • monitoruje soulad zpracování s nařízením a dalšími předpisy,
  • poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů,
  • může vypracovat záznamy o činnostech zpracování
  • spolupracuje s Úřadem pro ochranu osobních údajů.

Nařízení nestanovuje přesné požadavky na vzdělání pověřence. Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat obecné nařízení. Nařízení nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence, nijak s certifikacemi pověřenců nepracuje ani je nepředpokládá.
Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Pověřenec může být v zaměstnaneckém poměru nebo externí osobou, která poskytuje správci nebo zpracovateli služby pověřence na základě příkazní či obdobné smlouvy.
Správce musí zveřejnit kontaktní údaje pověřence (typicky na webových stránkách) a sdělit je dozorovému orgánu.
Jmenování pověřence nevylučuje zodpovědnost jednotlivých vedoucích za řádné zpracování osobních údajů na jimi řízeném oddělení, tedy např. v personálním oddělení za zpracování osobních údajů zaměstnanců, v obchodním oddělení za zpracování osobních údajů zákazníků, v IT oddělení za bezpečnost zpracovávaných osobních údajů. Pověřenec nenese osobní zodpovědnost za dodržování GDPR, ta vždy leží na správcích a zpracovatelích.

  1. Pokuty (čl. 83)

Nikoli za každé porušení nařízení musí být udělena pokuta, ale správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují obecné nařízení, nebo může být správci, jehož operace zpracování porušily obecné nařízení, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s obecným nařízením atd.
Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které obecné nařízení zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.
Při stanovení výše pokud brána v úvahu bude zejména povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní porušení, kroky podniknuté správcem a spolupráce s Úřadem pro ochranu osobních údajů atd.
Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud.

  1. Dopad GDPR do oblasti marketingu

Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu správce. To znamená, že do určité míry je možné osobní údaje pro účely přímého marketingu zpracovávat i bez souhlasu subjektů údajů. To je nutno však vykládat spíše restriktivně, tzn. že je nutno poměřovat zájem správce na zpracování osobních údajů s oprávněnými zájmy subjektů údajů, negativními a pozitivními důsledky pro subjekty údajů, jejich rozumnými očekáváními a vztahem mezi subjekty údajů a správcem. Klíčové je, zda může subjekt údajů důvodně očekávat, že ke zpracování jeho os. údajů pro tento účel může dojít. V praxi to znamená, že bez souhlasu subjektu údajů bude možné zpracovávat osobní údaje za účelem přímého marketingu vlastních produktů a služeb jen stávajících zákazníků. Jejich souhlasem budou podmíněny pokročilé marketingové aktivity jako sledování a vyhodnocování jejich aktivit na webových stránkách a rozšiřování údajů o zákaznících z dalších zdrojů (např. ze sociálních sítí) za účelem cílení reklamy.
Českým právem jsou reklamy zasílané elektronickou poštou či v jiné formě elektronické komunikace upraveny především §7 zákona č. 480/2004 Sb., o některých službách informační společnosti. K zasílání obchodních sdělení (reklam apod.) je nutný platný souhlas udělený jednoznačně určenou osobou se zasíláním obchodních sdělení; výjimkou je zasílání nabídek na kontakty, které správce získal v souvislosti s prodejem svého zboží a služeb. Souhlasem se podle § 7 zákona č. 480/2004 Sb. rozumí svobodný, zřejmý a vědomý projev vůle, který učiní adresát vůči šiřiteli obchodních sdělení, aby mu umožnil využívat podrobnosti svého elektronického kontaktu k šíření obchodních sdělení. Ze souhlasu musí být vždy jasné, kdo jej poskytuje, komu jej poskytuje a za jakým účelem. Souhlas by měl být udělen předem (před zasláním reklamy ne po jejím obdržení) a šiřitel musí být schopen jej doložit. Z toho jasně plyne, že povinností odesílatele obchodního sdělení je doložení souhlasu jednoznačně určené osoby se zasíláním obchodních sdělení. Souhlasu dále musí být poskytnut právě konkrétnímu šiřiteli a také by měl vymezovat věcný okruh obchodních sdělení, k jejichž přijímání příjemce souhlas poskytuje. Příjemci reklam musí být dána možnost souhlas odvolat v každém jednotlivém zaslaném sdělení. Zákonem není stanovena požadovaná forma takového souhlasu (např. písemná), ale, jak je uvedeno výše, poskytnutí souhlasu musí být doložitelné. S tím souvisí i skutečnost, že důkazní břemeno ohledně udělení platného souhlasu nese plně právě šiřitel. Pokud není šiřitel schopen poskytnutí souhlasu doložit, riskuje poměrně znatelnou sankci (až do výše 10.000.000 Kč, cca. 400.000 EUR). Jedná se totiž o porušení povinností podle výše zmíněného §7 zákona č. 480/2004 Sb. a související přestupkové jednání podle § 11 téhož předpisu.
Co se týká využívání databází třetích stran pro získání kontaktů k oslovení v rámci marketingové komunikace, je toto využití možné jen se souhlasem subjektu údajů. Poskytovatel databáze je povinen doložit udělení platného souhlasu subjektu údajů a jeho dostatečné informování o zpracování novým správcem.

  1. Nutné kroky k dodržování nařízení

Každý správce osobních údajů by měl předně učinit tyto kroky:

  • vyhodnocení rozsahu zpracovávání osobních údajů (audit osobních údajů)
  • vyhodnocení rizik při zpracování osobních údajů
  • přijetí technicko-organizačních opatření k zabezpečení osobních údajů proti náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů
  • zpracování pravidel (vnitřní směrnice) pro ochranu osobních údajů
  • uložení povinnosti mlčenlivosti o zpracovávaných osobních údajích zaměstnancům a obchodním partnerům, pokud povinnost mlčenlivosti není uložena obecně závazným právním předpisem
  • ověření a revize právních důvodů zpracovávání os. údajů
  • ověření platnosti dříve udělených souhlasů se zpracovávání os. údajů, vč. zjištění nutnosti souhlasů se zpracováváním os. údajů
  • opatření nových souhlasů v případech, kde správce nedisponuje platným souhlasem ani jiným právním důvodem ke zpracování osobních údajů subjektu údajů
  • poskytnutí informací subjektům údajů o zpracování jejich osobních údajů, na které mají dle nařízení nárok (totožnost správce a pověřence, popř. příjemce os. údajů, účel zpracování, doba, po kterou jsou osobní údaje uloženy, práva subjektu údajů na přístup, opravu, výmaz, omezení zpracování, vznést námitku proti zpracování, podat stížnost, odvolat souhlas, na přenositelnost, zda poskytnutí osob. údajů je zákonným nebo smluvním požadavkem)
  • uzavření písemné smlouvy mezi správcem a zpracovatelem (pokud správce využívá zpracovatele), v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnost zpracovatele zabezpečit zpracování, zajistit mlčenlivost osob oprávněných zpracovávat osobní údaje a zajistit zpracování osobních údajů jen na základě doložených pokynů správce
  • zjištění, zda je správce povinen vést záznamy o činnostech zpracování (tato povinnost nedopadá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů), v případě povinnost vést záznamy o činnostech zpracování tuto povinnost plnit
  • zjištění, zda je správce povinen jmenovat pověřence, pokud ano, jmenovat
  • zjištění, zda musí provést posouzení vlivu na ochranu osobních údajů (pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob)

S využitím podkladů Úřadu na ochranu osobních údajů k obecnému nařízení o ochraně osobních údajů

JUDr. Ing. Miroslav Nosek

advokát v Táboře, tel. 777 794 871

www.judrnosek.cz, ak@judrnosek.cz

CategoryGDPR