GDPR, pojmy & povinnosti
1. Vymezení pojmů Správce & Zpracovatel
2. Definice osobních údajů
3. Definice zpracování osobních údajů
4. Povinnosti Správců & Zpracovatelů
5. Zabezpečení osobních údajů
6. Předávání osobních údajů do jiných zemí
7. Sankce
8. Kontrolní orgán
GDPR je zkratkou nařízení vydaného orgány EU - General Data Protection Regulation (v češtině Obecné nařízení o ochraně osobních údajů) a jedná se o novou legislativu, která byla přijata za účelem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.
Ochrana (zejména) osobních údajů se v posledních letech stala velmi citlivou záležitostí a jedním z hlavních témat EU. GDPR proto spojuje případná porušení nově zaváděných povinností na úseku ochrany osobních údajů s tvrdými sankcemi, které mohou mít v řadě případů pro subjekt porušující GDPR likvidační charakter.
GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou GDPR upraveny nebo které GDPR umožňuje upravit na vnitrostátní úrovni.
Je nutnou podotknout, že GDPR sice zavádí celou řadu nových pravidel, přičemž jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu jejich zpracování, nejedná se však o komplexně novou právní úpravu, když řada mechanismů, které GDPR obsahuje, je již známa z dosavadní právní úpravy. GDPR bylo schváleno dne 27. 4. 2016 a v účinnost vstupuje ke dni 25. 5. 2018.
1. VYMEZENÍ POJMŮ SPRÁVCE & ZPRACOVATEL
Definice správce a zpracovatele GDPR nemění.
Správce
Správcem je subjekt (nerozhoduje jaké právní formy), který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv).
Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.
Zpracovatel
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců).
Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
2. DEFINICE OSOBNÍCH ÚDAJŮ
GDPR definuje osobní údaje velmi široce (obdobně jako dosavadní právní předpisy), když za osobní údaje považuje veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě. GDPR rozlišuje tyto kategorie osobních údajů:
- Obecné údaje: mezi obecné osobní podřazuje GDPR jméno, pohlaví, věk a datum narození, osobní stav, fotografický záznam, ale také údaje o aktivitě daného člověka na internetu, včetně cookies, IP adresy a dalších síťových identifikátorů.
- Organizační údaje: vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí GDPR mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem (např. IČ, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu, atp.).
- Citlivé údaje: jedná se o údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu (veškeré údaje související se zdravotním stavem, které vypovídají o tělesném nebo dušením zdraví člověka), sexuální orientaci a trestních deliktech či pravomocném odsouzení...
Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje (např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis) a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů. Se zpracováním citlivých údajů musí subjekt údajů udělit výslovný souhlas.
Z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. Týká se to tedy údajů, které jsou zpracovávány pro osobní potřebu a s nikým nejsou sdíleny.
3. DEFINICE ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ
Zpracováním osobních údajů je dle GDPR jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování ve smyslu GDPR však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.
4. POVINNOSTI SPRÁVCŮ & ZPRACOVATELŮ
Základní obecnou povinností, kterou GDPR pro správce a zpracovatele osobních údajů zavádí je přijetí technických, organizačních a procesních opatření za účelem prokázání souladu s principy GDPR, a to bez ohledu na jejich velikost nebo počet zaměstnanců správců a zpracovatelů osobních údajů.
Lze hovořit o dvou principech, na kterých je GDPR založeno:
A. Princip odpovědnosti - znamená odpovědnost správce za dodržení zásad zpracování, přičemž osobní údaje musí být:
- zpracovávány korektně a zákonným a transparentním způsobem
- shromažďovány pro určité, výslovně vyjádřené a legitimní účely
- přiměřené, relevantní a omezené na nezbytný rozsah pro účelu, pro který jsou zpracovávány
- přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny
- uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány (OÚ lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely)
- zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
Správce odpovídá za dodržení shora uvedených zásad a musí být schopen toto dodržení souladu kdykoliv doložit (!)
Doložení uvedených zásad GDR předpokládá mimo jiné i prostřednictvím kodexů (budou ho moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů), osvědčení (bude moci vydávat k tomu akreditovaný subjekt, přičemž v současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů) a záznamů o činnostech zpracování.
B. Princip založený na riziku - znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.
Další povinnosti:
Záznamy o činnostech zpracování (čl. 30 GDPR)
Bude se týkat pouze v případě, že budou zpracovávány citlivé údaje – např. podpis, osobní údaje dětí, atd.) GDPR vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace - (jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů).
Posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR)
Bude se týkat pouze v případě, že budou zpracovávány citlivé údaje, a to rozsáhlým způsobem. Jedná se o systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné.
Správce bude muset v posouzení dopadu rovněž jasně definovat přijatá bezpečností opatření a záruky, které by měly přispět k tomu, že předem definované vysoké riziko bude přijatými opatřeními eliminováno, a tím zajištěna dostatečná ochrana osobním údajům v souladu s nařízením.
Předchozí konzultace (čl. 36 GDPR)
Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.
Ohlašování případu porušení zabezpečení osobních údajů ÚOOÚ (čl. 33 GDPR)
V případě jakékoli porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit toto ÚOOÚ, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
Oznamování případu porušení zabezpečení osobních údajů subjektu údajů
Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce povinen toto porušení oznámit bez zbytečného odkladu subjektu údajů
Ustavení pověřence pro ochranu osobních údajů
Bude se týkat pouze správců či zpracovatelů, jejichž hlavní činností spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů.
5. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.
Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.
Lze proto doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat (zpracovávat) údaje v šifrované či pseudonymizované podobě, k čemuž i GDPR nabádá.
6. PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH ZEMÍ
Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Tuto premisu však nelze považovat za právní důvod k předávání osobních údajů jakémukoli správci či kdykoli. Možnost předávat osobní údaje bez omezení v Evropské unii se týká institucionálního zabezpečení, tj. je vyjádřeno to, že v zemích Evropské unie platí stejný vysoký standard právního rámce ochrany osobních údajů při jejich zpracování a není tak nutné zajišťovat jejich institucionální bezpečnost. K samotnému předání jinému správci musí mít správce právní důvod, jelikož i předání je jednou z činností zpracování. Právní důvod musí mít správce i tehdy, pokud předává osobní údaje do země mimo Evropskou unii, kdy ještě navíc musí být splněny podmínky pro předání osobních údajů i z hlediska jejich institucionálního zabezpečení.
7. SANKCE
Podmínky pro ukládání pokut
Správní pokuty se ukládají podle okolností každého jednotlivého případu, a to kromě či namísto dalších opatření uvedených v GDPR. Podstatné je, že nikoli za každé porušení GDPR musí být udělena pokuta, ale správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují GDPR, nebo může být správci, jehož operace zpracování porušily GDPR, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s GDPR atd.
Výše pokut
Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2 % celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 EUR (nebo až do 4 % celkového ročního celosvětového obratu).
Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které GDPR zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.
Polehčující & přitěžující okolnosti
Polehčující a přitěžující okolnosti jsou vyjmenovány v čl. 83 GDPR. Brána v úvahu bude zejména povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní porušení, kroky podniknuté správcem a spolupráce s Úřadem pro ochranu osobních údajů atd.
8. KONTROLNÍ ORGÁN
Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibydou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.
------------
* pseudonymizací se rozumí zpracování osobních údajů takovým způsobem, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajů.