Magda Komínková, psáno Euroskop, 27. 3. 2018
25. května vstoupí v účinnost evropské nařízení o ochraně osobních údajů, označované jako GDPR (General Data Protection Regulation). Na Euroskopu jsme se v minulé analýze věnovali tomu, jak a proč nařízení vznikalo. V druhém díle tohoto miniseriálu si můžete přečíst, co nová legislativa přinese firmám a občanům.
Obecně lze říci, že cílem nařízení je zvýšit úroveň ochrany údajů u fyzických osob a zlepšit podnikatelské příležitosti na jednotném digitálním trhu v Evropě. Tohle je nicméně cíl i platného legislativního rámce. Je tedy namístě strach a obavy?
Obecně je dvojím cílem nařízení zlepšit úroveň ochrany osobních údajů pro jednotlivce a zlepšit podnikatelské příležitosti v rámci jednotného digitálního trhu. Nařízení klade výslovně důraz na to, aby byly osobní údaje zpracovávány zákonným a transparentním způsobem, aby byly shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a pouze v nezbytném rozsahu. Nařízení o ochraně osobních údajů je přímo použitelné. Forma nařízení zaručuje, že je norma jednotně platná ve všech státech EU. Členské státy tedy nemají možnost pravidla jakkoliv měnit nebo přizpůsobovat svým zájmům. Základním kritériem pro uplatňování není počet zaměstnanců, ale osobní údaje, které daný subjekt zpracovává.
Konkrétně se nařízení vztahuje na zpracování osobních údajů prováděné jak automatizovaně (např. uložení na CD nebo na cloud), tak ne automatizovaně (např. papírové zdravotní karty, kartotéky, úřední spisy). Nařízení subjekty pracující s osobními údaji rozděluje na správce osobních údajů a zpracovatele. Správcem může být jak fyzická nebo právnická osoba, orgán veřejné moci, tak agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Naopak zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (jeho činnost je tedy odvozená od smlouvy s konkrétním správcem). Pod pojmem zpracování si potom lze představit operace s osobními údaji nebo soubory osobních údajů, např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Obavy jsou spojeny s oznamovací povinností v případě narušení bezpečnosti údajů. Nově by měl zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech má informovat osoby a subjekty, kterých se únik týkal.
Jednou z novinek nařízení je zavedení nové definice osobních údajů jako kteréhokoliv údaje, skrze nějž je možné identifikovat konkrétní osobu. Přísnější režim má být uplatňován také na biometrické údaje, které jsou vnímány jako citlivější.
Změny v rámci definice osobních údajů
|
Směrnice 95/46/ES |
Nařízení 2016/679/EU |
|
„osobními údaji“ informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity; |
„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; |
Dle nařízení má mít fyzická osoba právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“. Subjekt údajů (tedy osoby, jejichž osobní údaje jsou zpracovávány) by měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány. Toto právo je obzvláště důležité v případech, kdy subjekt dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním. Dle nové právní úpravy by měl mít občan přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být jednoduchý (např. online).
Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého a historického výzkumu nebo pro statistické účely.
Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje (a jejich kopie nebo replikace). Nařízení také stanovuje, že pokud jsou osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, ať jde o používání, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací.
Děti dle nařízení zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy rizik, a důsledků svých jednání. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření uživatelských profilů a shromažďování osobních údajů.
Na koho se nařízení nevztahuje?
Nařízení jasně stanovuje, na koho se nevztahuje. A to na otázky ochrany základních práv a svobod nebo volného pohybu osobních údajů v souvislosti s činnostmi, které nespadají do působnosti práva EU např. týkající se národní bezpečnosti a také zpracování za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Toto nařízení se rovněž nevztahuje na zpracování osobních údajů členskými státy při výkonu činností v rámci společné zahraniční a bezpečnostní. Nařízení se nemá vztahovat také na zesnulé osoby.
Zpracování a monitorování
Zdroj: GDPR
Za prokazování souladu s GDPR by měl být odpovědný tzv. pověřenec pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer). Jeho hlavním úkolem má být monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a řízení agendy interní ochrany dat.
Pověřenec by měl být jmenován ve třech případech, pokud:
- zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
GDPR ve zkratce
Subjekty údajů by měly mít větší kontrolu nad svými osobními údaji, a proto nařízení zavádí:
- Více konkrétních pravidel, jež správcům umožňují osobní údaje zpracovávat, mimo jiné na základě požadavku na získání souhlasu dotčených osob.
- Snazší přístup ke svým osobním údajům.
- Možnost informace o tom, co se s jejich osobními údaji děje, tzn., že o zásadách ochrany osobních údajů jsou dotčené osoby informovány.
- Právo na vymazání a právo „být zapomenut“. Subjekt údajů může např. požádat o okamžité odstranění osobních údajů, které byly nashromážděny nebo zveřejněny na některé sociální síti v době, kdy byl ještě dítětem.
- Právo na přenositelnost umožňující snazší přenos osobních údajů od jednoho poskytovatele služeb, například sociální sítě, k jinému poskytovateli.
- Právo vznést námitku proti zpracování osobních údajů v souvislosti s veřejným zájmem nebo oprávněným zájmem správce údajů.
GDPR a Česká republika
Nové nařízení nenahradí pouze platnou evropskou směrnici, ale v rámci ČR také související zákon č. 101/2000 Sb., o ochraně osobních údajů. Nově by měl zákon o ochraně osobních údajů po jeho novele upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (ÚOOÚ) (např. jeho ustavení, organizaci atd.) a některé záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které obecné nařízení neupravuje. U některých aspektů nařízení počítá s vnitrostátní úpravou, např. aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby. Dle platných norem je v oblasti ochrany údajů hlavním českým dozorovým orgánem ÚOOÚ , na čemž by se nemělo nic zásadně měnit. Úřadu by měly přibýt další pravomoci. ÚOOÚ by měl být nově částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). V případě pochybností činnosti ÚOOÚ by měla být možnost obracet s odvoláním na EDPB.
Ministerstvo vnitra kvůli přípravě na GDPR připravuje vládní návrhy adaptačních zákonů: 1) zákon o zpracování osobních údajů; 2) zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů (tzv. změnový zákon). Zákon o zpracování osobních údajů má přizpůsobit právní řád požadavkům obecného nařízení, včetně povolených výjimek a odchylek. Má upravovat postavení Úřadu pro ochranu osobních údajů. Změnový zákon by měl upravovat 19 zákonů, jejichž obsah je nutné přizpůsobit.
Postoj ČR
Na zasedání Rady v dubnu 2016 vydala ČR? prohlášení ke svému hlasování. V prohlášení k hlasování o GDPR je uvedeno, že ČR sice aktivně podporovala jednání, ale je znepokojena několika otázkami. Za prvé, ČR není přesvědčena, že uplatňování nařízení, pokud jde o správce v zahraničí, bude dostatečně účinné. Mohlo by to vést k falešnému pocitu jistoty mezi evropskými občany. Za druhé za problematické považuje, že nařízení se příliš řídí stávající směrnicí. Za třetí, ČR nesouhlasila s horními limity správních sankcí v kombinaci s nejasně vymezenými přestupky. Mimo to mají dle prohlášení správní pokuty ještě větší vliv na malé a střední podniky. Některé požadavky na správce a zpracovatele podle ČR uvalují nadměrnou administrativní zátěž. V neposlední řadě se ČR vyjádřila k adaptačnímu období, které je podle ní nepřiměřeně krátké.
Stará směrnice vs. nové nařízení
Oba právní akty se od sebe v zásadě příliš nemění. Největší rozdíly lze shledávat v jednotné formě pro všechny členské státy, v rozšíření uplatňovaní a výši sankcí. Nařízení s sebou mimo jiné také přináší rovnocennou vymahatelnost práva v EU a užší spolupráci dozorových orgánů.
Nové nařízení přináší několik novinek. Jmenovitě se jedná o rozšíření práv subjektu údajů – právo být zapomenut, právo na přenositelnost údajů k jinému správci, právo vznést námitku proti zpracování osobních údajů včetně profilování. Nařízení sice nepočítá s registrační povinností zpracovatelů, ale ukládá povinnost vést interní záznamy o činnostech zpracování. Zpracovatelé a správci mají nově povinnost hlásit případy porušení zabezpečení osobních údajů – v případě zpracovatele správci a v případě správce dozorovému úřadu. Dle směrnice jsou zpracovatele údajů kryti subjektem správce údajů. Nově tomu tak již nebude. Z důvodu nové právní úpravy vzniknou také nové úřady a funkce.
Dopad na malé a střední podniky
Řada společností není doposud na nové nařízení zcela připravena. Častým důvodem nepřipravenosti je nepochopení a obsáhlost nových pravidel. Společnosti mohou vyžít poradenských služeb specializovaných firem. Pro malé a střední podniky (SME) by mělo být jednodušší přenášet osobní data subjektů dat mezi jednotlivými společnostmi. Dále by zde měla být pro SME možnost úlev u uchovávání reportů o zpracovávání dat a povinnosti mít pověřence pro ochranu osobních údajů. Pověřence tedy nemusí mít každá firma, ale pouze ta, jejíž svou hlavní činnost spočívá ve zpracování údajů. Případnou funkci pověřence ve firmě může vykonávat kdokoliv, ale nesmí to být stejná osoba, která se o data stará. Firmám lze doporučit vypracování systémové analýzy a odpovědět si na to, jaké osobní údaje shromažďují, kdo k nim má přístup, jak likvidují osobní údaje a jakou míru ochrany mají.
Problematické aspekty – čeho se bát?
Kdo má být pověřence?
Dle nařízení může být jeden pověřenec jmenován i pro několik orgánů nebo firem, které mají podobnou organizační strukturu. Nařízení neupřesňuje, jaké jsou požadavky na pověřence. Obecně lze říci, že by se měli orientovat v oblasti národní a evropské legislativy a disponovat praxí v oboru ochrany osobních údajů a prokázat důkladnou znalost GDPR. Měli by se orientovat také v podnikání a není u nich nutná speciální certifikace. Pověřenci by také měli mít znalost prováděných operací zpracování, informačních systémů a technického zabezpečení dat. Pozici pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou než organizace správce nebo zpracovatele). Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný. V případě, že pověřenec není jmenován, je vhodné mít ve společnosti osobu, která se ochraně osobních údajů věnuje. Například školy a školská zařízení je nutné považovat za „orgán veřejné moci“, a proto pověřence pro ochranu osobních údajů mít musí. Naopak knihovny, muzea nebo domy seniorů jej mít nemusí.
Sankce
Jak již bylo řečeno, tak velké obavy přináší možné sankce hrozící při porušení pravidel.
Pokuta může být udělena buď do výše 10 milionů eur (nebo až do 2% celkového ročního celosvětového obratu), nebo do výše 20 milionů eur (nebo až do 4% celkového ročního celosvětového obratu). Do skupiny s vyšší pokutou spadají povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů. Konkrétní výše sankce by měla být stanovena na základě několika faktorů: povaha porušení pravidel, závažnost, délka porušování, počet poškozených subjektů a míra škody, snaha o zmírnění škod. Dále hrozí žaloby ze strany fyzických osob a následně nárok na náhradu škody v případě hmotné či nehmotné újmy. Problematická je také samozřejmě ztráta důvěry.
Na koho nařízení nejvíce dopadne?
Nove nařízení by se mělo nejvíce dotknout bank, pojišťoven a zdravotnických organizací. Dále např. společnostíhaha , jež sbírají a zpracovávají digitální data (např. výrobci chytrých hodinek).
Kamerové systémy
Jako problematická se může jevit také otázka kamerových záznamů. Kdy a za jakých podmínek je možné je poskytovat a kdy naopak nikoliv. Jako důvod pro instalaci nebo zpracování kamerových záznamů může být pouze zajištění bezpečnosti, ochrana majetku, prevence vandalismu a zamezení přístupu cizích osob. Kamerové záznamy nelze používat za účelem sledování zaměstnanců a dalších fyzických osob. Vždy musí být zajištěno právo na soukromí. Zpracování může probíhat bez souhlasu, pokud je to nezbytné pro účely oprávněných zájmů správce či třetí strany. Informace o monitorování objektu musejí být uvedeny na přehledných místech. Dále je stanovena povinnost uvádět kontakt na provozovatele systému a účel zpracování. Provozovatelé kamerových systémů musí plnit také zásadu minimalizace dat, což lze vysvětlit tak, že mají být sbírána pouze data nezbytná pro daný účel.
Jaké další novinky přijdou s GDPR?
Komise do doby, než bude nařízení uplatňováno, doporučuje dokončení úprav právních řádů členských států tak, aby byly v souladu s nařízením; dále dotvořit Evropský sbor pro ochranu osobních údajů (EDPB) a podporovat aktivity zvyšující povědomí veřejnosti o právech dle GDPR, na což by měly být vyčleněny cca 2 miliony eur. Od května 2018 chce Komise monitorovat, jak členské státy nová pravidla uplatňují, a případně přijmout další opatření. Po jednom roce používání (2019) by měla Komise zhodnotit výsledky provádění nařízení. Následně do května 2020 by měla být Komisí vypracována zpráva o hodnocení a přezkumu nařízení.
Co říci závěrem? Zaprvé, ochrana osobních údajů není novinkou ani v rámci české ani v rámci evropské legislativy. Forma ochrany osobních údajů zde funguje již dlouhodobě. Zásadní novinkou je forma nařízení (na místo stávající směrnice), která přináší jednotnou uplatnitelnost ve všech členských státech. Firmy a společnosti by se mohly obávat výše pokut, která není stanovena na základě hospodářské vyspělosti členských států, ale je dána jednotně. Na druhou stranu ovšem nelze očekávat, že by udělené pokuty dosahovaly horní hranice.
Ti, kterých se nové nařízení o GDPR, týká, by se měli určitě informovat i o tom, jak je potřeba se připravit. Nicméně je nutné poznamenat, že pokud se dotčení aktéři připraví, není se čeho obávat a květen 2018, odkdy bude nařízení uplatňováno, nebude žádným milníkem. Není nezbytné kupovat speciální trezory, ale stačí mít uzamykatelné skříně. Je potřeba se nějakým způsobem chránit před zneužitím osobních údajů, ale na druhou stranu by se to nemělo přehánět.
Autor: Magda Komínková, psáno Euroskop
