Obecné nařízení o ochraně osobních údajů (GDPR). Zásadní změny v ochraně osobních údajů a nebo jen přirozený vývoj a reakce na technologickou revoluci?

1. ÚVOD

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR) vychází ze snahy unijních orgánů posílit a sjednotit ochranu osobních údajů všech jednotlivců v rámci EU. V České republice bude toto nařízení reflektováno tak, že v polovině roku 2018 bude s největší pravděpodobností přijat v Česku nový zákon o ochraně osobních údajů, který zruší stávající zákon č. 101/2000 Sb. a který upřesní některé povinnosti a práva vyplývající z GDPR.

I kdyby k přijetí nového zákona nedošlo, je nutné si uvědomit, že obecné nařízení EU je přímo použitelné ve všech státech Evropské unie a to bez nutnosti další implementace do národní legislativy.

Zákon č. 101/2000 Sb. o ochraně osobních údajů nutně reflektoval směrnici 95/46/ES, která dosud upravovala ochranu osobních údajů na evropské úrovni. Porovnáním původní směrnice a nového nařízení zjistíme, že oba předpisy užívají stejné definice klíčových pojmů, a rovněž vycházejí z velmi podobného uchopení zásad zpracování osobních údajů.

Jediný bod, ve kterém je původní směrnice velmi stručná, a který nové obecné nařízení výrazněji rozšiřuje, jsou povinnosti osob, které osobní údaje zpracovávají, tedy správci a zpracovatelé. Obecné povinnosti přitom prakticky zůstávají nadále principiálně stejné, i když jsou nyní formulovány obecně a nikoli podrobněji, jak tomu bude v GDPR. Správcům jsou ukládány některé nové povinnosti – ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů.

2. ROZŠÍŘENÍ DEFINICE OSOBNÍHO ÚDAJE

Dosavadní úprava podle zákona č. 101/2000 Sb. definuje osobní údaj v §4 písm. a) následovně:

a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu

Obecné nařízení (GDPR) definuje pojem „osobní údaj“ v článku 4 odst. 1) následovně:

1) „osobními údaji“ jsou veškeré informace o identifikované nebo identifikovatelné osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby,

V minulosti mohla být IP adresa, soubory cookies, e-mailová adresa, či jiné technické parametry vykládány jako součást osobních údajů jen podle judikatury SDEU. Nové jsou specifikovány přímo, ovšem platí soudní výklad, že kategorii osobních údajů nelze nikde uvádět jako taxativní výčet.

3. POVĚŘENEC PRO KONTROLU OSOBNÍCH ÚDAJŮ

Správce je povinen jmenovat pověřence pro kontrolu osobních údajů, ovšem pouze za splnění jedné ze tří podmínek:

(i) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí
(ii) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
(iii) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají.

Osvědčení/certifikát pověřence spočívá pouze ve zvolení osoby se zkušeností a praxí v oblasti práce s osobními údaji, žádná specifická forma osvědčení, případně externí certifikát, požadován není.

4. PRÁVO NA VÝMAZ A PRÁVO BÝT ZAPOMENUT

Právo na výmaz je novým institutem, který ukládá správci povinnost vymazat bez zbytečného odkladu osobní údaje.

Dle našeho názoru ale není absolutním právem, jelikož je možné ho uplatnit pouze za předpokladu, že osobní údaje nejsou již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.

Zaměstnavatel rovněž není povinen vymazat údaje o bývalých zaměstnancích, a to do doby, dokud má možnost se např. efektivně bránit v případném sporu se zaměstnancem, i po končení pracovního poměru.

5. OZNAMOVACÍ POVINNOST PRO SPRÁVCE

V současné době platí obecná oznamovací povinnost, kdy je subjekt odpovědný za zpracování osobních údajů povinen nahlásit takovou skutečnost dozorovému orgánu, oznámení musí učinit dříve, než započne se samotnou realizací zpracovávání osobních údajů. Směrnice stanovuje minimální rozsah informací, které musí oznámení obsahovat.

Obecná oznamovací povinnost bude novou právní úpravou zrušena a nahrazena instituty:

(i) posouzení dopadu na ochranu osobních údajů: správce by měl provést před zahájením samotného zpracování, vyhodnotit rizika z hlediska práv a svobod subjektů.
(ii) předběžné konzultace: pokud z posouzení vyplyne, že zpracování je vysoce rizikové, a nelze ho zmírnit přiměřenými prostředky, je povinen zpracování konzultovat s orgánem dozoru.
(iii) povinnost vést záznamy o zpracování osobních údajů: správce musí vést dokumentaci, jejíž penzum informací je identické s tím, co podle dosavadní úpravy musí správce sdělovat dozorovému orgánu; nařízení počítá s výjimkou pro podniky s méně než 250 zaměstnanci, ale pouze pokud zpracování není rizikové.
(iv) povinnost ohlašovat případy narušení bezpečnosti (tzv. data breaches): dosud se tento institut týkal pouze oblasti elektronických komunikací, podle nového nařízení platí tato povinnost pro každého správce, a to do 72 hodin od doby, kdy se o narušení dozví, výjimka se připouští jen u drobných bezpečnostních incidentů, které svou povahou nejsou schopny ohrozit práva a svobody jednotlivce.

Z našeho pohledu se fakticky příliš nemění, zrušení obecné oznamovací povinnosti nahrazují instituty, které jsou jí ve výsledku velice blízké.

6. PŘENOSITELNOST ÚDAJŮ A PŘÍSTUP K NIM

Obecné nařízení stanoví dvě podmínky, které musí být naplněny současně, aby měla osoba na toto právo nárok, a to, že údaje byly poskytnuty na základě souhlasu, nebo na základě smlouvy, a zároveň že jejich zpracování probíhá automatizovaně.

Při splnění těchto podmínek má osoba právo na získání svých údajů v běžně používaném, strojově čitelném formátu, a v této podobě má možnost předat údaje o sobě jinému správci.

Osoba by měla mít právo na přístup k údajům, které jsou o ní shromažďovány, a to přímo a nejlépe online.

7. VYSOKÉ POKUTY KALKULOVANÉ DLE OBRATU

Obecné nařízení stanovuje jen to, že za jakékoliv jeho porušení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. V České republice dozorové úřady pokuty ukládají.

Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč. Reálně pokuty této výše nedosahují, nejvyšší dosud uložená pokuta nedosáhla ani polovinu sazby.

Samotné nařízení užívá za vzor předpisy na ochranu hospodářské soutěže a stanovuje pokuty v maximální výši 20 000 000 EUR, nebo 4% z celkového ročního obratu společnosti, přičemž se užije vyšší částka.

V preambuli předmětného obecného nařízení je ovšem uvedeno, že pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovené výše pokut i podmínek pro určení odpovědnosti i vyvinění se. Obdobně jako v případě porušení pravidel hospodářské soutěže, kdy jsou také nastaveny poměrně vysoké sankce, je udělení vysokých sankcí pravděpodobné pouze v případě zásadních porušení velkých firem, které nakládají s velkým množstvím osobních údajů jako Facebook, Google, Apple atd., u kterých byly dosavadní výše pokut zanedbatelné.

8. ZÁVĚR

Řada mechanismů, které nové obecné nařízení představuje, je našemu právu již známá, dle našeho názoru proto nepřináší žádné radikální změny při praktickém nakládání s osobními údaji.

Maximální výše pokut je stanovena spíše jako varování, dle našeho názoru by bylo v každém jednotlivém případě posuzováno mnoho faktorů, a pravděpodobně by konečnou pokutou byl pouhý zlomek maximální možné částky.