Ústecký kraj - V květnu letošního roku, konkrétně dvacátého pátého dne, vstoupí v platnost nové nařízení Evropské unie General Data Protection Regulation neboli GDPR. Je to nový právní rámec ochrany osobních údajů napříč evropským prostorem, má hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů.
Bude se týkat všech firem a institucí, podnikatelů, ale i jednotlivců. Za porušování nového nařízení budou hrozit obrovské pokuty.
Obrátili jsme se na advokáta Milana Frice, aby nám nové nařízení blíže vysvětlil:
Co je nové nařízení GDPR?
GDPR neboli obecné nařízení o ochraně osobních údajů je právní předpis Evropské unie, který reguluje zpracování osobních údajů fyzických osob. Účinné a prakticky vymahatelné je od 25. května tohoto roku, a to ve všech členských státech EU. Primárním cílem nařízení je posílit a sjednotit ochranu osobních údajů občanů EU s ohledem na technické možnosti dnešní doby a dále zabránit nakládání s osobními údaji bez vůle dané fyzické osoby. Osobním údajem je například jméno, rodné číslo, telefon, email, pohlaví, zdravotní údaje nebo obecně jakýkoli údaj, pomocí kterého můžeme identifikovat konkrétní fyzickou osobu. Občanům je pak dána efektivnější možnost kontroly nad tím, k čemu a jak je s jejich osobními údaji nakládáno. Proto i například všichni zákazníci, zaměstnanci nebo pacienti budou mít větší přehled o nakládání s jejich osobními údaji u firem, ve školách, na úřadech či v nemocnici.
Jaký je dosah GDPR?
Nařízení se vztahuje zejména na každého, kdo zpracovává osobní údaje na území EU a pak také na některé případy zpracování mimo území EU. Zpracováním se rozumí jakékoli nakládání či jakákoli činnost, která je s osobním údajem prováděna, například i pouhé shromáždění nebo nahlédnutí. Regulace se nicméně týká pouze automatizovaného zpracovávání a v případě manuálního zpracování pouze těch údajů, které jsou nebo mají být zařazeny do jakékoli evidence, typicky databáze nebo systému. V případě nedodržení některých povinností pak nařízení stanovuje horní hranici pokuty drakonicky vysoko, a to až do výše 20 milionů euro nebo 4% ročního obratu.
Je GDPR nadřazen zákonům České republiky či Ústavy ČR?
GDPR bylo přijato ve formě nařízení a jako takové je přímo aplikovatelné v celé EU. Není tedy potřeba žádná další implementace do českého právního řádu, jako bylo v případě předchozí směrnice z roku 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, která byla implementována pomocí aktuálně ještě platného zákona č. 101/2000 Sb., o ochraně osobních údajů. Obecně platí, že pokud by český zákon stanovil v rozporu se samotným nařízením, mohou se čeští občané přímo dovolat práv a povinností dle GDPR.
Co tedy nařízení pro samotné občany představuje?
Především kontrolu nad svými osobními údaji, jelikož nařízení dopadne na drtivou většinu osob, které s osobními údaji pracují v souvislosti s podnikáním nebo svou činností. Předchozí právní úprava je již zastaralá a nereflektuje technologický vývoj v této oblasti. V roce 1995 si asi jen ti největší sci-fi nadšenci dokázali představit rozvoj sociálních sítí, digitálního trhu či cloudových úložišť, jak je známe dnes. Dochází proto k rozšíření stávajících práv a kodifikaci práv nových. Každý tak bude mít v souvislosti s jeho osobními údaji právo na přístupu, opravu, omezení zpracování, přenositelnost, vznést námitku a v posledních letech hojně diskutované právo být zapomenut. Je však třeba také dodat, že většina těchto práv není absolutní a záleží, zda jsou osobní údaje zpracovávány na základě zákona, smlouvy, souhlasu nebo oprávněného zájmu správce. Každý občan má právo znát, které jeho osobní údaje jsou u dané organizace zpracovávány, k jakému účelu, na základě jakého právního základu, na jak dlouhou dobu a komu budou nebo mohou být předány. S těmito právy pak zrcadlově souvisí povinnost správců osobních údajů tyto informace občanům poskytnout.
- Mgr. Bc. Milan Fric, LL.M., je advokátem registrovaným u České advokátní komory. Zaměřuje se zejména na právo nemovitostí, obchodní právo, správní právo a ochranu osobních údajů. Spolupracuje také s Ústavem státu a práva Akademie věd ČR a v minulosti úspěšně absolvoval postgraduální studium International Business and Commercial Law ve Velké Británii na University of Manchester.
Jak se GDPR dotkne digitálního světa?
Je třeba počítat s tím, že osobním údajem mohou být IP adresa, soubory cookies, lokační údaje, na základě kterých existuje možnost identifikovat určitou fyzickou osobu. Pokud tedy podnikatelé pracují i s těmito údaji, dotkne se jich GDPR i v tomto ohledu. Zvláštní důraz je také kladem na souhlas dětí, kdy dle aktuálního návrhu českého upřesňujícího zákona k GDPR uděluje souhlas do 13. roku věku dítěte zákonný zástupce, což bude problematické především v online světě.
Budou mít běžní občané nová práva či také nějaké povinnosti?
Zcela novým právem, které GDPR zavádí, je právo na přenositelnost osobních údajů. Jeho podstatou je možnost občanů za určitých podmínek od správce získat své osobní údaje bezplatně ve strukturované podobě a v čitelném formátu (například ve formě dokumentu). Dalším právem je například právo být zapomenut, i když v jeho případě dochází pouze k právnímu zakotvení judikatury Soudního dvora EU v kauze Google vs. Costeja. Dále pak dochází k upřesnění a rozšíření práva na přístup, informace, transparentnost a omezení zpracování. Nové povinnosti GDPR pro občany – subjekty údajů - nezavádí.
Jaké povinnosti budou nově mít firmy, instituce či podnikatelé?
Obecně lze shrnout, že budou muset upravit smlouvy, souhlasy, vnitropodnikové směrnice, archivační řády a vnitřní procesy pro zpracování osobních údajů. Základní povinnosti oproti aktuálnímu českému zákonu o ochraně osobních údajů zůstávají prakticky stejné, dochází jen k jejich zpřesnění. Těmi jsou například nutnost disponovat právním důvodem pro zpracování, transparentnost nebo příslušné zabezpečení osobních údajů. Z nových povinností lze jmenovat například povinnost vést záznamy o činnostech zpracování, zavést procesy pro posouzení vlivu na ochranu osobních údajů, ohlásit porušení zabezpečení Úřadu pro ochranu osobních údajů do 72 hodin od zjištění úniku, oznámení porušení zabezpečení subjektům údajů a případně jmenovat pověřence pro ochranu osobních údajů tam, kde to GDPR vyžaduje.
Koho především se tedy bude GDPR zákon dotýkat? Bude se dotýkat i malých podnikatelů nebo poskytovatelů služeb?
Nové nařízení se týká naprosto všech, kdo zpracovávají osobní údaje, ať již to jsou nadnárodní korporace, úřady, poskytovatelé IT služeb, regionální podnikatelé, malí živnostníci nebo i každý z nás, kdo zpracovává osobní údaje ve větším rozsahu a nejen pro osobní potřebu. Je však nutno zmínit, že GDPR nepředstavuje revoluci v ochraně osobních údajů, jak je někdy uváděno (ať již mylně nebo záměrně některými společnostmi zabývajícími se ochranou osobních údajů), ale jedná se spíše o plynulou evoluci. Problémem však je, že většina českých organizací nenakládá s osobními údaji ani tak, jak vyžaduje současný český zákon na ochranu osobních údajů a nemá ani zpracovanou potřebnou dokumentaci dle tohoto zákona. Pokud by organizace byla v souladu se současným českým zákonem, je z větší části v souladu i s GDPR.
Dotýká se tento zákon i médií a jak?
Určitě dotýká, avšak v tomto ohledu počítá GDPR také s ústavním právem na svobodu projevu a informací a odchylkami pro zpracovávání osobních údajů pro novinářské, akademické, umělecké a literární účely.
Města a obce se nařízení obávají, na co se musí připravit?
Obce se budou muset připravit jako jakýkoli jiný subjekt zpracovávající osobní údaje. V první řadě by měly přistoupit k právní analýze, která identifikuje, které osobní údaje jsou obcemi vůbec zpracovávány, jak jsou chráněny, kdo k nim má přístup nebo komu a jak jsou předávány. Následující fází by mělo být odstranění zjištěných nedostatků, zejména formou vyhotovení potřebných vnitřních směrnic, souhlasů nebo úpravou smluvní dokumentace tak, aby činnost obcí na úseku ochrany osobních údajů odpovídala požadavkům GDPR. V případě obcí jako veřejného subjektu pak GDPR výslovně vyžaduje, aby všechny obce jmenovaly osobu pověřenou ochranou osobních údajů, takzvaného pověřence pro ochranu osobních údajů. Vznikne tedy nová pozice v hierarchii obcí. Pověřenec má být osoba nezávislá, znalá práva a mít praxi v oblasti ochrany osobních údajů. Může jít však o externího spolupracovníka, což dává ekonomicky smysl zejména pro menší obce, popřípadě v rámci dobrovolných svazků obcí.
Slyšela jsem názor, že bude například problém se zveřejňováním fotografií ze společenských akcí pořádaných obcemi či městy?
To je jedna z častých otázek, které od klientů slýchám a bohužel o ní kolují nesprávné odpovědi i od údajných profesionálů v oblasti ochrany osobních údajů. Ve většině případů fotografie z takových akcí nebudou režimu GDPR vůbec podléhat, pokud je ovšem nebudou obce či města používat pro vedení určité evidence fyzických osob zachycených na fotografii, což se v drtivé většině případů ani neděje. Na právním režimu takových fotografií se nic nemění a bude se i nadále řídit občanským zákoníkem.
Hovořil jste o statutu Pověřence pro ochranu osobních údajů. Mohou si menší firmy zajišťovat tuto kontrolu sami pro sebe, například po zaškolení sami sebe či některého ze svých zaměstnanců?
Teoreticky mohou, ale vzhledem k odborným požadavkům kladeným na osobu pověřence obecně tento postup nedoporučuji. Dává to smysl ve společnostech, kde již existuje pozice podnikového právníka nebo compliance oddělení, ale u menších firem se spíše vyplatí tuto činnost outsourcovat jako v případě menších obcí. Pozice pověřence nemusí být na plný úvazek.
Jakým způsobem budou muset dotčení zajistit v praxi ochranu osobních dat?
Ve standardních podmínkách GDPR přináší potřebu všech organizací (obchodních společností, e-shopů, obcí, škol, družstev atd.) se na tento nový právní předpis připravit, a to nejdříve provedením auditu nakládání s osobními údaji v dané organizaci a vyhotovením potřebné dokumentace či dodatků k té stávající. Je třeba mít přehled o tom, jaké osobní údaje mám k dispozici, kde jsou uloženy a kdo k nim má přístup. Po právním auditu může také následovat i úprava IT systémů, pokud to bude třeba. Je třeba však postupovat s rozmyslem a s ohledem na zásadu přiměřenosti a s ohledem na související rizika.
Na co byste zejména směrem k tomuto zákonu chtěl veřejnost upozornit?
Pokud se kdokoli rozhodne využít pro analýzu nebo implementaci externího poradce, určitě doporučuji, aby se vždy jednalo o advokáta, který za svoji činnost osobně odpovídá a který je ze zákona pojištěn pro případ vzniku škody poskytnutím právní rady. Bohužel se v současné době na trhu vyskytuje řada společností, které se prezentují jako odborníci na ochranu osobních údajů a GDPR a nabízí klientům také právní služby, což je v rozporu se zákonem. Právní služby, s několika málo výjimkami, mohou klientům poskytovat pouze advokáti a jejich seznam je veřejně dostupný na webových stránkách České advokátní komory. V opačném případě hrozí, že v případě pokuty se klienti budou domáhat náhrady škody jen po „prázdné schránce“ s nekontaktními osobami.
Zavádí GDPR nějakou povinnost řešit ochranu dat pomocí určeného počítačového programu?
GDPR nikde nezavádí povinnost správce řešit problematiku GDPR pomocí počítačového programu. Určitě nedoporučuji drobným a středním podnikatelům bezhlavě nakupovat počítačové programy a spoléhat na toto řešení. Žádný počítačový program sám o sobě nezajistí soulad s GDPR, jelikož za správce neupraví jeho smluvní nebo vnitřní dokumentaci ani nenastaví procesy v dané organizaci. Může jít pouze o doplňkový program, který hlídá, aby předem definované osobní údaje nebyly ukládány tam, kde uloženy být nemají. Toto je však řešení, které praktikují zejména mezinárodní a velké společnosti, a to ještě pouze některé. Proto bych spíše doporučil investovat finanční prostředky do úpravy dokumentů a procesů.
Můžete ještě obecně shrnout, na co se má připravit malý či střední podnikatel nebo provozovatel e-shopu?
Pro podnikatele platí obecná odpověď jako v případě obcí. Žádné univerzální řešení pro GDPR neexistuje. Obecně lze shrnout, že je třeba realizovat právní analýzu, která identifikuje, které osobní údaje jsou vůbec zpracovávány, jak jsou chráněny, kdo k nim má přístup nebo komu a jak jsou předávány. Následující fází by mělo být odstranění zjištěných nedostatků, zejména formou vyhotovení potřebných vnitřních směrnic, souhlasů nebo úpravou smluvní dokumentace tak, aby činnost podnikatele na úseku ochrany osobních údajů odpovídala požadavkům GDPR.
V případě e-shopů je třeba také myslet na případná zpracování IP adres zákazníků, cookies a splnění informační povinnosti dle GDPR vůči zákazníkům ve všeobecných obchodních podmínkách. Jedná se o velmi individuální proces a není možné doporučit univerzální řešení, které by pasovalo na všechny správce a zpracovatele.
