0

Co nového GDPR přinese?

Hlavním účelem GDPR je chránit tzv. „digitální“ práva občanů EU. Kde je na jedné straně právo, tam bývá povinnost na straně druhé. Nejinak je tomu v případě GDPR. Přináší totiž rozsáhlá práva na straně subjektů údajů (tedy fyzických osob, jejichž údaje jsou zpracovávány) a komplementárně k právům i nové povinností na straně jejich správců a zpracovatelů.

S účinností GDPR odpadá povinnost správců a zpracovatelů registrovat se u Úřadu pro ochranu osobních údajů. Celá řada nových povinností nicméně přibývá. První významnou povinností každého správce a zpracovatele osobních údajů, je zavést technická, organizační a procesní opatření za účelem prokázání souladu zpracování osobních údajů s principy GDPR. Tato opatření musejí být přiměná konkrétní situaci a možnostem daného správce či zpracovatele. Z povahy věci je tedy zřejmé, že zcela jiné požadavky budou kladeny na opatření zavedené nadnárodní korporací, středně velkými podnikateli a začínajícími firmami či startupy. Společnosti s 250 a více zaměstnanci vznikne povinnost vést záznamy o činnostech zpracování osobních údajů. Bude se jednat např. o záznamy o kontaktních údajích správce a zpracovatele, účely zpracování, popis kategorií subjektů údajů a kategorií jejich příjemců, kterým byly údaje zpřístupněny a další. Vypočtené údaje nicméně bude muset každý správce a zpracovatel jejich subjektům na žádost poskytnout (bez ohledu na hledisko počtu zaměstnanců). Zmíněnou povinnost vést záznamy o zpracování osobních údajů tak budou de facto mít i společnosti s méně než 250 zaměstnanci, a to alespoň v takovém rozsahu, aby byly schopny plnit svou informační povinnost vůči subjektům údajů. Jestliže je ke zpracování osobních údajů nutný souhlas osoby, které se údaje týkají, musí být správce a zpracovatel schopen tento souhlas doložit. Dále přibyde povinnost ohlásit Úřadu pro ochranu osobních údajů bezpečnostní incidenty ohrožující ochranu osobních údajů.

Subjekty údajů na druhou stranu čeká možnost domáhat se několika nových práv. Právo na přenositelnost znamená, že chce-li např. klient banky změnit finanční instituci, jeho původní banka má povinnost jeho osobní údaje poskytnout bance nově zvolené. V případě, že zpracování údajů probíhá na základě souhlasu subjektu údajů, má dotčený subjekt právo takovýto souhlas kdykoliv odmítnout. Díky tomu se lze zbavit „fantastických nabídek“ mnohdy silně vlezlých obchodníků. Právo být zapomenut pak dává možnost, aby veškeré údaje vedené určitým správcem či zpracovatelem byly vymazány (např. v případě sociálních sítí, ale i cele řadě dalších případů). Právo být zapomenut však není novinkou, jen bylo dosud dovozováno z judikatury Evropského soudního dvora (např. Gonzáles vs. Google). GDPR pak toto v podstatě již zavedené právo pouze kodifikuje. Je nicméně třeba upozornit na skutečnost, že správce a zpracovatel může zpracovávat osobní údaje i bez souhlasu jejich subjektů, je-li to nezbytné pro plnění smlouvy (a v dalších nařízením stanovených případech). Na druhou stranu však poskytnutí služby nelze podmínit poskytnutím souhlasu se zpracováním osobních údajů – takový postup je v rozporu s GDPR. Vysvětleno na příkladu: Pokud podnikatel není schopen plnit bez poskytnutí adresy bydliště spotřebitele a ten mu ji odmítne poskytnout, nemá povinnost s ním uzavřít smlouvu. Pokud však podnikatel ve stejném případě poskytnutí služby podmíní poskytnutím telefonního čísla nebo emailu spotřebitele, které pro plnění smlouvy nejsou nezbytné, jedná v rozporu s GDPR.

Považujeme za nutné vyvrátit dvě největší fámy, které se v souvislosti s GDPR šíří. Tou první je, že při jakémkoliv sebenepatrnějším porušením povinností GDPR stanovených následuje pokuta ve výši 20.000.000,- € či 4 % celkového ročního obratu celosvětově za předchozí finanční rok. Taková sankce skutečně může být uložena, nicméně uložení pokuty by mělo vždy předcházet varování, napomenutí, pozastavení zpracování osobních údajů a až poté přichází v úvahu uložení pokuty. Výše pokuty mít odrazující efekt, ale současně musí být přiměřená vzhledem k poměrům toho, jemuž je ukládána. Přitom nejvyšší dosud uložená pokuta Úřadem pro ochranu osobních údajů za zjištěné a prokázané porušení povinností správců a zpracovatelů, nedosáhla ani poloviny maximální sazby (v současnosti 10.000.000,- Kč). Není proto na místě obava z ukládání likvidačních a zcela nepřiměřených pokut – takové nadužívání sankcí by bylo v příkrém rozporu s duchem GDPR. Navíc přibyde nově možnost se proti rozhodnutí Úřadu pro ochranu osobních údajů odvolat k Evropskému sboru pro ochranu osobních údajů, který v budoucnu vznikne. Druhým mýtem je, že každý sebemenší podnikatel bude muset zaměstnat tzv. pověřence pro ochranu osobních údajů (Data Protection Officer). Opak je pravdou. Zmíněného pověřence musí zřídit výlučně tyto subjekty:

  1. Orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
  2. Správce či zpracovatel, jehož hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování občanů (např. pojišťovny, banky, nemocnice – nikoliv však jeden praktický lékař)
  3. Správce či zpracovatel, jehož hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategoriích údajů (např. rasa, etnický původ, politický názor, náboženské přesvědčení atp.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

Faktem nicméně je, že kritérium rozsáhlého, pravidelného a systematického monitorování občanů splňuje např. každý podnikatel, který používá jakoukoliv z forem sledování a profilování na internetu (behaviorální reklama).

Máme-li novou unijní úpravu ochrany osobních údajů komplexně zhodnotit, je třeba říci, že subjekty údajů – tedy běžní občané se dočkají širší palety možností ochrany svých digitálních práv a rovněž mohou očekávat, že Úřad pro ochranu osobních údajů i jeho budoucí evropský nadřízený úřad budou nad jejich ochranou bdít bedlivěji než kdy dřív. Pokud jde o správce a zpracovatele osobních údajů, není na místě nové povinnosti a hrozící sankce démonizovat a vyslyšet volání po rychlém a jednorázovém opatření. GDPR není pouze další regule EU. Je to reforma ochrany osobních údajů. Doporučeným postupem je proto analyzovat, jaké konkrétní povinnosti vznikají tomu-kterému správci či zpracovateli a přijmout taková opatření, která zajistí soulad zpracování osobních údajů s požadavky GDPR. Jiným způsobem ostatně ani postupovat nelze, chtějí-li se správci a zpracovatelé osobních údajů vyhnout konfliktům s dozorujícími orgány a v krajním případě případnému uložení již zmíněných pokut. Pro klienty, kteří se s GDPR chtějí seznámit podrobněji, jsme schopni uspořádat školení, nebo jejich případ zanalyzovat a navrhnout konkrétní opatření pro jednání v souladu s GDPR.

Mgr. Jaroslav David

Plavec & Partners, advokátní kancelář s.r.o.

Napsat komentář

Vaše e.mailová schránka nebude zveřejněna. Označené kolonky je povinné vyplnit.