Arzinger & Partners

GDPR – REGULACE DOPADAJÍCÍ NA VŠECHNY

23.02.2018

Obecné nařízení o ochraně osobních údajů, známé lépe jako GDPR, je významným počinem na cestě k ochraně komodity, která se stává na současném trhu stále cennější - osobních údajů. Ochrana poskytovaná nařízením přináší nám všem velkou řadu práv. Na druhou stranu přináší velkou řadu povinností každému, kdo i jen okrajově zpracovává osobní údaje kohokoliv – svých zaměstnanců, obchodních partnerů, zákazníků. Co tedy GDPR přináší a proč je tak důležité?

GDPR, z anglického General Data Protection Regulation, je evropské nařízení, které nahradí český zákon o ochraně osobních údajů a které komplexně upravuje ochranu osobních údajů v celé Evropské unii. Jeho dopad je velmi široký a dopadne i na mnoho osob, které možná dodnes nevěděly, že jsou správci osobních údajů a že jim z toho plynou nějaké povinnosti. GDPR se dotkne všech subjektů od jednotlivců přes společnosti až po veřejné instituce, kteří zpracovávají osobní údaje – osobní údaje svých zaměstnanců, obchodních partnerů, svých klientů, ale klidně také návštěvníků svých internetových stránek, jelikož metadata, IP adresa a soubory cookies jsou také osobními údaji. Na implementaci GDPR je však již jen málo času; účinné je od 25. května 2018 a správci musí být sami schopni prokázat, že od tohoto data GDPR dodržují.

Osobními údaji jsou dle GDPR všechny informace o identifikovatelné osobě. Jde o velmi široké vymezení, a zahrnuje jak identifikační a kontaktní údaje (jméno, adresa, datum narození, e-mail apod.), tak i jakékoliv představitelné údaje přiřaditelné ke konkrétní osobě – demonstrativně může jít i třeba o informace o zdravotním stavu, výše mzdy, kde byla osoba na dovolené, jaké má koníčky, jaké víno a kolik si ho objednává přes e-shop, jaké internetové stránky navštěvuje a jak dlouho na nich setrvává, fotografie na sociálních sítích; podobně by šlo pokračovat téměř neomezeně. Pokud tedy uchováváte jakékoliv údaje o identifikovatelné osobě a nejde jen o osobní a domácí použití, musíte tyto údaje v souladu s GDPR chránit.

Proč jsou však GDPR a ochrana osobních údajů tak důležité? Zejména proto, že je ochrana osobních údajů v dnešní době velmi podceňována a neodpovídá současnému trendu v nakládání s nimi. S rozvojem internetu a moderních technologií se osobní údaje o každém z nás nekontrolované šíří sítí. Osobní údaje se totiž, aniž o tom většina lidí ví, staly velmi ceněným zbožím a rozsáhle se s nimi obchoduje. Poměrně nevinným příkladem je, když Vám na e-mail přicházejí tzv. spamy, neboli nevyžádaná obchodní sdělení. Obchodník, o kterém jste nikdy neslyšeli, Vaši e-mailovou adresu a pravděpodobně i další údaje o Vás koupil v rámci velkého balíčku osobních údajů od správce, kterému jste tyto údaje poskytli. Obchod s osobními údaji je nyní již tak rozvinutý, že se o osobních údajích někdy hovoří jako o nové měně. Význam osobních údajů a jejich ochrany byl dlouhodobě podceňován, a to zejména lidmi, kterých se osobní údaje týkají, a tento stav byl mnohými zneužíván. GDPR tomu má učinit přítrž, a to zejména mnoha novými povinnostmi pro správce osobních údajů a mnoha právy pro ty, jejichž osobní údaje jsou zpracovávány. GDPR přichází s koncepcí tzv. privacy by design, tedy zásadou záměrné a standardní ochrany osobních údajů. Jednoduše řečeno tím zavádí povinnost, aby správce při všem, co dělá nebo plánuje dělat, bral v úvahu osobní údaje a jejich ochranu. Obrazně tedy lze na osobní údaje nahlížet ze dvou úhlů, ideálně z toho prvního – jako poklad, obdobu peněz či cenných papírů, které mám a které musím chránit, aby se k nim nikdo cizí nedostal, protože mají velkou hodnotu; nebo jako obdobu radioaktivního odpadu – musím je pečlivě chránit, protože pokud mi uniknout, způsobí velkou škodu a já za ni budu odpovědný.

Z GDPR plyne pro správce velká řada povinností. Základní povinností každého správce je zpracovávat osobní údaje v souladu se zásadami GDPR. Těmi jsou:
 zákonnost
 korektnost a transparentnost
 účelové omezení
 minimalizace údajů
 přesnost
 omezení uložení
 integrita a důvěrnost

Ty lze stručně shrnout tak, že by měl správce zpracovávat o každém pouze minimální množství osobních údajů, které nezbytně potřebuje za konkrétním účelem, po nezbytně nutnou dobu, a to na základě některého ze zákonných důvodů. Tím bude zejména plnění smluvní povinnosti, zákonné povinnosti nebo souhlas subjektu údajů, tedy osoby, jíž se osobní údaje týkají. Zároveň by měl mít subjekt údajů přesný přehled o tom, kdo, jak a proč jeho osobní údaje zpracovává.

Z toho vyplývá také široká informační povinnost správce a mnohá práva subjektu údajů. Těmito právy je např.
 právo být srozumitelně informován o zpracování osobních údajů ve chvíli, kdy je správce začne zpracovávat (zejména před udělením souhlasu se zpracováním)
 právo na přístup k osobním údajům, tedy kdykoliv se dotázat, zda správce zpracovává osobní údaje subjektu a pokud ano, tak jaké
 nově také právo na tzv. přenositelnost – pokud se jedná o automatizované zpracování, má subjekt údajů právo, aby informace o zpracování a veškeré jeho osobní údaje obdržel ve strojově čitelné formě, tedy např. tabulce Excel.

GDPR navíc, ačkoliv jde o poměrně složitý a těžko pochopitelný předpis, požaduje, aby byly všechny informace subjektu údajů poskytnuty jednoduchým jazykem a srozumitelně.
Nová je také úprava souhlasu se zpracováním osobních údajů – většina dosud udělených souhlasů tak údajně přestane platit! Souhlas musí být hlavně informovaný a svobodný a musí být v souladu s GDPR. Udělením souhlasu tedy nebude možné podmínit uzavření smlouvy, protože by nebyl svobodný a tudíž platný. Stejně tak nesmí být obsažen v obchodních podmínkách nebo v rámci jiného textu. V důsledku GDPR také dojde k výraznému úbytku udělování souhlasů se zpracováním osobních údajů, protože mnohdy souhlas nebude potřeba a existence souhlasu by naopak představovala širší povinnosti správce. I proto je třeba se této situaci včas přizpůsobit.

Naopak k přímému marketingu už v mnoha případech souhlasu třeba nebude, protože GDPR zavádí zákonný důvod k tomuto zpracování – oprávněný zájem správce. Musí však jít o zákazníka či partnera správce, nikoliv o někoho dalšího. Proti tomuto přímému marketingu může každý podat správci námitky, a správce pak již tuto osobu nesmí marketingově kontaktovat.

Mezi další práva subjektu údajů, na které musí být správce připraven reagovat v poměrně krátkých lhůtách poté, co subjekt některé z těchto práv využije, patří:
 právo na opravu
 právo na výmaz (tedy relativně nové právo „být zapomenut“)
 právo na omezení zpracování
 právo vznášet námitky proti zpracování
 právo nebýt předmětem automatického rozhodování, včetně profilování

Jelikož při kontrole ze strany Úřadu pro ochranu osobních údajů musí správce sám prokázat, že GDPR dodržuje, obsahuje GDPR i množství administrativních povinností, které umožní správci dodržování všech povinností prokázat. Jedná se zejména o záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů (DPIA) a ustanovení pověřence pro ochranu osobních údajů – čím rizikovější zpracování, tím více instrumentů. Zpracování těchto dokumentů bude obvykle předcházet tzv. GAP analýza, která zmapuje současný stav ochrany osobních údajů a posoudí jejich soulad s GDPR.

V rámci záznamů o činnostech zpracování jsou popsány všechny procesy, kdy dochází ke zpracování osobních údajů, prostředky jejich zabezpečení a mnoho dalších detailů požadovaných GDPR. Posouzení vlivu na ochranu osobních údajů (nebo také DPIA – „data protection impact assessment) se využije méně, a to v případech, že je zpracování rizikové, zejména pokud probíhá s využitím nových technologií. Cílem je identifikovat rizika a navrhnout opatření, jak rizikům zabránit. Pokud je riziko velmi vysoké, je třeba opatření konzultovat s Úřadem pro ochranu osobních údajů na základě tzv. předchozí konzultace. Výjimečným by měl být v soukromém sektoru institut pověřence pro ochranu osobních údajů. Toho sice musí mít každý veřejný subjekt, např. každá obec, ale ze soukromého sektoru jen ten, jehož hlavní činnost vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů. Nových administrativních povinností je tedy velmi mnoho, zejména v počáteční fázi před účinností GDPR, kdy bude třeba tyto dokumenty vypracovat a na jejich základě přizpůsobit chod společnosti a vnitřní předpisy zjištěným rizikům a uvést je do souladu s požadavky GDPR. Jelikož je život každého člověka i společnosti dynamický a v čase se vyvíjí, bude třeba tyto administrativní dokumenty průběžně aktualizovat, vždy s ohledem charakter konkrétního správce.

Povinností, která se mnoha správcům nezamlouvá, je povinnost ohlašovat Úřadu pro ochranu osobních údajů jakékoliv porušení zabezpečení osobních údajů. Ta nahrazuje současnou povinnost registrovat se u Úřadu pro ochranu osobních údajů. Porušením zabezpečení se rozumí takové porušení zabezpečení, které může vést k náhodnému nebo protiprávnímu zničení, ztrátě nebo neoprávněnému poskytnutí či zpřístupnění osobních údajů. K tomu může dojít jak zvenčí – kybernetický útok, krádež laptopu, spisu atp., ale také zevnitř – např. vynesení či zveřejnění určitých informací zaměstnancem. Povinností každého správce je pak takové porušení zabezpečení ohlásit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy se o tomto dozvěděl. Cílem je primárně to, aby se situace rychle řešila a nedocházelo ke skandálům typu společnosti Yahoo, která oznámila, že jí byly ukradeny osobní údaje 3 miliard klientů, až po 3 letech od incidentu. Za porušení této povinnosti nově hrozí velmi přísné sankce.

Nové, až drakonicky přísné sankce, jsou jednou z extrinsických motivací, proč GDPR dodržovat. Sankce jsou totiž stejně vysoké pro celou Evropskou unii. Sankce mají pouze horní hranici, a tou je dle charakteru porušení až 20 milionů €, nebo až 4 % celosvětového obratu podniku. Úřad pro ochranu osobních údajů již ujistil české správce, že bude dále vycházet ze své ustálené praxe při určování výše sankcí a že nedojde k dramatickému nárůstu ukládaných sankcí. Přesto se nebude jednat o malé částky a bude vhodné se jejich uložení vyhnout.

GDPR je nařízením, které by mělo výrazně zvýšit ochranu soukromého života všech občanů Evropské unie, což lze přijmout velmi pozitivně. Jeho stinnou stránkou je velká administrativní zátěž pro podnikatele, zejména pro ty, kteří zatím ochranu osobních údajů brali na lehkou váhu a nezajišťovali ji. Jaké budou jeho reálné důsledky však ukáže až čas.

Naše advokátní kancelář je připravena Vám v řádném splnění těchto povinností pomoci.

Pokud byste měli zájem se na nařízení GDPR připravit ve spolupráci s námi či se o něm a jeho dopadech dozvědět více, neváhejte nás prosím kontaktovat.

Právní novinky