0

Prokázání souladu, delikty a prevence deliktní odpovědnosti

  1. Prokázání souladu s GDPR (jak správci, tak zpracovatelé)

Jednou ze základních povinností správců a zpracovatelů je tzv. prokázání souladu s GDPR. Obsahem této povinnosti je a) zavedení technických a organizačních opatření, b) schopnost zavedení takových opatření vždy doložit a prokázat.

Účelem celého prokazování je zvýšit ochranu subjektů údajů, tj. dodržování všech ustanovení GDPR, popř. ustanovení doprovodných zákonů v jednotlivých členských zemích EU.

GDPR uvádí příkladmo, jakým způsobem lze tyto povinnosti plnit:

  • Schválenými kodexy chování;
  • osvědčeními;
  • záznamy o činnostech.

Jak kodexy tak osvědčení nejsou pro správce ani zpracovatele povinnými nástroji, nicméně z logiky věci se bude jednat velmi vhodný a doporučovaný prostředek k prokázání souladu s GDPR.

KODEXY CHOVÁNÍ (nepovinné)

Vypracovávají sdružení či subjekty zastupující různé kategorie správců (např. samosprávné profesní komory). Kodex se po vypracování předloží příslušnému dozorovému úřadu, který jej v případě souladu s GDPR schválí, zaregistruje a zveřejní. Kodex by měl kromě podrobných pravidel o povinnostech správců a zpracovatelů obsahovat mechanismy, aby bylo akreditované osobě umožněno monitorování jeho dodržení.

OSVĚDČENÍ (nepovinné)

Osvědčení vydává Subjekt pro vydávání osvědčení akreditovaný buď dozorovým úřadem, nebo akreditačním orgánem. Je třeba si dát pozor, zda je tato osoba skutečně odborně a formálně způsobilá osvědčení vydávat. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše 3 let. Může být uděleno opětovně.

ZÁZNAMY O ČINNOSTECH (povinné pro určité subjekty)

Vypracovává správce a zpracovatel. Obsahem záznamů musí být zejména:

  • Údaje o správci a o pověřenci pro ochranu osobních údajů;
  • vymezení účelu zpracovávání;
  • kategorizace subjektů údajů, jejichž údaje se zpracovávají.

 

  1. Delikty v GDPR

Každý subjekt údajů může podat stížnost dozorovému úřadu a následně se může obrátit na soud. Delikty, o kterých hovoří GDPR by se daly členit na správní delikty (v českém právu – de facto přestupky) a civilní delikty (náhrada škody).

PRÁVO NA NÁHRADU ŠKODY

Náhradu škody v ČR obecně upravuje zák. č. 89/2012 Sb., Občanský zákoník, ve znění pozdějších předpisů. GDPR však přináší speciální úpravu, která se užije přednostně. Jakmile bude platný a účinný český zákon navazující na GDPR, bude k Občanskému zákoníku rovněž ve vztahu speciality. Subjekty odpovědnými za škodu jsou správce a zpracovatel.

Kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje GDPR. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

Specifikum je tzv. objektivní odpovědnost. Jedná se o poměrně přísný přístup, kdy se vůbec neprokazuje zavinění škůdce (ať už správce či zpracovatele). Ke změkčení tohoto přísného pravidla je zde možnost liberace. To v praxi znamená, že se škůdce odpovědnosti zprostí, pokud prokáže, že odpovědnost nenese. Toto pravidlo je poněkud vágní. Bude zřejmě potřeba prokázat, že by škoda vznikla, i kdyby správce jednal naprosto bezchybně. Důkazní břemeno se při liberaci obrací – prokazovat musí škůdce.

SPRÁVNÍ DELIKTY

Základní zásady ukládání správních pokut

  • Postačuje nedbalost, úmysl je přitěžující okolností;
  • absorbční metoda trestnání: Pokud je porušeno vícero ustanovení GDPR, celková výše pokuty nepřekročí horní hranici pokuty za to nejzávažnější porušení GDPR;
  • správní pokuta musí být účinná, přiměřená a odrazující;
  • ke stanovení výše pokuty je rozhodná povaha porušení GDPR (délka trvání porušení GDPR, míra škody, aj.);
  • další přitěžující okolností je zejména recidiva (opětovné porušení GDPR, kterého se delikvent dopustil poté, co byl již jednou za takové porušení sankcionován);
  • ke stanovení výše pokuty je dále důležitá spolupráce s dozorovým úřadem a kroky zpracovatele ke zmírnění škod, apod.

Odpovědné skupiny subjektů, které mohou správní delikty spáchat:

  • Správce, zpracovatel;
  • subjekt pro vydávání osvědčení, popř. subjekt akreditovaný pro monitorování souladu s kodexem).

Každý členský stát EU si může zákonem upravit, do jaké míry lze pokutovat orgány veřejné moci. Existuje výčet povinností, které jsou vynucovány pod pokutou zvlášť pro správce, zpracovatele i subjekt vydávání osvědčení. Z povahy věci tak např. správce nemůže spáchat delikt nepozastavení osvědčení, když k tomu ani není oprávněn, popř. povinen. Členské státy mohou zavést i jiné sankce.

Správní pokuty lze uložit až do výše 10 mil. Euro, u závodů až do výše 2% z ročního obratu (pokud 2% ročního obratu přesahují 10 mil. Euro) např. za:

  • Porušení povinnosti správce či zpracovatele vyžádat si souhlas se zpracováním osobních údajů od dítěte staršího 16 let nebo jeho zástupce;
  • správce nezavede vhodná technická opatření, aby se standartně zpracovávaly pouze osobní údaje, jež jsou nezbytné pro daný účel;
  • subjekt akreditovaný pro monitorování souladu s kodexem nepozastaví účast správce na kodexu, pokud by to udělat měl.

Správní pokuty lze uložit až do výše 20 mil. Euro, u závodů až do výše 4% z ročního obratu (pokud 4% z ročního obratu přesahují 20 mil. Euro) např. pokud:

  • Není splněna základní podmínka zákonnosti zpracování (chybí souhlas apod.);
  • správce bez zbytečného odkladu neopraví nepřesné osobní údaje subjektu údajů;
  • správce nerespektuje právo subjektů údajů „být zapomenut“, tj. nesmaže údaje;
  • není splněn příkaz dozorového úřadu.
  1. Prevence ve vztahu k deliktní odpovědnosti

Pro minimalizaci možnosti sankčního postihu je zejména nutné soustředit se na prokazování souladu s GDPR. Jakmile bude v ČR známo konečné znění doprovodného zákona ke GDPR, bude potřeba se s ním pečlivě seznámit. Mezi základní doporučení dále obecně patří:

  • Mít vždy připravené prokázání souladu s GDPR, což samo o sobě směřuje k plnění povinností z GDPR;
  • spolupracovat s dozorovým úřadem obecně, zejména pak po zjištění problému, ihned tento problém oznámit;
  • mít nastaveny interní procesy tak, aby a) nedocházelo k porušování GDPR, b) aby bylo toto nastavení interních procesu explicitní, viditelné a prokazatelně všem zaměstnancům známé, c) je maximálně vhodné, aby byly procesy nastaveny tak, aby jmenovitě řešily důvěrnost, integritu a odolnost systémů zpracování, aby bylo zajištěno pravidelné testování systému;
  • pokud už vznikne problém, který by mohl znamenat naplnění skutkové podstaty, zmírňovat škody – nechť je takový pokyn i v interních pokynech;
  • vzhledem k široké pravomoci dozorového úřadu nekumulovat v interních systémech data (osobní údaje), která by mohla usvědčovat společnost z nedodržování GDPR.

Mgr. Václav Pravda

Plavec & Partners, advokátní kancelář s.r.o.

Napsat komentář

Vaše e.mailová schránka nebude zveřejněna. Označené kolonky je povinné vyplnit.