Doporučení CCBE ohledně klíčových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s GDPR


publikováno: 06.11.2017

Toto doporučení, přijaté CCBE na plenárním zasedání 19. 5. 2017 v Edinburghu, je reakcí na nedávno přijatou evropskou legislativu – nařízení Evropského parlamentu a Rady č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů, tzv. GDPR) a směrnici Evropského parlamentu a Rady 2016/680 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

Dokument se zaměřuje pouze na aspekty ochrany osobních údajů, ze kterých plynou dodatečné povinnosti. Cílem doporučení je zajistit, aby advokátní praxe jednoduše identifikovala problémy, které je potřeba okamžitě řešit.

Prostřednictvím tohoto dokumentu by Rada evropských advokátních komor (CCBE) chtěla uvést přehled základních nových opatření k dosažení souladu s předpisy, která mohou advokátní komory doporučovat za účelem souladu s požadavky stanovenými GDPR.

V následujících částech jsou zdůrazněny ty aspekty GDPR, které zejména pro advokáty nebo advokátní kanceláře (dále jen jako „advokátní praxe“) přinášejí nutnost nového nebo zvýšeného dodržování povinností plynoucích z předpisů. Účelem zdůraznění těchto záležitostí je, aby mohly advokátní praxe snadno identifikovat problémy, jimiž by se měly zabývat v první řadě. Vzhledem k tomu, že drtivá většina evropských advokátních praxí spadá pod hranici 250 zaměstnanců, níže uvedené záležitosti se netýkají ustanovení, která se vztahují pouze na větší advokátní kanceláře. Rovněž je třeba věnovat pozornost skutečnosti, že mnoho advokátních kanceláří zpracovává osobní údaje, které lze označit za „zvláštní kategorie osobních údajů“. 

Ohlašování porušení zabezpečení 

Podle čl. 33 je advokátní právní praxe působící jako správce údajů povinna oznámit porušení zabezpečení příslušnému dozorovému úřadu bez zbytečného odkladu, v žádném případě ne později než 72 hodin od okamžiku, kdy se o něm dozvěděla. V případě pozdějšího ohlášení je nutné uvést důvody pro zpoždění. Existuje výjimka v případě, kdy porušení zabezpečení osobních údajů pravděpodobně nezpůsobí žádnou újmu subjektu (subjektům) údajů.

Pokud advokátní praxe působí jako zpracovatel a zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

Toto oznámení musí mj. obsahovat specifikaci povahy porušení údajů (kategorie a přibližný počet dotčených subjektů údajů a záznamů osobních údajů), pravděpodobné následky porušení zabezpečení a opatření, která byla přijata nebo budou přijata ke zmírnění možných nepříznivých účinků. Oznámení lze provést v různých fázích.

Kromě toho je správce povinen tato porušení dostatečně podrobně zdokumentovat, aby dozorový úřad mohl ověřit soulad s oznámením porušení. Advokátní praxe jsou také povinny stanovit interní postupy pro řešení porušení zabezpečení údajů a zavést mechanismus pro oznamování dozorovému úřadu.

V určitých případech s vysokým rizikem je advokátní praxe rovněž povinna přímo informovat klienta (čl. 34), i když existují zvláštní výjimky.

Samotný formát oznámení, definice „zbytečného odkladu“, požadavky na obsah dokumentace a výklad limitů a výjimek dozorovými orgány se mohou mezi jednotlivými členskými státy lišit.

Advokátní praxe by tudíž měly být informovány o již existujících a možných budoucích vnitrostátních pokynech v těchto oblastech.

I když některé členské státy již do vnitrostátního práva zavedly požadavky na ohlašování porušení zabezpečení údajů, směrnice 95/46/ES neukládala, aby správci hlásili porušení zabezpečení údajů dozorovému úřadu. Tento požadavek ale již existuje v odvětví telekomunikací [viz směrnice 2002/58/ES a nařízení Komise (EU) č. 611/2013, jež se vztahují na poskytovatele služeb elektronických komunikací]. Výše uvedené prováděcí nařízení bylo definováno způsobem nezávislým na odvětví a v některých členských státech mohou dozorové úřady v oblasti telekomunikací nebo ochrany osobních údajů vydat podrobnější pokyny. Co je ještě důležitější, na základě této legislativy vydala pracovní skupina dozorových úřadů EU v oblasti ochrany osobních údajů zřízená podle čl. 29 podrobné pokyny o provádění nařízení o porušení zabezpečení údajů (stanovisko WP 213 č. 03/2014 o oznámení k narušení bezpečnosti osobních údajů, 25. 3. 2014[1]), které stanoví doporučené postupy v této oblasti pro všechny správce údajů.

Pokud jde o budoucí předpisy v této oblasti, dle čl. 70 odst. 1 písm. g) a h) GDPR vydá Evropská rada pro ochranu údajů pravděpodobně pokyny, doporučení a osvědčené postupy pro a) to, jak zjistit případy porušení zabezpečení osobních údajů, b) to, jak určit „zbytečný odklad“, a c) okolnosti, za nichž jsou správce a zpracovatel povinni porušení ohlásit dozorovému úřadu nebo klientům.

Právo být zapomenut 

Čl. 17 obsahuje právo na výmaz („právo být zapomenut“), což znamená, že subjekty údajů mají právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daných subjektů týkají. Tentýž článek ukládá správci povinnost vymazat bez zbytečného odkladu osobní údaje, nastane-li některý z důvodů uvedených v odst. 1 písm. a) až f). Toto ustanovení má původ v případu Google Spain SL, Google Inc. proti Agencia Espan~ola de Protección de Datos, Mario Costeja González,[2]v němž soud uvedl, že jednotlivci mají právo (za určitých podmínek a záruk) požádat, aby vyhledávače odstranily odkazy s jejich osobními údaji. Jak již ale bylo uvedeno, čl. 17 odst. 3 písm. e) obsahuje významné omezení, kterého by se mohly dovolávat advokátní praxe v souvislosti s činnostmi při zpracovávání, které jsou nezbytné „pro určení, výkon nebo obhajobu právních nároků“.

Je důležité si uvědomit, že toto ustanovení samozřejmě nemá přednost před určitými vnitrostátními předpisy, které stanoví povinnost uchovávat údaje po určitou dobu (např. pro splnění daňových povinností). 

Pověřenec pro ochranu osobních údajů (DPO) 

Povinnost advokátních kanceláří jmenovat DPO 

Další novinkou je povinnost jmenovat DPO, pokud činnosti zpracování údajů určité organizace zahrnují rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo rozsáhlé zpracování zvláštních kategorií osobních údajů (čl. 37). Pracovní skupina zřízená podle čl. 29 (WP29), která se skládá ze zástupců orgánů pro ochranu osobních údajů členských států, vydala pokyny ohledně DPO, v nichž objasňuje jejich úlohu a uvádí doporučené postupy.

Je-li jmenován DPO, organizace musí zveřejnit jeho údaje a musí tyto údaje sdělit příslušnému dozorovému úřadu.

V čl. 9 GDPR jsou definovány zvláštní kategorie osobních údajů,[3] jejichž zpracování je zakázáno, ale s určitými výjimkami: dle čl. 9 odst. 2 písm. f) se tento zákaz nevztahuje na zpracování nezbytné „pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí“. Toto ustanovení tedy povoluje zpracování zvláštních kategorií osobních údajů v kontextu práce advokátních praxí ve sporných řízeních.

Na správce a zpracovatele zvláštních kategorií údajů se ale stále vztahuje čl. 37 (a rovněž čl. 35, viz níže). Tato ustanovení vyžadují v případě, kdy hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v čl. 9, jmenování pověřence pro ochranu osobních údajů. Podle pokynů ohledně DPO lze hlavní činnosti považovat za klíčové operace k dosažení cílů správce nebo zpracovatele. Toto také zahrnuje všechny činnosti, při nichž zpracování údajů tvoří neoddělitelnou součást činnosti správce nebo zpracovatele.

Význam „rozsáhlosti“ je důležité téma, protože i malá advokátní kancelář může mít případy s velkým množstvím údajů. Lze ale snadno tvrdit, na základě bodu odůvodnění 91, že se tento požadavek nebude vztahovat na advokáty vykonávající advokacii samostatně. 

Povinnosti a úkoly DPO 

GDPR ukládá DPO významné povinnosti, např. monitorování souladu s tímto nařízením, dalšími ustanoveními Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele, dále rozsah odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a provádění souvisejících auditů. DPO rovněž působí jako kontaktní místo pro orgány pro ochranu údajů.

Určený DPO, ať již jde o zaměstnance dané advokátní praxe, nebo ne, by měl mít odborné znalosti předpisů v oblasti ochrany osobních údajů a být schopen plnit všechny úkoly na základě čl. 39 GDPR, např. uchovávání dokumentace veškerých operací zpracování, sledování jejich provádění a školení pracovníků, provádění auditů apod. 

Advokáti působící jako DPO 

Mohlo by se zdát, že nejvhodnější osobou pro jmenování DPO by měl být advokát, ale je třeba mít na paměti, že s ohledem na rozmanitost povinností vyžadovaných tímto nařízením bude osoba jmenovaná jako DPO vyžadovat více než samotnou právní kvalifikaci.

Asimilace těchto dvou funkcí (advokát/DPO) a riziko záměny mezi těmito funkcemi jsou klíčovým bodem pro jakéhokoli advokáta, který by mohl být jmenován DPO na žádost klienta. Advokát v této pozici může zjistit, že bude muset alternovat mezi funkcí DPO a funkcí advokáta vykonávajícího regulované povolání. Advokát v postavení DPO bude muset zajistit nezávislost a zabránit střetu zájmů, zejména střetům, které mohou plynout z toho, že je zároveň kontaktní osobou pro orgán pro ochranu údajů (což je role, která zahrnuje ohlašovací povinnost úřadu, i když je to proti zájmům správce nebo zpracovatele), zatímco má rovněž povinnost zastupovat zájmy klienta v plném rozsahu povoleném zákonem. Vzhledem k tomuto možnému střetu zájmů mohou advokátní komory advokátům doporučit, aby tuto odpovědnost DPO pro externího klienta na sebe vzali, pouze pokud nepůsobili jako advokáti v záležitostech, které mohou spadat do oblasti působnosti DPO, ani nebudou po dobu výkonu funkce DPO působit jako advokáti v záležitostech, jichž se účastnili jako DPO. 

Posouzení vlivu 

Pokud je, dle čl. 35, pravděpodobné, že určitý druh zpracování (zejména při využití nových technologií, s přihlédnutím k účelům zpracování atd.) bude mít za následek vysoké riziko pro práva a svobody fyzických osob, včetně jakéhokoli rozsáhlého zpracování zvláštních kategorií údajů, správce je před zpracováním povinen provést posouzení vlivu.

Je důležité si uvědomit, že v bodu odůvodnění 91 je vysvětleno, že zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů klientů jednotlivými právníky. Toto je výjimka, která jednoznačně platí pro advokáty vykonávající profesi samostatně, ale i u malé advokátní praxe může být vyžadováno, aby příležitostně tato posouzení prováděla.

Problém je, že podle stávajících standardů (jež nejsou stanoveny pro konkrétní odvětví) mohou být standardy rámců posouzení vlivu na ochranu osobních údajů pro malé praxe neúnosné. Např. i pouhý požadavek, aby správci údajů identifikovali software a hardware používané pro zpracování osobních údajů, může být určitými úřady vykládán jako požadavek na zavedení systému řízení konfigurací a změn. Obecně nejsou malé praxe s několika zaměstnanci (které jsou ale nad hranicí „samostatného advokáta“) v pozici, aby ve všech případech dodržely tyto požadavky v úzkém slova smyslu. Systém řízení změn by vyžadoval kontrolovaný a rozvinutý systém provozu jejich IT systému, což obvykle není pro praxe této velikosti charakteris­tické. (Je velmi rozdílné mít hrubý přehled o IT komponentech, které daná praxe má, a mezi fungující a kontrolovanou správou konfigurací a změn.)

Pokyny WP29 ohledně pověřenců pro ochranu osobních údajů (DPO) přijaté 13. 12. 2016 ani aktuálně dostupný návrh pokynů WP29 ohledně posouzení vlivu na ochranu osobních údajů (DPIA) bohužel v tomto ohledu další informace neposkytují. Pokud jde o bod odůvodnění 91, poznámka pod čarou č. 14 pokynů ohledně DPO poukazuje na to, že vše mezi zpracováním samostatným advokátem a zpracováním údajů celé země je šedá zóna. Tato vágnost bude nevyhnutelně vést k různým výkladům.[4]

I když jde o novou zátěž pro advokátní praxe, nařízení si slibuje to, že advokátní praxe budou moci identifikovat a řešit rizika, která by jinak nebyla zjištěna, a zabránit porušení zabezpečení, k nimž by jinak došlo.

V porovnání s oznámením o porušení zabezpečení osobních údajů neexistuje jasná regulatorní historie ani pokyny, jak by v advokátních kancelářích nebo u jiných podobných profesionálů měla být posouzení vlivu prováděna.

V současné době jsou posouzení vlivu na ochranu osobních údajů rozmanitá co do obsahu i metod a jsou většinou populární v zemích s tradicí angloamerického práva.[5] V Evropě vydal v roce 2014 úřad informačního komisaře Spojeného království dokument „Privacy Impact Assessment Code of Practice“ (Kodex posuzování vlivu na soukromí)[6] a francouzský orgán pro ochranu údajů (CNIL) vydal návod k posuzování vlivu na soukromí v roce 2015.[7] Rovněž Evropská komise vydala doporučení vyzývající k posuzování vlivu v souvislosti s čipy RFID[8] (radio frequency identifier chips), které vyústilo v dohodu v daném odvětví ze dne 12. 1. 2011, „Privacy and Data Protection Impact Assessment Framework for RFID Applications“ (Rámec pro posuzování vlivů na soukromí a ochranu údajů u aplikací RFID). Tento rámec byl schválen WP29 a sloužil rovněž jako vzor pro podobnou „vzorovou“ iniciativu u inteligentních měřičů.[9]

Tato doporučení jsou bohužel konkrétní pro oblast, jíž se týkají, a pravděpodobně je nebude možné použít jako zdroj praktických pokynů pro posuzování vlivu advokáty nebo podobnými profesionály v kontextu oznamování porušení zabezpečení osobních údajů.

Advokátům, které zajímá obecné pozadí posouzení vlivu na soukromí, mohou pomoci výsledky studie posuzování vlivu na soukromí financované Komisí (Rámec posouzení vlivu na soukromí u ochrany osobních údajů a práv na soukromí).[10]

Souhrnně lze říci, že i když se samo nařízení zabývá některými aspekty posouzení vlivu detailně, samotné praktické požadavky nejsou dosud známy. Očekává se, že dozorové úřady a výše uvedená Rada poskytnou další pokyny u chybějících detailů, např. ve vztahu k druhu operací zpracování, v nichž mohou být tato posouzení vlivu vyžadována. 

Přenositelnost údajů 

Subjekty údajů mají právo od správce obdržet kopii osobních údajů, které se na ně vztahují a které jsou nebo byly zpracovány. Čl. 20 nařízení vyžaduje, aby byly tyto údaje předány ve strukturovaném, běžně používaném a strojově čitelném formátu.

Podle pokynů WP29 ohledně práva na „přenositelnost údajů“ jsou pojmy „strukturovaný“, „běžně používaný“ a „strojově čitelný“ souborem minimálních požadavků, které by měly usnadnit interoperabilitu formátu údajů poskytovaných správcem údajů. Pokyny WP29 rovněž uvádějí, že vzhledem k široké škále možných typů údajů, které může správce údajů zpracovávat, GDPR neukládá konkrétní doporučení pro formát těchto osobních údajů, jež mají být poskytnuty.

I když je požadavek na běžně používaný a strojově čitelný formát snadno splnitelný, otázka „strukturovanosti“ může být značným problémem. Dokumenty, které advokáti používají, mají obvykle nestrukturovaný obsah. Pro předávání úplných soudních spisů nebo případů ve strukturovaném formátu neexistuje všeobecně přijímaný formát.

Všichni advokáti vědí, jak předávat spisy advokátním kancelářím nově určeným bývalými klienty, ale někdy je přesný formát a struktura tohoto předání již v oblasti, kde mohou mezi advokáty vzniknout spory. V budoucnosti tento problém může vyžadovat další regulaci advokátními komorami. 

Schopnost sledovat příjemce osobních údajů 

Správci údajů mají povinnost být schopni sledovat příjemce osobních údajů patřících konkrétní osobě (přinejmenším jméno a kontaktní údaje pro elektronickou komunikaci). Toto je opět povinnost, kterou by řada advokátních praxí splnila, pouze pokud by ve svých IT systémech provedla určité změny.



[1]  Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp213_cs.pdf.

[2] http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d57637cb18820e4ceb

913ecf71af33028d.e34KaxiLc3qMb40Rch0SaxuTahn0?text=&docid=152065&pageIndex=0&doclang=CS&mode=lst&dir=&o cc=first&part=1&cid=1115616.

[3]   Tj. „[…] údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.“

[4] Vzhledem k tomu, že v době psaní tohoto dokumentu pracovní skupina zřízená podle čl. 29 stále shromažďuje komentáře zúčastněných subjektů k pokynům ohledně posouzení vlivu na ochranu osobních údajů (DPIA), revidovaná a konečná verze by mohla být publikována v průběhu roku 2017 a mohla by obsahovat objasnění toho, co je u činností zpracování „rozsáhlé“.

[5] Za základy posouzení vlivu na soukromí se považují posouzení dopadu na životní prostředí původně z USA, viz část D1 dokumentu PIAF na http://www.piafproject.eu/ref/PIAF_D1_21_Sept2011Revlogo.pdf.

[6] Viz https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf.

[7] Viz https://www.cnil.fr/fr/node/15798.

[8] Viz doporučení Komise 2009/387/ES na http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:122:0047:0051:CS:PDF.

[9] Viz doporučení Komise 2012/148/EU a jeho schválení WP29 na http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp209_cs.pdf.

[10] http://www.piafproject.eu/About%20PIAF.html.