0

První zkušenosti s GDPR

Příchod GDPR znamenal v oblasti ochrany osobních údajů určitý předěl. Byť se nejednalo, jak bylo často mylně prezentováno, o žádnou revoluci v oblasti ochrany osobních údajů (základní práva, povinnosti a principy zůstaly i s GDPR takřka totožné), tak GDPR nastartovalo poměrně intenzivní diskuzi a zájem o tuto problematiku a přitáhlo pozornost i těch, kteří měli o ochraně osobních údajů buď jen matné povědomí, anebo se jí nevěnovali s odůvodněním, že se nejedná o nijak zásadní téma.

Pokud bychom měli začít s nějakým konkrétním poznatkem, který jsme za první půlrok účinnosti GDPR zaznamenali, tak bychom na prvním místě zmínili jednoznačné zvýšení právního povědomí v oblasti ochrany osobních údajů, v důsledku kterého došlo i k určité emancipaci subjektů údajů (fyzické osoby, jejichž osobní údaje jsou někým zpracovávány). To se projevuje například tím, že zaměstnanci, zákazníci či obchodní partneři požadují po správcích (tj. po osobách, které zpracovávají osobní údaje subjektů údajů) informace o tom, jaké osobní údaje o nich správci zpracovávají, jaký k tomu mají důvod, či zdali jsou osobní údaje náležitě zabezpečeny. Aby toto „právo na informace“ subjektů údajů mohli správci řádně naplňovat, musí v první řadě náležitě plnit svoje informační povinnosti (zpravidla prostřednictvím různých informačních dokumentů o zpracování osobních údajů). Setkáváme se nicméně často s tím, že ani tato elementární povinnost dle GDPR není ze strany správců plněna. Je to škoda, protože plnění informační povinnosti patří jednoznačně mezi to „jednodušší“, co GDPR po správcích požaduje. Navíc z hlediska případné kontroly ze strany Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) je pochybení v této oblasti poměrně jednoduše zjistitelné a prokazatelné. ÚOOÚ navíc opakovaně deklaroval, že důsledné plnění informační povinnosti je to základní, co by měl správce dělat. Pokud jste tedy ještě svým zaměstnancům, obchodním partnerům, či dodavatelům, jejichž osobní údaje zpracováváte, neposkytli o prováděném zpracování patřičné informace, doporučujeme učinit tak co nejdříve.

Další věcí, na kterou bychom rádi upozornili je to, že ačkoliv s příchodem GDPR proběhla velmi intenzivní osvětová kampaň ohledně (ne)využívání souhlasu se zpracováním osobních údajů, tak v praxi vidíme, že souhlasy se stále hojně využívají nadbytečně a situacích, kdy se využívat nemají. Souhlas se zpracováním osobních údajů by měl být využíván až jako poslední možnost, to znamená pouze v situacích, kdy neexistuje jiný právní důvod pro zpracování osobních údajů. Pokud ale například zpracováváte osobní údaje zaměstnanců z důvodu, že Vám to ukládají právní předpisy (např. z oblasti zdravotního a sociálního pojištění, daní apod.) anebo zpracováváte osobní údaje svých zákazníků, abyste jim mohli dodat zboží či poskytnout službu, souhlas takřka nikdy nepotřebujete.

Mezi novinky, které s sebou GDPR přineslo, patří i institut pověřence pro ochranu osobních údajů. U subjektů, které byly povinny pověřence jmenovat (vymezená skupina správců a zpracovatelů), se nicméně často setkáváme s nepochopením jeho role. Pověřenec v první řadě pomáhá správci/zpracovateli při dosahování shody s právními předpisy na ochranu osobních údajů, monitoruje soulad s GDPR či působí jako kontaktní místo pro ÚOOÚ. Zjednodušeně řečeno, je to jakýsi datový auditor, který má kontrolovat, že správce či zpracovatel zpracovává osobní údaje v souladu s GDPR. Pověřenec má tedy kontrolovat, nicméně nikoliv zajišťovat, že zpracování osobních údajů probíhá v souladu s GDPR. Proto pokud je třeba splnit informační povinnost, připravit smlouvu o zpracování osobních údajů, vnitřní směrnici na ochranu osobních údajů nebo záznamy o činnostech zpracování, je toto starostí správce/zpracovatele, nikoliv pověřence. Povinností pověřence je se pak k těmto dokumentům vyjádřit a posoudit je z hlediska jejich souladu s GDPR. Není proto dobrou cestou (kterou bohužel zvolila celá řada správců či zpracovatelů), pokud si správce či zpracovatel najme pověřence, jehož odborné a profesní zkušenosti jsou nedostatečné, nota bene pokud takový pověřenec funguje pro desítky dalších správců či zpracovatelů. Jak naznačil ÚOOÚ, bude toto jedna z věcí, které se bude v rámci své dozorové činnosti zabývat.

V této souvislosti je třeba ještě zdůraznit, že pověřenec nenese osobní odpovědnost za dodržování GDPR. GDPR jasně stanoví, že právní soulad s GDPR je odpovědností správců a zpracovatelů – ti musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s jeho ustanoveními. V případě zjištěných pochybení to pak bude správce nebo zpracovatel (nikoliv pověřenec), kdo bude postižen.

Závěrem lze říci, že oblast ochrany osobních údajů se nyní nachází v určité mezifázi. GDPR si všichni zúčastnění „osahávají“ a seznamují se s ním. ÚOOÚ prozatím deklaruje, že v rámci jeho dozoru je cílem v prvé řadě náprava protiprávního stavu a ochrana práv dotčených osob (subjektů údajů), nikoliv okamžitá represe (uložení pokuty). Tato doba hájení nicméně nebude trvat věčně, proto nezbývá než doporučit všem, kteří se implementaci GDPR dosud nevěnovali, aby tak učinili, neboť ještě stále není pozdě.

Mgr. Marek Kučera, advokát

Plavec & Partners, advokátní kancelář s.r.o.

Napsat komentář

Vaše e.mailová schránka nebude zveřejněna. Označené kolonky je povinné vyplnit.