GDPR: nikoliv revoluce, ale evoluce v povinnostech správců a zpracovatelů osobních údajů

Od 25. 5. 2018 bude ve všech členských státech EU včetně České republiky účinné Nařízení Evropského parl. a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu údajů (dále jen „GDPR“[1]). GDPR bývá často označováno jako „revoluce v ochraně osobních údajů“[2]. Takové označení však nepovažujeme za příliš příhodné[3], když GDPR navazuje na cíle a zásady Směrnice Evropského parl. a Rady 95/46/ES, která je od roku 1995 základním sjednocujícím předpisem ochrany osobních údajů na úrovni EU, i na cíle a zásady zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, jako základního předpisu na úrovni ČR.

Směrnice 95/46/EC bude s nabytím účinnosti GDPR zrušena a nahrazena GDPR, a to především za účelem sjednocení úrovně ochrany osobních údajů na území EU a odstranění překážek bránících pohybu osobních údajů v rámci Unie při současném zajištění vysoké úrovně ochrany osobních údajů. Nařízení obsahuje obdobné[4], někdy rozšířené či zpřesněné[5] definice klíčových pojmů a obsahově velmi blízké zásady zpracování[6]. Mezi hlavní změny patří výrazné posílení principu odpovědnosti správce osobních údajů, který je odpovědný za soulad zpracování osobních údajů s GDPR a musí být schopen tento soulad kdykoliv doložit.

Hrozba – zvýšené sankce

Jednou z viditelných změn je podstatné navýšení maximální hranice sankcí (pokut), které má dozorový úřad[7] pravomoc uložit za porušení GDPR, a to do výše 20 000 000 EUR nebo 4 % celkového celosvětového ročního obratu podniku, aplikuje se vyšší hodnota (do výše 10 000 000 EUR nebo 2 % obratu u méně závažných porušení). U orgánu veřejné moci má být dle návrhu zákona o zpracování osobních údajů pokuta do výše 10 mil. Kč.[8] Výše pokut má být přitom účinná, přiměřená a odrazující. Předsedkyně ÚOOÚ k tomuto upřesnila, že: „ukládané pokuty mohou být vyšší než dosud, nebudou však a priori likvidační.“[9] Vždy bude záviset na konkrétních okolnostech, závažnosti porušení a chování správce po samotném porušení zabezpečení osobních údajů.

Staronové povinnosti správců a zpracovatelů

GDPR ruší registrační povinnost správců a zpracovatelů k ÚOOÚ, zpřesňuje a rozšiřuje stávající povinnosti správců a zpracovatelů (informační povinnost vůči subjektům údajů[10] a hlášení bezpečnostních incidentů[11]) a zavádí také nové povinnosti správců a zpracovatelů osobních údajů: povinnost vést záznamy o zpracování[12], povinnost zpracovat posouzení vlivu na ochranu osobních údajů a případně ho povinně konzultovat s ÚOOÚ[13] a povinnost jmenovat pověřence pro ochranu osobních údajů[14].

Zásadním principem celého GDPR je přístup založený na posuzování rizika konkrétního zpracování osobních údajů pro právo fyzické osoby (subjektu údajů) na soukromí a její ochranu proti neoprávněnému shromažďování, zveřejňování nebo jinému zneužíváním údajů o své osobě.[15] Je odpovědností správce, aby v každém okamžiku na základě rozsahu, kontextu a účelů zpracování posoudil pravděpodobnost a závažnost rizik a přijal vhodná technická a organizační opatření pro ochranu osobních údajů odpovídající danému riziku. V závislosti na rostoucí míře rizika se stupňují povinnosti správců osobních údajů, zejména pak povinnosti k realizaci činností uvedených dále v tomto článku.

Správce (zpracovatel) je povinen vést záznamy o činnostech zpracování, pokud má více než 250 zaměstnanců, nebo jeho zpracování není příležitostné, nebo představuje riziko pro subjekty údajů, nebo zpracovává zvláštní kategorie údajů (např. o rasovém původu, politických názorech, náboženském vyznání, zdravotním stavu nebo sex. orientaci subjektu údajů). V rámci záznamu správce vždy uvede své kontaktní údaje, účely zpracování údajů, kategorie subjektů údajů, kategorie zpracovávaných údajů, kategorie příjemců údajů, přijatá opatření a lhůty pro výmaz údajů. 

Povinnost správce zpracovat posouzení vlivu na ochranu osobních údajů nastupuje, pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob a jeho povinná předchozí konzultace s ÚOOÚ se uplatní v případě přetrvávajícího rizika i po zavedení technologických a organizačních opatření správcem. Posouzení vlivu tak budou zásadně povinni provést např. nemocnice, poskytovatelé soc. služeb, banky nebo poskytovatelé internetu. V rámci posouzení vlivu správce popíše operace zpracování údajů, posoudí jejich nezbytnost a přiměřenost, rizika pro subjekty údajů a přijatá organizačně technická opatření.  

Povinnost ohlásit porušení zabezpečení osobních údajů ÚOOÚ má správce, pokud je pravděpodobné, že zpracování bude mít za následek riziko pro práva a svobody fyzických osob (v případě vysokého rizika má správce povinnost oznámit porušení také subjektům údajů)[16]. Pokud je výskyt rizika nepravděpodobný, správce ohlašovací povinnost vůči ÚOOÚ nemá, nicméně přetrvává dokumentační povinnost incidentu ve smyslu čl. 33 odst. 5 GDPR. Příkladem porušení zabezpečení je i ztráta služebního notebooku, telefonu nebo USB obsahujícího osobní údaje v nezašifrované podobě. Příkladem porušení zabezpečení s vysokým rizikem je ztráta (únik) databáze obsahující údaje o zdravotním stavu pacientů.

Pověřence pro ochranu osobních údajů je povinen jmenovat správce (zpracovatel): (i) který je orgánem veřejné moci či veřejným subjektem (obce, kraje, ústřední správní orgány, školy atd.), nebo (ii) jehož hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, rozsahu, nebo účelům vyžaduje rozsáhlé, pravidelné a systematické monitorování subjektů údajů (banky z důvodu profilování a hodnocení za účelem řízení rizika např. při úvěrovém hodnocení, pojišťovny, poskytovatelé telekomunikačních služeb), nebo (iii) jehož hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií osobních údajů uvedených v čl. 9 GDPR (nemocnice, poskytovatelé soc. služeb). Pověřencem může být zaměstnanec podřízený přímo vedení dané organizace nebo může být činnost pověřence outsourcována jako služba. Dle Ministerstva vnitra by jeden pověřenec neměl vykonávat funkci pro více než 10 obcí (správců).

Interpretace neurčitých pojmů obsažených v GDPR

Jedním ze zásadních aplikačních problémů GDPR je značné množství neurčitých a vágních pojmů (např. „vysoké riziko“, „rozsáhlé a systematické zpracování“), jejichž interpretace je přitom pro stanovení povinností správce (zpracovatele) stěžejní.

Výkladu neurčitých pojmů GDPR se věnuje na úrovni EU pracovní skupina WP 29 (dále jen „WP 29“), která bude s účinností GDPR nahrazena Sborem pro ochranu osobních údajů[17]. Součástí jí zveřejňovaných vodítek jsou výkladová stanoviska ke GDPR[18].

Zásadní pro určení povinnosti správce zpracovávat posouzení vlivu je zejména interpretace pojmu „vysokého rizika“. GDPR obsahuje demonstrativní výčet případů zpracování, u nichž je dána pravděpodobnost vysokého rizika[19]: (i) systematické a rozsáhlé vyhodnocování založené na automatizovaném zpracování (profilování), na němž se zakládají závazná rozhodnutí pro fyzické osoby (cookies na webu) nebo (ii) rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 (rasový původ, zdrav. stav, sex. orientace) nebo (iii) rozsáhlé systematické monitorování veřejně přístupných prostorů (kamerové systémy).

Dle Vodítek WP 29 bude posouzení vlivu[20] vždy povinné v případech, které zahrnují minimálně dvě z následujících operací zpracování s vysokým rizikem: (i) profilování subjektů údajů (cookies na webu), (ii) automatické rozhodování s významnými účinky (automatické rozhodování u žádostí o úvěr ve webové aplikaci banky), (iii) systematické monitorování subjektů údajů (gps navigace), (iv) zpracování citlivých údajů (zdrav. stav, ale také údaje o platební kartě, o poloze, údaje z elektronické komunikace), (v) zpracování osobních údajů ve velkém rozsahu (banky), (vi) kombinování osobních údajů z různých datových sad (koncerny), (vii) zpracování osobních údajů týkajících se zvlášť zranitelných osob (zaměstnanec, dítě), (viii) inovativní užití technol. nebo org. řešení (drony), (ix) bránění subjektům údajů v uplatňování svých práv v používání služby či uzavření smlouvy (vynucený souhlas).

Pro posouzení povinnosti jmenovat pověřence pro ochranu osobních údajů u soukromoprávních subjektů, je stěžejní výklad neurčitých pojmů systematické a rozsáhlé monitorování.  Dle Vodítek WP 29 k funkci pověřence[21] „systematičnost“ nastává v případě splnění jedné z následujících podmínek zpracování: (i) vyskytující se podle určitého systému, (ii) přednastavené, organizované nebo metodické, (iii) uskutečňující se jako součást plánu pro sběr dat nebo (iv) vykonávané jako součást strategie. „Rozsáhlé operace zpracování“ mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni. Podle vodítek je nutné vzít do úvahy: (i) počet dotčených subjektů údajů, (ii) objem a rozsah dat, (iii) dobu trvání a nepřetržitost zpracování a (iv) územní rozsah zpracování. Systematickým a rozsáhlým monitorováním bude zásadně zpracování osobních údajů pacientů nemocnice, cestujících MHD využívajících el. peněženku, klientů banky využívajících platební kartu nebo int. bankovnictví, poskytovateli internetu nebo monitorování návštěvníků webu skrze cookies. Rozsáhlým zpracováním naopak nebude zpracování osobních údajů pacientů samostatným lékařem.

Správcům a zpracovatelům lze doporučit, aby v případech, kdy na základě svého posouzení nejsou povinni plnit některou z povinností dle GDPR (např. jmenovat pověřence), zpracovali dokument obsahující rozhodné skutečnosti a jejich argumentaci.

Lze shrnout, že ačkoliv GDPR přináší do oblasti ochrany osobních údajů některé zcela nové instituty (posouzení vlivu, pověřenec), ve své většině navazuje na současnou českou právní úpravu představovanou zákonem č. 101/2000 Sb., přičemž dochází k upřesnění a bližší specifikaci zažitých pojmů v návaznosti na dosavadní rozhodovací praxi. 

Mgr. Ing. Eva Crháková, Koncipient, MT Legal s.r.o., advokátní kancelář

JUDr. Jakub Jeřábek, Advokát, MT Legal s.r.o., advokátní kancelář

[1] Označení GDPR z anglického „General Data Protection Regulation“.

[2] Viz např. z http://www.havelholasek.cz/akademie/vzdelavaci-akce/revoluce-v-ochrane-osobnich-udaju, https://www.komora.cz/event/gdpr-revoluce-ochrane-osobnich-udaju/.

[3] Srovnej také vyjádření ÚOOÚ viz https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=4720.

[4] Srovnej čl. 4 GDPR a čl. 2 Směrnice 95/46/ES.

[5] Např. přidání síťových identifikátorů do definice osobního údaje v návaznosti na Rozsudek Soudního dvora EU ze dne 19. října 2016 ve věci C-213/15: Patrick Breyer proti Spolkové republice Německo.

[6] Srovnej čl. 5 a 6 GDPR a čl. 6 a7 Směrnice 95/46/ES.

[7] V České republice Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“).

[8] Srovnej čl. 83 odst. 7 GDPR a § 62 návrhu nového zákona o zpracování osobních údajů. Dostupný z https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5.

[9] LIEBREICH, Jiří. Šéfka Úřadu pro ochranu osobních údajů: Vysokými pokutami chceme firmy odrazovat, ne likvidovat. E15.cz [online]. 2017 [cit. 2017-10-26]. Dostupné z: http://nazory.e15.cz/rozhovory/sefka-uradu-pro-ochranu-osobnich-udaju-vysokymi-pokutami-chceme-firmy-odrazovat-ne-likvidovat-1334926.

[10] § 11 ZOOÚ, čl. 13, 14 GDPR.

[11] Povinnost ohlásit porušení zabezpečení osobních údajů platí od 1. ledna 2012 pro poskytovatele služeb elektronických komunikací podle zákona č. 127/2005 Sb., ve znění pozdějších předpisů. Nově pro všechny správce podle čl. 33, 34 GDPR.

[12] Čl. 30 GDPR.

[13] Čl. 35 – 36 GDPR.

[14] Čl. 37 – 39 GDPR.

[15] Čl. 10 odst. 2 a 3 Listiny základních práv a svobod ČR.

[16] Čl. 33 – 34 GDPR.

[17] Čl. 68 a násl. GDPR.

[18] Dostupné z http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, překlady do českého jazyka průběžně uveřejňuje ÚOOÚ na svých stránkách dostupných z https://www.uoou.cz/pracovni-skupina-wp29-k-gdpr/ds-4728/p1=4728.

[19] Čl. 35 odst. 3 GDPR.

[20] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679, wp248rev.01, dostupné z http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, str. 8 – 11. Posouzení vlivu správcem podle vodítek je nutné např. při užití kamerového systému monitorujícího chování řidičů na dálnicích využívajícího sledování automobilů na základě skenování SPZ (jedná se o systematické monitorování podle bodu iii) a zároveň inovativní užití technologií podle bodu viii).

[21] Dostupné z Guidelines on Data Protection Officers (‚DPOs‘), wp243rev.01, český překlad ÚOOÚ dostupný z https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463.