0

Povinnosti správců a zpracovatelů osobních údajů

Tématem aktuálního newsletteru je obecné nařízení EU č. 2016/679 o ochraně osobních údajů neboli GDPR – General Data Protection Regulation. GDPR přináší novou právní úpravu osobních údajů, což sebou přináší i novou úpravu povinností správců a zpracovatelů osobních údajů, čemuž se bude věnovat tento příspěvek. V rámci příspěvku si uvedeme základní povinnosti a jejich podstatu.

Povinnost získat souhlas se zpracováním údajů

Povinnost poskytnout subjektu údajů informace o zpracování údajů

Získat souhlas ke zpracování údajů není povinností vždy, neboť zpracování údajů lze provést nejenom se souhlasem subjektu údajů, ale rovněž pokud je např. zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nezbytné pro splnění právní povinnosti, která se na správce vztahuje nebo nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Není-li zde však žádný v nařízení uvedených jiných právních důvodů, tak je nutné mít ke zpracování souhlas subjektu údajů. Nařízení rovněž stanovuje, jaké vlastnosti musí souhlas splňovat, jimiž jsou svobodnost, konkrétnost, informovanost a jednoznačnost projevu vůle subjektu údajů. Správce (zpracovatel) je proto povinen poskytnout subjektu údajů informace o totožnosti správce údajů, předmětu, době, povaze a účelu zpracování a o právech subjektu údajů.

Povinnost vést záznamy o činnostech zpracování

Jedná se o novou povinnost, jež spočívá v tom, že správce (zpracovatel) je povinen vést záznamy o všech operacích s osobními údaji. Záznamy o činnostech musí obsahovat název a kontaktní údaje správce, důvod zpracování údajů, popis kategorií subjektů údajů a osobních údajů, kategorie organizací, které údaje obdrží, přenos údajů do jiné země či organizace, lhůtu pro odstranění údajů a popis bezpečnostních opatření uplatňovaných při zpracovávání. Nařízení počítá rovněž s výjimkami z povinnosti vést dokumentaci zpracování pro společnosti s méně než 250 zaměstnanci. Bohužel ani uvedená výjimka není neomezená, neboť společnosti s méně než 250 zaměstnanci budou muset vést záznamy, pokud provádějí zpracování, která jsou riziková, resp. zasahují závažným způsobem do práv a svobod jednotlivců nebo zpracování, která budou zahrnovat citlivé údaje.

Povinnost posouzení vlivu na ochranu osobních údajů

Tato povinnost do jistě míry nahrazuje současnou oznamovací povinnost, neboť do budoucna nebudou správci povinni oznamovat zpracování dozorovému orgánu. Jedna povinnost sice odpadne, nicméně u správců, jež provádí rizikovější operace s daty, ji nahradí povinnost nejspíš horší. Je vhodné uvést, že mezi rizikovější operace, u nichž bude nutné posouzení, bude náležet především hodnocení osobních aspektů subjektů údajů například tzv. scoring klientů prováděný bankami, kterým zjišťují platební schopnost před poskytnutím úvěru; systematické monitorování – například systematické sledování zaměstnanců na pracovišti; operace s citlivými údaji a „rizikovými“ údaji, které mohou být zneužity – například zpracování údajů o zdravotním stavu pacienta nemocnicemi; zpracování údajů ve velkém rozsahu – například zpracování údajů klientů pojišťoven či bank; zpracování údajů týkajících se „zranitelných“ osob – například dětí, pacientů či zaměstnanců; zpracování údajů, při kterém se použije nová technologie – například kontrola docházky zaměstnanců na základě zařízení snímajícího otisk prstu; předání osobních údajů mimo EU.[1] Dle dostupných informací však Úřad pro ochranu osobních údajů připravuje seznam operací zpracování, které podléhají požadavkům posouzení vlivu. Povinnost zpracovat posouzení vzniká, ještě než je započato s vlastním zpracováním údajů, kdy se jedná o analýzu vlivu na ochranu osobních údajů. Každé posouzení by vždy mělo zahrnovat popis plánovaného zpracování údajů a účelu zpracování, analýzu nezbytnosti a přiměřenosti zpracování údajů s ohledem na jeho účel, posouzení rizik a návrh opatření k řešení těchto rizik.

Povinnost jmenovat pověřence pro ochranu osobních údajů

Opětovně se jedná o novou povinnost, jež však není uložena všem správcům, nýbrž povinnost nastává v případě, kdy zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů), hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů nebo hlavní činností správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Osobou pověřence musí být jmenována osoba, jež disponuje odbornými znalostmi práva a praxe v oblasti ochrany údajů a má schopnost plnit úkoly pověřence. Hlavními úkoly pověřence pro ochranu osobních údajů jsou kromě dohlížení na soulad zpracování údajů s nařízením, poradenství a poskytování informací správcům a zpracovatelům o jejich povinnostech, školení zaměstnanců, konzultace a zpracování posudku při procesu posouzení vlivu na ochranu osobních údajů a spolupráce s dozorovým úřadem.[2]

Povinnost ohlašovat případy narušení bezpečnosti

Jedná se o důležitou povinnost k ochraně osobních údajů a správce je povinen tuto povinnost plnit k dozorovému orgánu a zároveň i k subjektu údajů. Dozorovému orgánu je správce povinen oznamovat únik či ohrožení zabezpečení osobních dat nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. Ohlášení musí přinejmenším obsahovat popis povahy daného případu porušení zabezpečení osobních údajů (např. hackerský útok na internetové bankovnictví); jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa; popis pravděpodobných důsledků porušení zabezpečení osobních údajů (např. pravděpodobnost neoprávněného přístupu k bankovním účtům) a popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů (např. dočasné zablokování internetového bankovnictví a výzva klientům k bezodkladné změně hesel). Nařízení však připouští výjimku z této povinnosti a to v případě, kdy narušení bezpečnosti by pravděpodobně nepředstavovalo riziko z hlediska práv a svobod jednotlivce.[3]

Subjektu údajů je poté správce povinen ohlásit narušení bezpečnosti pouze v případě představovalo by narušení bezpečnosti vysoké riziko pro práva a svobody fyzických osob. Oznámení případů narušení bezpečnosti subjektu údajů nebude nutné provádět, pokud správce bude schopen prokázat, že zavedl příslušná technická a organizační ochranná opatření, která byla použita u údajů dotčených narušením bezpečnosti (např. byly údaje šifrovány), nebo prokáže, že přijal následná opatření, která zajistí, že riziko pro práva a svobody subjektů údajů se pravděpodobně již nebude opakovat.[4]

Mgr. Milan Dvořák

Plavec & Partners, advokátní kancelář s.r.o.

[1] SALAČ, Jiří, PROUZA Jiří. GDPR – nové nařízení EU o ochraně osobních údajů.

[2] Tamtéž.

[3] BURIAN, David, RADIČOVÁ, Zuzana. K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR). Právní prostor.cz [online]. Publikováno 25.2.2016 [cit. 28.8.2017]. Dostupné z: https://www.pravniprostor.cz/clanky/ostatni-pravo/k-nekterym-povinnostem-ktere-pro-spravce-prinasi-gdpr

[4] Tamtéž.

Napsat komentář

Vaše e.mailová schránka nebude zveřejněna. Označené kolonky je povinné vyplnit.