GDPR – revoluce, nebo rozvedení stávajícího?
autor: Mgr. Karin Pomaizlová, Mgr. Monika Fürstová, MBA publikováno: 03.11.2017
O obecném nařízení o ochraně osobních údajů – General Data Protection Regulation (dále „GDPR“)[1] bylo již řečeno a napsáno mnohé. V nadcházejících měsících, které zbývají do nabytí jeho účinnosti,[2] uslyšíme o GDPR jistě ještě více. Jako nesprávné ale vnímáme to, že se o tomto nařízení, které má EU poskytnout nový právní rámec ochrany osobních údajů,[3] nehovoří vždy realisticky. Nejčastěji bývá prezentováno jako „revoluce v ochraně osobních údajů“, kterou však v pravém slova smyslu není.
Toto označení kritizuje a na pravou míru uvádí Úřad na ochranu osobních údajů (dále jako „ÚOOÚ“), když říká, že jedním ze základních znaků ochrany osobních údajů je kontinuita.[4] GDPR totiž v cílech i zásadách zpracování a ochrany osobních údajů navazuje na stávající právní úpravu,[5] což konstatuje i vlastní text GDPR např. v čl. 9 recitálu. Obecné nařízení tedy vychází ze stávající právní úpravy, ale dává si za cíl poradit si se současnou nekonzistentností právní úpravy ochrany osobních údajů v rámci členských států EU. Toho chce docílit prostřednictvím jednotné aplikace jasných pravidel.
Porovnáme-li obsahově GDPR a směrnici 95/46/ES, dojdeme k závěru, že využívají stejné definice nejdůležitějších pojmů[6] a blízké jsou si i v zásadách zpracování osobních údajů.[7] Zaměříme-li se na pravidla stanovená pro subjekty, které osobní údaje zpracovávají (správce a zpracovatele), zjistíme, že GDPR většinou „pouze“ zpřesňuje a podrobně rozvádí to, co je již ustanoveno ve směrnici 95/46/ES a z. č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (dále jen „ZOOÚ“). V tomto kontextu lze tedy říci, že GDPR vedle detailnější právní úpravy stávajících povinností správců obsahuje i povinnosti nové (jako je např. ohlašování případů porušení zabezpečení osobních údajů či jmenování pověřence pro ochranu osobních údajů, viz dále). Podobně je tomu i u práv subjektů údajů. GDPR rozpracovává práva subjektů údajů, která již mají, a přidává i některé novinky (např. v podobě práva na přenositelnost údajů[8]). To z této úpravy ještě nečiní revoluci a strašáka podnikatelských subjektů, i když přechod na novou úpravu a její důsledná implementace bude aktivitou náročnou časově i na zdroje. Zejména pro ty subjekty, které dosud ochranu osobních údajů zanedbávaly.
Na revidovaná a přísnější pravidla ochrany osobních údajů lze pohlížet i pozitivně. Občanům (subjektům údajů) mohou poskytnout větší kontrolu nad jejich osobními údaji. Cílem GDPR je zejména ochránit subjekty údajů ve vztahu k rozvíjející se digitalizaci, profilování uživatelů internetu a sběru velkého počtu dat o nás. Zásadní ale vždy zůstává vymahatelnost povinností. Každý subjekt by měl postupovat obezřetně a vážit, komu a za jakých podmínek poskytuje osobní údaje. Nejde ani tak o běžný vztah např. zaměstnance a zaměstnavatele nebo o nákupy na internetu. V dnešní době jde spíše o různé aplikace, hry a kvízy, které získávají osobní údaje ze sociálních sítí, a roboty, kteří sledují naši aktivitu na internetu.
GDPR je dobrým podnětem pro podniky, které dosud pravidla ochrany osobních údajů důsledně neimplementovaly, aby si provedly interní audit v oblasti nakládání s osobními údaji, zmapovaly své rezervy a začaly efektivně řešit případné nedostatky v této oblasti. Firmy, které podnikají na úrovni EU, budou profitovat z rovných podmínek, které budou zásluhou GDPR pro všechny subjekty působící v EU (bez ohledu na to, kde se nachází jejich sídlo) shodné. Předpokládán je také pozitivní vliv důvěry v nově nastolovanou ochranu osobních údajů na budování jednotného digitálního trhu jako jedné z hlavních priorit EU,[9] a tím i na (digitální) ekonomiku.[10]
Důvody pro novou úpravu ochrany osobních údajů
I když podstata právní úpravy ochrany osobních údajů včetně základních zásad a klíčových institutů zůstává v GDPR v podstatě stejná jako u směrnice 46/95/ES, byla komplexní revize právní úpravy této oblasti nutná. Jak již naznačují předchozí řádky, za potřebou aktualizace stojí zejména technologický a společenský vývoj, v jehož důsledku se stávající právní rámec zřízený směrnicí 95/46/ES[11] stal zastaralým, přestával postupně odpovídat aktuálním požadavkům dnešní doby (době čtvrté průmyslové revoluce) a nezastřešuje již problematiku ochrany osobních údajů dostatečně.[12] V době tvorby (90. léta 20. století) stejně jako v době zavádění tohoto evropského předpisu neexistovaly různé sociální sítě. Existovala např. sice základní myšlenka cloud computingu,[13] ale k vlastnímu poskytování cloudových služeb[14] začalo docházet mnohem později. Nepočítalo se ani s dalšími technologiemi, které jsou dnes více než běžné. Internet věcí[15] existoval nejspíš pouze v hlavách vizionářů a počítačových expertů. V důsledku rozvoje technologií se mění způsoby sběru, využití i přístupnosti dat, včetně osobních údajů. Technický pokrok jde nezadržitelně kupředu, a tak i dnes je již zřejmé, že ani nová regulace představovaná GDPR nepokrývá stoprocentně všechny oblasti ochrany dat. Podle názorů odborníků bude GDPR v době své účinnosti zaostávat za technologickým pokrokem nejméně o pět let.
Z pohledu dnešních zkušeností se jeví, že zvolit pro právní úpravu ochrany osobních údajů na evropské úrovni formu směrnice nebylo šťastné. Právní akt ve formě směrnice totiž sice stanovuje cíl, kterého musí všichni členové EU (během stanovené doby) dosáhnout, ale ponechává na nich způsob, jakým tak učiní. V návaznosti na směrnici 95/46/ES tak vznikly jednotlivé národní právní předpisy (28), které se od sebe více či méně odlišují. To přinášelo firmám nemalé náklady jak časové, tak finanční, jelikož musely dodržovat v rámci podnikání na jednotném trhu EU různé podmínky, které si národní zákony kladly nad rámec směrnice. Taková „volnost“ se tedy v oblasti ochrany osobních údajů za stávajících technologických možností jeví jako nevhodná. Forma nařízení, která byla zvolena pro úpravu novou (GDPR), dává v něm obsaženým pravidlům celounijní platnost. Přímá použitelnost či lépe řečeno účinnost a také závaznost GDPR ve všech členských státech EU bez nutnosti ho do jednotlivých národních právních řádů transponovat si klade za cíl právní úpravu sjednotit a nastolit rovné podmínky pro všechny společnosti, které působí v rámci EU.
I přes přímou aplikovatelnost GDPR bude ale nezbytné stávající český předpis (z. č. 101/2000 Sb., o ochraně osobních údajů) zásadním způsobem upravit. Ministerstvo vnitra se jako gestor implementace nového právního rámce ochrany osobních údajů rozhodovalo mezi novelizací a přípravou předpisu zcela nového. Nakonec 18. srpna 2017 zveřejnilo návrh zcela nového zákona o ochraně osobních údajů i návrh změn dotčených zákonů.
Základní cíle GDPR
Recitál GDPR definuje základní poslání a záměry nových pravidel ochrany osobních údajů, reprezentovaných zejména tímto nařízením. Obecně má přispět k dotvoření prostoru svobody, bezpečnosti, práva a hospodářské unie. Má směřovat k hospodářskému i společenskému pokroku, posilování a sbližování národních ekonomik. Výsledkem mají být kvalitní životní podmínky. Toho má být specificky dosaženo prostřednictvím sjednocení rozdílů v oblasti ochrany osobních údajů v celé EU, vedoucím k eliminaci rizik v této oblasti, a tedy větší právní jistotě fyzických osob i obchodních společností.
Bude-li dosaženo v rámci EU jednotné úrovně ochrany podpořené jasnými pravidly pro její vymáhání, povede to k odstranění překážek bránících volnému pohybu osobních údajů, a tedy k rozvoji digitálního trhu a ekonomiky, jak již bylo zmíněno. Profitovat z toho budou jak fyzické osoby, tak ekonomické subjekty.
Základní zásady ochrany osobních údajů
GDPR je založeno na dvou (nových) přístupech:
– principu odpovědnosti správce za dodržení zásad zpracování[16] včetně schopnosti shodu se zásadami doložit,[17] a
– principu rizika.
Principem rizika se myslí to, že správce od samého počátku zpracování osobních údajů musí brát v úvahu rozsah, kontext, povahu a účel zpracování a zároveň průběžně přihlížet k možným rizikům, která může zpracování znamenat pro práva a svobody fyzických osob. Povinností správce je, aby všem těmto okolnostem přizpůsobil zabezpečení osobních údajů.
Čl. 2 recitálu GDPR zdůrazňuje, že zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů mají respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů.
Základními zásadami zpracování osobních údajů jsou podle GDPR:
– zákonnost,[18]
– správnost a transparentnost,[19]
– účelové omezení,[20]
– minimalizace údajů,[21]
– přesnost,[22]
– omezení uložení,[23]
– integrita a důvěrnost,[24] a
– odpovědnost správce.[25]
Až na poslední zde uvedenou zásadu jsou všechny obsaženy také v ustanoveních směrnice 95/46/ES,[26] a logicky tedy také v ZOOÚ, podle kterého smí správce osobních údajů zpracovávat taková data pouze se souhlasem subjektu údajů,[27] ke stanovenému účelu,[28] pouze v nezbytném rozsahu[29] pro naplnění tohoto účelu a pouze po nezbytnou dobu.[30] Nadto ZOOÚ požaduje, aby osobní údaje získané k rozdílným účelům nebyly sdružovány.[31]
Zákonnost
Správce vyhoví požadavkům zásady zákonnosti, pokud v odpovídajícím rozsahu splní alespoň jednu z podmínek danou čl. 6 odst. 1 GDPR:
– získá souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů;[32]
– zpracování je nutné pro jednání o smlouvě nebo plnění smlouvy uzavřené se subjektem údajů;[33]
– zpracování je nezbytné pro splnění právní povinnosti správce;[34]
– zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby;
– zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;[35]
– zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany s výjimkou případů, kdy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů.[36]
Transparentnost a odpovědnost
Aby zpracování osobních údajů bylo možné považovat za transparentní,[37] je třeba, aby správce zpracovával osobní údaje otevřeně, nezatajoval důvody, proč potřebuje osobní údaje zpracovávat (účely zpracování), a také, aby plnil svou informační povinnost vůči subjektům údajů.[38] Povinností správce je zajistit, aby subjekt údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem, za použití jasných a jednoduchých jazykových prostředků získal veškeré potřebné informace o zpracování jeho osobních údajů, jako je identifikace správce a jeho případného zástupce,[39] účel a právní základ zpracování,[40] příjemce osobních údajů, úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a případně také informace o době uložení osobních údajů, o právu na přístup k osobním údajům, možnost podat stížnost u dozorového orgánu, možnost odvolat udělený souhlas, o právu na opravu, omezení zpracování, či dokonce výmaz atd. Jsou-li osobní údaje získávány přímo od subjektu údajů, poskytuje správce příslušné informace v okamžiku získání osobních údajů.
S transparentností se také úzce pojí již zmiňovaný princip odpovědnosti. Transparentnost má vést k uvědomění si, že zpracování osobních údajů může zasáhnout a více či méně zasahuje do života fyzických osob a v důsledku nedostatečné ochrany může mít na tyto osoby (negativní) dopad. K takovému uvědomění má dojít nejen na straně správců, ale také na straně subjektů údajů, které v současné době nejeví dostatečný zájem o to, jak je s jejich daty (v zásadě poskytovanými na každodenní bázi) nakládáno, a tedy ani nevyvíjejí žádný tlak na správce. GDPR by podle Evropské komise tuto situaci mohlo začít měnit.
Práva subjektů údajů
Jedním z cílů GDPR je posílit práva subjektů údajů. Toho má být dosaženo prostřednictvím podrobnější a propracovanější úpravy již prověřených institutů a též prostřednictvím zakotvení a úpravy institutů nových. Konkrétně GDPR stanovuje subjektům údajů:
– právo na přístup k osobním údajům (viz čl. 15 GDPR),[41]
– právo na opravu a doplnění neúplných osobních údajů (viz čl. 16 GDPR),[42]
– právo na výmaz, resp. právo být zapomenut (viz čl. 17 GDPR),
– právo na omezení zpracování (čl. 18 GDPR),
– právo na přenositelnost údajů (viz čl. 20 GDPR), a
– právo vznést námitku (viz čl. 21 GDPR).
Právo na přístup k osobním údajům
Subjekt údajů má právo na to, aby mu správce potvrdil, zda zpracovává jeho osobní údaje, a pokud ano, má právo získat přístup k nim i k informacím, které se tohoto zpracování týkají. Je-li subjekt údajů dobře obeznámen se skutečností, že jsou jeho data zpracovávána, může pak samozřejmě realizovat i další práva s nimi spojená, jako je právo na opravu či doplnění, právo na přenositelnost údajů a další. Má své osobní údaje pod kontrolou a může s nimi podle vlastního uvážení nakládat.
V současné době je toto právo subjektu údajů zakotveno i v § 12 ZOOÚ. Správce je na žádost subjektu údajů povinen poskytnout mu informaci o zpracování jeho osobních údajů bez zbytečného odkladu.
Právo na opravu
Právo na opravu je provedením zásady správnosti. Jeho obsahem je povinnost správce bez zbytečného odkladu opravit nepřesné osobní údaje konkrétního subjektu údajů a neúplné osobní údaje s přihlédnutím k účelu zpracování doplnit.
S neaktuálními, nepřesnými nebo neúplnými informacemi se stávající právní úprava vypořádává v § 5 odst. 1 písm. a) ZOOÚ, který správci dává za povinnost zpracovávat pouze přesné osobní údaje, a je-li to nezbytné, aktualizovat je. Pokud správce zjistí, že zpracovává údaje, které této podmínce nevyhovují, musí provést příslušná přiměřená opatření, jako je blokování zpracování a oprava či doplnění osobních údajů. Pokud by to nebylo možné, je povinen takové osobní údaje zlikvidovat.[43] Informaci o blokování, opravě, doplnění či likvidaci správce povinně bez zbytečného odkladu sdílí se všemi příjemci.
Právo na výmaz – právo být zapomenut
Právo být zapomenut stejně jako právo na přístup k osobním údajům a právo na opravu existovalo již před přijetím GDPR,[44] bylo založeno směrnicí 95/46/ES, ze které je dovodil[45] Soudní dvůr EU (velký senát) v rozsudku ze dne 13. 5. 2014, ve věci C-131/12, Google Spain SL, Google Inc. proti Agencia Española de Protección de Datos (AEPD). Pan Mario Costeja Gonzáles si přál vymazat internetový novinový článek, který obsahoval informaci z roku 1998 o nuceném prodeji jeho nemovitosti z důvodu dluhu na sociálním pojištění, který však byl následně uhrazen. Se svou žádostí namířenou proti internetovému deníku La Vanguardia a proti Google Spain SL a Google Inc. kontaktoval španělský úřad pro ochranu osobních údajů (AEPD). Vzhledem k výjimce z ochrany osobních údajů pro účely žurnalistiky nebo uměleckého a literárního projevu obsažené ve španělské legislativě však úřad stížnost v části namířené proti elektronickým novinám zamítl. V části proti společnostem Google jí však vyhověl s tím, že jim uložil povinnost odstranit Gonzálesovy osobní údaje z jejich indexu a zabránit budoucímu přístupu k nim.
V rámci rozhodování tohoto sporu vznesl španělský Nejvyšší soud na Soudní dvůr EU (dále jako „SDEU“) předběžné otázky na místní a věcnou působnost směrnice 95/46/ ES a na vlastní výklad práva „být zapomenut“. SDEU vyložil příslušná ustanovení směrnice 95/46/ES[46] tak, že činnost vyhledávačů[47] je třeba jednoznačně považovat za zpracování osobních a jiných údajů ve smyslu směrnice 95/46/ES. Dále se vyslovil v tom smyslu, že provozovatele internetového vyhledávače považuje za správce osobních údajů,[48] a je tedy za jejich zpracování prostřednictvím poskytované služby také odpovědný. Soud dále prostřednictvím širokého výkladu pojmu zpracování osobních údajů odvodil, že ustanovení směrnice 95/46/ES dopadají na činnost vyhledávače Google i přes skutečnost, že Google Inc. je americkou právnickou osobou, není veřejně známo, kde se nacházejí její servery, na kterých jsou data uložena, a madridská pobočka se zabývá „pouze“ reklamou, podporou prodeje a marketingem. SDEU dospěl k závěru, že i když nelze jednoznačně říci, že místem zpracování údajů je oblast EU, zaměřuje se Google na obyvatele členského státu EU a zpracovávání osobních údajů prostřednictvím vyhledávače Google podléhá právní úpravě směrnice 95/46/ES. Co se týče práva být zapomenut, SDEU dovodil, že s ohledem na účel zpracování a plynutí času se může původní zákonné zpracování dat dostat do rozporu s ustanoveními směrnice 95/46/ES. V případě, že dříve zpracované údaje již nejsou nezbytné pro účely, pro které byly shromažďovány či zpracovávány, mohou se zdát nepřiměřenými nebo nepodstatnými a jejich subjekt požádá o jejich odstranění, musí mu provozovatel vyhledávače vyhovět. Toto právo subjektu údajů a povinnost správce zpracovávaných dat jsou omezeny možnou převahou zájmu veřejnosti mít k dané informaci při internetovém vyhledávání přístup. Provozovatel vyhledávače je osobou, které náleží právo i povinnost posoudit důvodnost (zákonnost) žádosti subjektu údajů o výmaz informace. Musí přitom přihlížet jak k právu subjektu údajů na ochranu soukromí, tak k právu veřejnosti na přístup ke konkrétní informaci jako výsledku vyhledávání.
Od 25. 5. 2018, kdy GDPR vstoupí v účinnost, již nebude dovozování práva být zapomenut nutné. Právo na výmaz je totiž v čl. 17 GDPR přímo zakotveno. Podle čl. 17 odst. 1 GDPR má subjekt údajů právo, aby správce jeho osobní údaje vymazal, přičemž správce má povinnost tak bez zbytečného odkladu učinit, pokud je dán alespoň jeden z důvodů stanovených v čl. 17 odst. 1 písm. a) až f) GDPR (např. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny a zpracovávány; subjekt údajů odvolá svůj souhlas se zpracováním a neexistuje žádný další právní důvod pro zpracování; subjekt údajů vznese námitky proti zpracování, v neposlední řadě může být důvodem protiprávnost zpracování). Čl. 17 odst. 2, který hovoří o situaci, kdy byly osobní údaje správcem zveřejněny, má vazbu na prostředí internetu. Jeho podstatou je ochrana osobnosti před negativními následky publicity spočívajícími v tom, že každý člověk má právo požádat internetové vyhledávače,[49] aby se postaraly o odstranění výsledků vyhledávání,[50] ve kterých je obsaženo jeho jméno.[51]
Proces realizace práva být zapomenut, zejména jde-li o výmaz informací zveřejněných online, není ale zcela jednoduchý. Začíná žádostí dotčené osoby o výmaz. K odstranění nechtěných informací však nedochází automaticky. Každá individuální žádost[52] musí být zvážena, posouzena a odborní pracovníci společnosti provozující daný internetový vyhledávač rozhodnou, zda jí bude vyhověno. Předmětem posouzení je zejména skutečnost, zda je v konkrétním případě vhodné upřednostnit právo jednotlivce být zapomenut před právem veřejnosti na informace.
Právo subjektu údajů na výmaz jeho osobních údajů má své hranice a omezení. Je limitováno výkonem práva na svobodu projevu a informace, plněním povinnosti vyžadující zpracování osobních údajů ve veřejném zájmu či výkonu veřejné moci, nezbytností zpracování osobních údajů pro účely archivace ve veřejném zájmu a pro účely vědeckého nebo historického výzkumu a pro účely statistické a také pro určení, výkon nebo obhajobu právních nároků. Vzhledem k celé řadě výjimek, kterými GDPR výkon práva být zapomenut omezuje, je nasnadě otázka jeho uplatnění a skutečného vymáhání.
Právo na omezení zpracování
Čl. 18 GDPR upravuje právo subjektu údajů, aby v taxativně vyjmenovaných případech správce omezil zpracování jeho osobních údajů. Jde o případy, kdy subjekt údajů popírá přesnost zpracovávaných osobních údajů, nebo když jde o zpracování protiprávní a subjekt odmítá jejich výmaz a místo toho žádá o omezení jejich použití. Dále se jedná o situace, kdy správce již údaje pro účely zpracování nepotřebuje, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků. Zpracování osobních údajů může být také dočasně omezeno, pokud proti němu subjekt údajů vznesl námitku a správce nebo zpracovatel prověřují, zda převažují oprávněné důvody na jeho straně nad důvody subjektu údajů.
Dnes obdobnou úpravu obsahuje i ZOOÚ, podle § 21 ZOOÚ má subjekt údajů mj. právo žádat blokaci svých osobních údajů, pokud se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem.[54]
Právo na přenositelnost údajů
Subjekt údajů (fyzická osoba) má právo získat bezplatně[55] své osobní údaje, které poskytl správci, a také právo tyto údaje bez omezení předat jinému správci. Je-li to technicky proveditelné, má subjekt údajů právo na předání svých osobních údajů přímo mezi samotnými správci. V čl. 20 GDPR nalezneme podmínky, za kterých subjekt údajů toto své právo nabývá:
– jedná se o osobní údaje (poskytnuté subjektem údajů);
– tyto osobní údaje jsou zpracovávány automatizovaně;
– k jejich zpracování dochází pro konkrétní účely;
– subjekt údajů, který osobní údaje poskytuje, musí s jejich zpracováním předem udělit souhlas nebo musí jít o zpracování nezbytné pro splnění smlouvy, jejíž je subjekt údajů smluvní stranou. Výkonem práva na získání osobních údajů nesmí být negativně ovlivněna práva a svobody třetích stran.
Ustanovení o portabilitě dat správci předepisuje, aby údaje poskytl subjektu údajů v běžně používaném a strojově čitelném formátu.
Je vhodné zdůraznit, že uplatnění práva jednotlivce na přenositelnost údajů neznamená automaticky ukončení vzájemných vztahů či spolupráce, není ani důvodem pro samočinný výmaz dat ze systémů správce. Subjekt údajů může i po přenosu dat efektivně využívat služby správce původního.
V praxi nejčastěji půjde o přenos dat mezi nejrůznějšími aplikacemi, jako jsou např. běžecké či jiné sportovní platformy, hudební platformy, sdílené kalendáře, elektronická pošta, vyhledávače zaměstnání, aplikace shromažďující informace o zdravotním stavu, platformy umožňující seznámení, úložiště fotografií apod.
Přenositelnost údajů je zcela nové právo vytvořené EU k podpoře konkurence na digitálním trhu. Jeho aplikace v praxi již nyní vyvolává řadu otázek. Proto se problematikou přenositelnosti dat, resp. výkladem příslušných ustanovení podrobněji zabývá pracovní skupina WP29.[56] Ta na konci loňského roku zveřejnila svá výkladová stanoviska, která, i když nejsou právně závazná, mají jako právní názor kontrolního orgánu zásadní význam. Jedno z nich je právě také věnované institutu práva na přenositelnost vlastních, správci poskytnutých osobních údajů.[57]
K účelu práva na přenositelnost údajů WP29 uvádí, že „dává subjektům údajů možnost obdržet své údaje (ve strukturovaném, běžně používaném a strojově čitelném formátu) a znovu je použít pro vlastní účely a napříč různými službami, usnadní jim přenášet, kopírovat nebo předávat osobní údaje bez jakýchkoliv zábran z jednoho IT prostředí do jiného. To posiluje pozici subjektů údajů jako spotřebitelů (nemusí již zůstávat u jednoho poskytovatele), a v podstatě tak dostávají možnost spravovat si své údaje samy či je přenášet od jednoho správce k jinému, aniž by tomu původní správce mohl nějak bránit.“[58]
Z pohledu správce osobních údajů to, pokud provádí zpracování osobních údajů automatizovaně, zejména znamená nutnost být technicky připraven kdykoliv a kterémukoliv subjektu údajů poskytnout jeho osobní údaje, které zpracovává, v přiměřeném formátu, který umožnuje přenos a další použití těchto údajů. V této souvislosti WP29 správcům doporučuje, aby pro subjekty údajů měli připravenu možnost přímého stažení jejich údajů a možnost jejich přímého přenosu k jinému správci. K tomu podle WP29 může být využito rozhraní pro programování aplikací (Application Programming Interface, API). Jiným řešením je uložení a uchovávání osobních údajů jejich subjektem na důvěryhodných úložištích třetích stran. Subjekt údajů pak správcům „jen“ povolí přístup ke svým osobním údajům a udělí jim souhlas se zpracováním.
Výkladové pokyny WP29 hovoří o povinnosti správců informovat subjekty údajů o jejich právu na přenositelnost dat, a to jednoduchým, stručným a jasným způsobem. Dále je správcům doporučováno, aby jednoduchým a srozumitelným způsobem vysvětlovali subjektům údajů rozdíly mezi různými typy údajů, které mohou při výkonu práva na přenositelnost obdržet. Vždy půjde o osobní údaje subjektu údajů, a pouze ty, které subjekt údajů správci sám poskytl.
WP29 správcům doporučuje, aby si vytvořili vhodné postupy, které subjektu údajů umožní podání žádosti o přenos údajů a také získání jeho dat. Součástí takového postupu musí být také spolehlivé ověření totožnosti žadatele o přenos dat. To by však neměl být problém, jelikož takové postupy již správci zaváděli u práva na likvidaci osobních údajů. V případě online aplikací mají subjekty údajů, např. uživatelé sociálních sítí, přístup ke svým osobním údajům pomocí unikátního log-in jména a hesla. Není tedy třeba vytvářet nic nového a zvláštního pro potřeby ověření totožnosti subjektu údajů žádajícího o přenos svých osobních dat.
WP29 ve stanovisku vyjadřuje svůj názor a doporučuje správcům dat vykládat pojem „osobní údaje týkající se subjektu údajů“ extenzivním způsobem, a to v případech, kdy subjektem údajů vyžádaná data zpracovávaná správcem obsahují také informace o třetích osobách a subjekt údajů je bude využívat pro své osobní účely. Jako příklad takových datových souborů uvádí WP29 záznamy o příchozích a odchozích telefonních hovorech či historii bankovního účtu, zahrnující příchozí i odchozí platební transakce. Dalším příkladem může být přenos souboru fotografií umístěných subjektem údajů na některé ze sociálních sítí. I když jsou na fotografiích kromě subjektu údajů třetí osoby, může si je subjekt údajů vyžádat a může si vyžádat také jejich přenos k jinému správci údajů. Zároveň WP29 v takovém případě zdůrazňuje, že tyto údaje přenášené k novému správci nesmí být zpracovány pro účely tohoto správce a nakládání s nimi musí zůstat subjektu, který přenos dat inicioval (subjektu údajů).
Široký výklad spočívá rovněž ve výkladu termínu „poskytnout“. Jde o to, že při poskytování osobních údajů nemusí jít pouze o informace poskytnuté a zadané vědomě a aktivně subjektem údajů, ale může jít také o údaje získané prostřednictvím využívání určité služby či zařízení (např. polohu určenou chytrým telefonem). Naopak takovým údajem nemohou být data odvozená z údajů poskytnutých jejich subjektem (např. uživatelský profil vytvořený analýzou základních dat z chytrého měření). Na taková data se pak právo přenositelnosti nevztahuje (nebyla poskytnuta subjektem údajů) a správci nejsou povinni je subjektům údajů poskytovat.
GDRP upravuje přenositelnost osobních údajů a správci nyní řeší praktickou stránku věci, aby byli od května 2018 schopni nově nastaveným povinnostem vyhovět. Až praktické aplikace ustanovení GDPR ukáží veškeré možnosti komerčního využití práva na přenositelnost dat a jeho impakt na vývoj evropského digitálního trhu. Nechme se tedy překvapit konkrétními technickými řešeními správců osobních údajů a též zájmem, jak na straně subjektů údajů o to svá data přenášet k jiným správcům, tak na straně správců takové osobní údaje přebírat i třeba z důvodů kybernetické bezpečnosti.
Právo vznést námitku
GDPR dává subjektu údajů možnost vznést námitku proti zpracování jeho osobních údajů nejen pro účely přímého marketingu,[59] ale z důvodů konkrétní situace také v případě zpracovávání prováděného ve veřejném zájmu nebo výkonu veřejné moci, kterým je správce pověřen, nebo pro účely oprávněných zájmů správce či třetí strany,[60] a to kdykoliv. Pokud jde o zpracování osobních údajů pro marketingové potřeby, nebudou pak jeho osobní údaje již dále zpracovávány. Stejného výsledku lze v současné době docílit odvoláním souhlasu se zpracováním osobních údajů.
Povinnosti správců osobních údajů
GDPR staví na stejných zásadách jako směrnice 95/46/ES, které podrobněji rozpracovává a dále na nich buduje nové povinnosti spočívající ve vedení záznamu o činnostech zpracování, posuzování vlivu zpracování na ochranu osobních údajů, v konzultacích s dozorovým úřadem, ohlašování porušení zabezpečení osobních údajů (úřadu dozoru či subjektu údajů) a ve jmenování pověřence na ochranu osobních údajů. Všechny tyto nové povinnosti vycházejí z možného (vysokého) rizika pro práva a svobody subjektů údajů v digitálním prostředí. Předpokladem zákonného fungování subjektů, které se zabývají zpracováním a spravováním osobních údajů (tedy správce[61] a zpracovatele[62]), je tyto povinnosti znát a rovněž mít povědomí o tom, jakým způsobem je naplňovat. Důležité je si uvědomit, že povinovány nebudou pouze subjekty evropské. GDPR totiž bude aplikováno v souvislosti se subjekty osobních údajů, které se nacházejí na území Evropské unie.[63] Umístění sídla či provozovny správce či zpracovatele osobních údajů v tomto případě nebude hrát roli. Jakmile správce nebo zpracovatel bude nakládat[64] s osobními údaji subjektů, které se nacházejí na území EU, musí být připraven splnit veškeré požadavky, které na zpracování osobních údajů klade GDPR.[65]
Již bylo zmíněno, že jedním ze základních požadavků GDPR je odpovědnost správce,[66] jejímž obsahem je povinnost zavedení, revidování a případné aktualizování vhodných technických a organizačních opatření, aby správce osobních údajů zajistil a také byl schopen doložit zpracování osobních údajů v souladu s GDPR. Očekává se, že osobní údaje budou zpracovávány pouze pro konkrétní účel, v nezbytném rozsahu, pouze po nutnou dobu (minimalizace) a všude, kde to bude možné, aby byly osobní údaje pseudonymizovány, tj. aby bez dodatečných (odděleně uchovávaných) informací nemohly být přiřazeny konkrétnímu subjektu údajů.[67] S odpovědností zpracovatele a správce úzce souvisí zajištění příslušné úrovně zabezpečení zpracování osobních údajů zohledňující rizika zničení, pozměnění, neoprávněného zpřístupnění osobních údajů apod.[68] Pokud dojde k jakémukoliv porušení zabezpečení osobních údajů, je povinností správce bez zbytečného odkladu[69] takovou skutečnost ohlásit dozorovému úřadu a za určitých podmínek i dotčeným subjektům údajů.[70]
Pověřenec pro ochranu osobních údajů[71]
Samostatnou a velmi diskutovanou kapitolou nové úpravy ochrany osobních údajů je osoba pověřence pro ochranu osobních údajů,[72] který má být ustanoven, aby v příslušné organizaci napomáhal zajišťovat soulad s ustanoveními GDPR.[73] Jeho jmenování ale není povinné paušálně pro všechny správce či zpracovatele.[74]
Funkce pověřence je nezbytná tam, kde zpracování provádí orgán veřejné moci nebo veřejný subjekt,[75] hlavní činnost správce nebo zpracovatele spočívá v operacích vyžadujících rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo kde hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů, jako je rasový a etnický původ, politické názory, náboženské vyznání nebo filozofické přesvědčení, členství v odborech, genetické a biometrické údaje nebo údaje o zdravotním stavu nebo sexuálním životě či sexuální orientaci fyzické osoby,[76] a též údajů týkajících se rozsudků v trestních věcech a trestných činů anebo souvisejících bezpečnostních opatření.[77] To znamená, že pokud činností správce není rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo rozsáhlé zpracování zvláštních kategorií údajů (např. údaje o rasovém původu, genetické nebo biometrické údaje nebo údaje o zdravotním stavu), pak pověřence jmenovat nemusí. Pokud tedy lékař zpracovává osobní údaje svých pacientů, pakliže nejde o zpracování rozsáhlé, rovněž nemusí jmenovat pověřence, i když zpracovává zvláštní kategorii údajů. Kromě těchto situací může národní právo členských států požadovat jmenování pověřence i v dalších případech. Tak je tomu např. v Německu, které si tuto možnost prosadilo v rámci přípravy GDPR.
Tím není vyloučeno dobrovolné jmenování pověřence pro ochranu osobních údajů v podniku. I dobrovolně jmenovaný pověřenec pro ochranu osobních údajů musí být do funkce ustanoven a svou činnost vykonávat zcela v souladu s veškerými podmínkami GDPR.
Od osoby pověřence je nutné důsledně[78] odlišovat zaměstnance, který má v podniku v popisu práce zabezpečení řádného zpracování osobních údajů. Kterýkoliv podnik může ustanovit někoho ze zaměstnanců, aby byl zodpovědný za agendu zpracování osobních údajů, jde však pouze o interní organizační řád podniku a navenek taková osoba nemá postavení pověřence pro ochranu osobních údajů. Jmenování pověřence pro ochranu osobních údajů (ani osoby zodpovědné za zpracování osobních údajů v podniku mimo rámec GDPR) nevylučuje zodpovědnost jednotlivých manažerů za legální zpracování osobních údajů na jejich úseku (např. v personálním oddělení za zpracování osobních údajů zaměstnanců, v obchodním oddělení za zpracování osobních údajů dodavatelů či zákazníků, v IT oddělení za bezpečnost uložených a zpracovávaných osobních údajů) ani vyvinění organizace jako takové z odpovědnosti za řádné zpracování osobních údajů. WP29 v této souvislosti zdůrazňuje,[79] že pověřenec nenese osobní zodpovědnost za dodržování GDPR, vždy jsou to správci nebo zpracovatelé, kteří musí shodu zpracování osobních údajů s GDPR zajistit a také ji doložit. Zároveň správce nebo zpracovatel mají důležitou roli ve vytváření podmínek pro účinné plnění úkolů pověřence, zejména mu garantovat dostatečnou samostatnost a zajistit potřebné zdroje[80] pro efektivní výkon jeho funkce.
Jestliže správce nebo zpracovatel má zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů, pak též musí zveřejnit kontaktní údaje pověřence pro ochranu osobních údajů a sdělit je také dozorovému úřadu. Pro zveřejnění není předepsaná žádná forma. To znamená, že podnik může tuto osobu uvést např. na svých webových stránkách, dále pak její jméno a kontakt na ni uvádět zejména v souhlasu se zpracováním osobních údajů, v informacích o zpracování osobních údajů povinně sdělovaným subjektům údajů, v textu věnujícím se cookies[81] zveřejňovaném prostřednictvím webových stránek správce nebo zpracovatele a v interních směrnicích věnovaných ochraně osobních údajů.
Správce či zpracovatel musí pověřence pro ochranu osobních údajů vybrat a jmenovat na základě jeho profesních kvalit, zejména s ohledem na jeho odborné znalosti práva a praxe v oblasti ochrany údajů a schopnosti plnit úkoly stanovené v GDPR, zejména poskytovat poradenství správcům či zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle GDPR a dalších právních předpisech na ochranu osobních údajů; monitorovat plnění povinností podle právních předpisů na ochranu osobních údajů v podniku při zpracování osobních údajů; a poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.[82] Požadavek GDPR na to, aby pověřenec měl odborné znalosti práva v oblasti ochrany osobních údajů, neznamená, že pověřencem může být pouze kvalifikovaný právník. Jde o osobu, která by měla dobře rozumět vnitřním procesům konkrétního podniku. V případě rozsáhlého automatizovaného zpracování osobních údajů (což se u profilingu předpokládá) by vhodným pověřencem mohla být např. osoba, která má znalosti v oblasti analýzy dat a kybernetické bezpečnosti.
Ve svých oficiálních praktických doporučeních a výkladových stanoviscích k ustanovením GDPR ohledně funkce pověřence se WP29 poměrně intenzivně věnuje podmínkám jmenování pověřence. Nalezneme zde výklad pojmu „hlavní činnost“, který v souvislosti s podmínkami povinného jmenování pověřence GDPR užívá. WP29 odkazuje na čl. 97 recitálu GDPR, ve kterém je stanoveno, že hlavní činnosti správce souvisejí s jeho činnostmi základními a nevztahují se na zpracování osobních údajů jakožto činnost pomocnou. Zároveň však WP29 také upozorňuje, že nelze vylučovat aktivity, při kterých zpracování dat tvoří nedílnou součást činnosti správce (zpracovatele) údajů. Jako názorný příklad WP29 uvádí nemocnici, jejíž hlavní činností je poskytovat zdravotní péči, což ale není dost dobře možné bez zpracování osobních údajů pacientů (jejich zdravotních záznamů). A to je důvod, proč v případě nemocnice je zpracování osobních údajů považováno také za hlavní činnost, a tudíž nemocnice je povinna pověřence jmenovat.
Další pomocný výklad WP29 k podmínkám jmenování pověřence je s odkazem na čl. 91 recitálu GDPR zaměřen na pojem „rozsáhlé zpracování“. Výklad nedefinuje hranici, od které lze zpracování považovat za rozsáhlé, i když v souvislosti s praktickou aplikací GDPR se výhledově počítá se vznikem standardního postupu, jak určit, co znamená „rozsáhlý“ ve vztahu k určitým typům zpracování. V tuto chvíli výklad WP29 poskytuje výchozí faktory (jako je počet dotčených subjektů, objem zpracovávaných dat či rozsah datových položek, doba trvání nebo nepřetržitost zpracovatelské činnosti a její územní rozsah), jejichž vyhodnocení napomůže při rozhodování, zda je správce povinen jmenovat pověřence z důvodu rozsáhlého zpracování osobních údajů.
Dále se WP29 vypořádává také s termínem „pravidelné a systematické monitorování subjektů údajů“ s tím, že pod monitoring je třeba zahrnout všechny formy sledování a profilování[83] na internetu, přičemž ale o pojmu monitorování nelze uvažovat omezeně pouze pro online prostředí. Příkladem činností, které mohou zakládat pravidelné a systematické monitorování subjektů údajů podle WP29 je provozování telekomunikačních sítí nebo poskytování telekomunikačních služeb, daty řízený marketing, profilování a skoring pro účely posouzení rizik, např. pro účely hodnocení úvěrového rizika, behaviorální reklama, věrnostní programy, kamerové systémy, inteligentní domy atd.
Slovo „pravidelný“ WP29 charakterizuje pomocí jedné či kombinací těchto charakteristik: průběžný nebo opakující se v pravidelných intervalech a po určitou dobu; stále se opakující nebo opakovaný v daných časech; neustále nebo pravidelně se vyskytující. Podobným způsobem WP29 vykládá také slovo „systematický“ jako kombinaci následujících charakteristik: vyskytující se podle určitého systému; přednastavený, organizovaný nebo metodický; uskutečňovaný jako součást obecného plánu pro sběr dat a vykonávaný jako prvek strategie.
Čl. 37 odst. 2 GDPR umožňuje skupině podniků jmenovat jediného společného pověřence. To lze ale pouze v případě, že bude snadno dosažitelný z každého jednotlivého podniku. Také v této záležitosti podává WP29 svůj výklad. Pojem „dosažitelnost“ se vztahuje k pověřenci jako ke kontaktní osobě, a to pro subjekty údajů,[84] dozorové orgány[85] i uvnitř organizace (pro správce nebo zpracovatele a jeho zaměstnance).[86] Aby byla dostupnost zajištěna, musí být k dispozici kontaktní údaje pověřence a pověřenec musí být schopen účinně komunikovat se subjekty údajů a spolupracovat s dozorovým úřadem. Dosažitelnost pověřence musí být reálná, proto WP29 jako obecné pravidlo doporučuje, aby pověřenec sídlil v EU, a to bez ohledu na skutečné sídlo správce nebo zpracovatele.
Ohlašování případů porušení zabezpečení osobních údajů
Článek 33 GDPR zakotvuje povinnost správce hlásit bez zbytečného odkladu (do 72 hodin od zjištění) dozorovému úřadu jakékoliv porušení zabezpečení osobních údajů. Pokud dojde k prodlevě, poskytne spolu s hlášením dozorovému úřadu také informace o důvodech tohoto zpoždění. Pokud je pravděpodobné, že následkem porušení zabezpečení osobních údajů je vysoké riziko pro práva a svobody subjektů údajů, má správce oznamovací povinnost také vůči těmto subjektům (viz čl. 34 GDPR).
Rezortní kodexy správné praxe
Ke splnění povinností správce osobních údajů dle GDPR budou moci podniky doložit, že zpracování osobních údajů provádějí v souladu se schválenými rezortními kodexy.[87] GDPR předpokládá, že různé zájmové organizace v jednotlivých sektorech průmyslu vypracují zásady správné praxe, které budou aplikovat obecné zásady GDPR na konkrétní obor, a tyto poté, co budou schváleny příslušným dozorovým orgánem, budou sloužit jako etalon správné praxe v daném oboru. Akreditované subjekty budou moci o tom vydávat i osvědčení.
Záznamy správce
Za účelem doložení respektování povinností stanovených GDPR budou správci i zpracovatelé povinni vést podrobné záznamy (vedené dle čl. 30 GDPR) o činnostech zpracování. Tyto záznamy lze považovat za určitou náhradu oznamovací povinnosti, kterou GDPR zrušilo.[88]
Vedle záznamů dle čl. 30 GDPR bude třeba, aby podniky měly vytvořeny vnitřní předpisy ohledně zpracování osobních údajů, zavedeny mechanismy pro posuzování vlivu činnosti podniku na ochranu osobních údajů,[89] a to zejména u druhů zpracování, která mohou znamenat vysoké riziko pro práva a svobody fyzických osob (vč. případné předchozí konzultace s relevantním dozorovým úřadem podle čl. 36 GDPR), či spolupráci (na žádost) s příslušným dozorovým úřadem.[90]
Postihy za nedodržení pravidel GDPR
Vedle možnosti soudní i mimosoudní ochrany v případě porušení práv při zpracovávání osobních údajů tak definuje GDPR v čl. 83 podmínky pro ukládání správních pokut. V tisku se často zmiňují vysoké horní hranice pokut, které GDPR umožňuje uložit v případě nedodržování pravidel pro zpracování osobních údajů. Maximální výše pokuty je stanovena ve výši 20 milionů eur nebo, jedná-li se o podnik, až do výše 4 % z celkového ročního obratu celosvětově za předchozí finanční rok (záleží, která z hodnot je vyšší).
U každého individuálního případu je nutné zajistit účinnost a přiměřenost sankce, aby uložená pokuta měla odrazující funkci. Otázkou stále zůstává, jak bude možné dosáhnout harmonizace výše pokut na území EU v situaci, kdy jsou ekonomiky členských států stále velmi odlišné.
V tomto okamžiku samozřejmě nelze predikovat, jak budou dozorové úřady postupovat při ukládání pokut v konkrétních případech. To ukáže až praxe.
Je pesimismus namístě?
Jak se blíží nástup účinnosti GDPR, množí se obavy a dotazy na složitost naplnění požadavků GDPR. Nabízí se však také jiný přístup. Dívat se na GDPR jako na příležitost, jako na možnost nastolit ve firmě pořádek v oblasti ochrany osobních údajů a nakládání s nimi. Možným východiskem je datový audit, po kterém pak bude následovat implementace jednotlivých opatření k zajištění shody s GDPR. Zásadní investice předpokládáme zejména u podniků, které se dosud ochranou osobních údajů příliš nezabývaly, a u správců provádějících rozsáhlé automatizované zpracování osobních údajů, zejména v oblasti monitorování subjektů údajů a predikce jejich chování v prostředí internetu a internetové reklamy. Jako velmi pozitivní vnímáme možnost vzniku profesních kodexů správné praxe, které umožní zohlednit specifika v různých podnikatelských oborech a mohou přinést právní jistotu do podnikání. Vznik takových profesních kodexů však bude jistě nějakou dobu trvat, navíc je žádoucí, aby tyto kodexy byly harmonizovány napříč členskými státy EU.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně obecné nařízení o ochraně osobních údajů.
[2] GDPR vstoupilo v platnost dne 27 4. 2016 a účinné (a to přímo) bude od 25. 5. 2018.
[3] Nový unijní právní rámec ochrany osobních údajů je vedle GDPR tvořen také ještě směrnicí Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV („JHAD“), a směrnicí Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. 4. 2016 o používání údajů jmenné evidence cestujících pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti („PNRD“).
[4] Viz dokument ÚOOÚ nazvaný „Desatero omylů o obecném nařízení (GDPR)“ dostupný na internetových stránkách úřadu: https://www.uoou.cz/desatero-omylu-o-obecnem-narizeni-gdpr/d-23799/p1=3938.
[5] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[6] Porovnej např. definici pojmu „osobní údaj“ v čl. 4 odst. 1 GDPR s čl. 2 písm. a) směrnice 95/46/ES. Obdobně lze porovnat i další klíčové instituty ochrany osobních údajů, jako např. subjekt údajů či zpracování.
[7] Porovnej čl. 5 a 6 GDPR s čl. 6 a 7 směrnice 95/46/ES.
[8] Skutečnou novinkou v právech subjektů údajů je reálně pouze právo na přenositelnost údajů upravené v čl. 20 GDPR. Ostatní práva subjektů údajů, vč. práva na výmaz – práva být zapomenut – zcela nová nejsou.
[9] Tedy zejména digitální trh volný a bezpečný, na němž budou lidé moci nakupovat online bez ohledu na hranice a podniky budou moci prodávat napříč EU bez ohledu na to, ve které její zemi se nacházejí. Podle Komise by plně funkční jednotný digitální trh mohl hospodářství EU každoročně přinést až 415 miliard eur navíc. Součástí evropské strategie zaměřené na digitální trh je právě budování ekonomiky založené na datech a s tím ruku v ruce jdoucí kybernetická bezpečnost. (http://www.consilium.europa.eu/cs/policies/digital-single-market-strategy/).
[10] Obsahem pojmu digitální ekonomika je nový a převratný způsob rozdělování zdrojů za intenzivního využití informačních a komunikačních technologií, které vede ke změně struktur řízení podniků a vzniku nových odvětví. Digitální ekonomika úzce souvisí s konceptem informační společnosti a její nedílnou součástí je masová aplikace robotů a automatů ve výrobě i službách.
[11] V ČR proveden s účinností od 1. 6. 2000 ZOOÚ.
[12] Mj. GDPR vzniklo jako reakce na aféru Edwarda Snowdena, při které vyšlo najevo, že tajné služby USA neoprávněně získávaly osobní informace, a to též o evropských občanech.
[13] Cloud computing znamená dodávání výpočetních služeb, jako jsou servery, úložiště, databáze, sítě, software, analytické nástroje a další, a to přes internet (definice viz https://azure.microsoft.com/cs-cz/overview/what-is-cloud-computing/).
[14] Jako cloudovou službu můžeme obecně označit takovou službu, program či aplikaci, která nepracuje lokálně na počítači, ale která je výhradně (nebo z větší části) založena na pomyslném „cloudu“, tedy na síti počítačů či serverů umístěných kdesi v kyberprostoru. Cloud je tedy v podstatě synonymem pro internet. Uživatelé pak namísto náročných programů využívají buď jednoduché klientské aplikace, nebo pracují přímo v prostředí svého internetového prohlížeče (viz https://ikaros.cz/cloudove-sluzby-data-i-pocitace-v-oblacich).
[15] Internet of Things (IoT) – označení pro moderní přístroje ovladatelné i na dálku pomocí internetu např. prostřednictvím chytrého telefonu. Využití nemusí být omezeno pouze na domácnosti, jde o technologii využitelnou i pro výrobu a průmysl.
[16] Základní zásady zpracování osobních údajů jsou vyjmenovány v čl. 5 GDPR.
[17] Např. prostřednictvím kodexu, osvědčení, certifikace nebo vedení záznamů o činnostech zpracování.
[18] Požadavek na zákonnost zpracování jako jednu ze zásad je obsažen v čl. 5 odst. 1 písm. a) GDPR a podrobněji pak rozveden v čl. 6 GDPR.
[19] Tento požadavek lze vyjádřit také tak, že základem pro zpracování osobních údajů musí být minimálně jeden právní důvod a transparentnost.
[20] Viz čl. 5 odst. 1 písm. b) GDPR, který stanoví, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsobem, který s nimi není slučitelný. Je vhodné zdůraznit, že osobní údaje mohou být zpracovávány pro různé účely, ale každý takový účel musí být podložen právním důvodem (teprve existuje-li právní důvod zpracování, je správce oprávněn osobní údaje legálně zpracovávat).
[21] Viz čl. 5 odst. 1 písm. c) GDPR, který říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu zpracování.
[22] Viz čl. 5 odst. 1 písm. d) GDPR, který vedle požadavku na přesnost zmiňuje také případné potřeby osobní údaje aktualizovat a povinnost přijmout opatření, která zajistí, aby nepřesné údaje (s přihlédnutím k účelu jejich zpracování) byly bezodkladně opraveny nebo vymazány.
[23] Viz čl. 5 odst. 1 písm. e) GDPR, stanovující požadavek na uložení osobních údajů pouze na dobu nezbytnou pro účely zpracování.
[24] Viz čl. 5 odst. 1 písm. f) GDPR, který cílí na řádné zabezpečení osobních údajů před neoprávněnými nebo protiprávními zpracováními, před náhodnou ztrátou, zničením či poškozením.
[25] Viz čl. 5 odst. 2 GDPR, který správci osobních údajů stanovuje odpovědnost za dodržování zásad zpracování, které navíc musí být schopen doložit.
[26] Zejména v čl. 6 směrnice 95/46/ES.
[27] Viz ust. § 5 odst. 2 ZOOÚ [definice souhlasu subjektu údajů jako svobodného a vědomého projevu vůle obsahujícího souhlas se zpracováním osobních údajů viz ust. § 4 písm. n) ZOOÚ]. Poskytnutí souhlasu subjektu údajů se zpracováním jeho osobních údajů je provázáno s informační povinností správce osobních údajů vůči jejich subjektu.
[28] Zejména viz ust. § 5 odst. 1 písm. a) a f) ZOOÚ, přičemž ZOOÚ rovněž stanovuje informační povinnost správce osobních údajů, jejíž součástí je také informování subjektu údajů o účelu jejich zpracování.
[29] Viz ust. § 5 odst. 1 písm. d) ZOOÚ.
[30] Viz ust. § 5 odst. 1 písm. e) ZOOÚ.
[31] Viz ust. § 5 odst. 1 písm. h) ZOOÚ.
[32] Souhlas subjektu údajů se zpracováním jako základní legální titul zpracování osobních údajů zná ochrana osobních údajů i nyní. Je obsažen v ust. § 5 odst. 2 ZOOÚ. Pro zpracování osobních údajů bez souhlasu subjektu údajů je v ust. § 5 odst. 2 písm. a) až g) ZOOÚ stanoveno pouze několik výjimek, které v zásadě korespondují s čl. 6 odst. 1 GDPR (jde např. o zpracování nezbytné pro dodržení právní povinnosti správce nebo k ochraně životně důležitých zájmů subjektu údajů či pro plnění smlouvy uzavřené se subjektem údajů aj.). Pokud si však správce nezajistí souhlas subjektu údajů se zpracováním a ani na takové zpracování nelze aplikovat zde zmíněné výjimky, je nepochybné, že správce nesplnil jeden ze základních požadavků kladených na zákonné zpracování osobních údajů nyní (podle ZOOÚ) a ani v budoucnu (za účinnosti GDPR).
[33] Např. pracovní smlouva či kupní smlouva, ale i jiné.
[34] Např. povinnost správce odvádět za svého zaměstnance platby sociálního zabezpečení. Tato povinnost musí být stanovena buď právem EU, nebo právem členského státu EU, které se na správce vztahuje.
[35] Tato povinnost musí být stanovena buď právem EU, nebo právem členského státu EU, které se na správce vztahuje (viz čl. 6 odst. 3 GDPR).
[36] Zvláště je-li subjektem údajů dítě.
[37] Viz čl. 12 a násl. GDPR.
[38] Čl. 12 odst. 1 ve spojení s čl. 13 a 14 GDPR. Základní povinnost informovat subjekt údajů o tom, pro jaký účel zpracování a k jakým osobním údajům, jakému správci a na jaké období při udělení souhlasu, stanovuje také stávající česká právní úprava ochrany osobních údajů – ZOOÚ (viz ust. § 5 odst. 4).
[39] Případně vč. kontaktu na pověřence pro ochranu osobních údajů, je-li v souladu se čl. 37 GDPR ustanoven.
[40] Vč. oprávněných zájmů správce, jde-li o zpracování založené na čl. 6 odst. 1 písm. f) GDPR.
[41] Právo na přístup k informacím není novou záležitostí. Je obsaženo i v současné právní úpravě, a to jak ve směrnici 95/46/ES (čl. 12 v souvislosti s recitály 41-43), tak v z. č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (konkrétně ust. § 12 a 21 s tím, že povinnost správce informovat subjekt údajů o jeho právu na opravu osobních údajů je obsažena v ust. § 11 téhož zákona).
[42] Také právo na opravu je již součástí stávající legislativy, konkrétně je obsaženo v recitálech 38 a 25 a čl. 6, 10 a 12 směrnice 95/46/ES. Ust. § 5 odst. 1 písm. c), § 11 odst. 1 a § 21 odst. 1 písm. b) z. č. 101/2000 Sb. též referuje k tomuto právu.
[43] Nepřesné osobní údaje či neúplné osobní údaje mohou být zpracovávány, pouze jsou-li nezbytné pro splnění povinností správce stanovených zvláštními zákony pro zajištění bezpečnosti ČR, obrany ČR, veřejného pořádku a vnitřní bezpečnosti, prevence, vyhledávání a odhalování trestné činnosti a stíhání trestných činů, významného hospodářského zájmu ČR nebo EU, významného finančního zájmu ČR nebo EU, výkonu kontroly a regulace spojených s výkonem veřejné moci, činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti nebo činností spojených s vedením centrální evidence účtů (výjimka viz ust. § 3 odst. 6 ZOOÚ).
[44] A to i přesto, že není samozřejmou součástí národních úprav členských států EU. Směrnice 95/46/ES v čl. 9 připouštěla, aby jednotlivé členské státy EU přijaly ohledně práva být zapomenut odlišnou úpravu. Konkrétně Španělsko do svého právního řádu začlenilo výjimku z ochrany osobních údajů pro zpracování osobních údajů pro účely žurnalistiky, uměleckého nebo literárního projevu.
[45] Právo být zapomenut není ve směrnici 95/46/ES výslovně zakotveno a bylo dovozeno soudním výkladem.
[46] Pracovní skupina WP29 pak v souvislosti s rozsudkem ve věci C-131/12 připravila návod, jak s názory a závěry SDEU v něm obsaženými prakticky pracovat, jak je uplatňovat: viz http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf).
[47] Činnost vyhledávačů definovaná jako automatické, nepřetržité a systematické prozkoumávání internetu s cílem vyhledávat zveřejněné informace, které jsou dále indexovány, uspořádávány, uchovávány na serverech provozovatele, a nakonec zpřístupňovány uživatelům jako výsledky jejich vyhledávání.
[48] Provozovatel internetového vyhledávače je správcem osobních údajů, neboť sám určuje účel i prostředky zpracování a také zpracování sám provádí.
[49] Resp. společnosti, které poskytují službu umožňující v internetové síti vyhledat weby, které nejlépe korespondují s konkrétním uživatelským dotazem – zadaným klíčovým slovem či slovním spojením vystihujícím požadované informace.
[50] Jde o odstranění odkazů na stránky s citlivými osobními informacemi, které mohou (negativně) ovlivnit pověst konkrétní osoby. Žádosti se týkají nejrůznějších typů obsahu, včetně záznamů o závažných trestných činech, trapných fotografií, případů internetové šikany a urážení, nejrůznějších starých obvinění, negativních zpravodajských článků atd.
[51] Jedná se tedy, stručně řečeno, o právo na to, aby za určitých okolností byly osobní údaje konkrétní osoby vymazány z internetového prostředí, a tak vlastně zapomenuty.
[52] Google dokonce připravil pro subjekty údajů, které chtějí právo na výmaz, právo být zapomenut realizovat, online formulář příslušné žádosti. V českém jazyce dostupný na internetových stránkách Google: https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=cs.
[53] Viz odst. 3 čl. 17 GDPR.
[54] Ust. § 21 odst. 1 ZOOÚ: „(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může a) požádat správce nebo zpracovatele o vysvětlení, b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.“ Dále ust. § 21 odst. 5 ZOOÚ říká: „(5) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.“
[55] Čl. 12 odst. 5 GDPR. Poplatek může být uložen jen v případě zjevně nedůvodných či nepřiměřených např. opakujících se (nadměrně zatěžujících) žádostí.
[56] The Article 29 Data Protection Working Party. Tuto pracovní skupinu ustavil čl. 29 směrnice 95/46/ES a je nezávislým evropským poradním orgánem ve věcech ochrany dat a soukromí. Sestává ze zástupců vnitrostátních orgánů pro ochranu údajů, EDPS (European Data Protection Supervisor) a Evropské komise. Její úkoly blíže definuje čl. 30 směrnice 95/46/ES a čl. 15 směrnice 2002/58/ES. Funkce WP29 později převezme Evropský sbor pro ochranu osobních údajů (EDPB – European Data Protection Board) ustavený čl. 68 GDPR.
[57] Dokumenty vydané WP29 k právu na přenositelnost dat jsou dostupné na internetových stránkách ÚOOÚ. https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=21750&n=pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju.
[58] Pokyny k právu na přenositelnost údajů (dokument WP 242, ze dne 13. 12. 2016), otázky a odpovědi, neoficiální překlad z anglického jazyka dostupný na: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=22210.
[59] Viz čl. 21 odst. 2 GDPR.
[60] Viz čl. 6 odst. 1 písm. e) a f) GDPR.
[61] Definice správce viz čl. 4 odst. 7 GDPR.
[62] Definice zpracovatele viz čl. 4 odst. 8 GDPR.
[63] To koresponduje s výkladem učiněným v souvislosti s věcí C-131/12.
[64] Podle GDPR jde o činnosti správce nebo zpracovatele, které souvisejí s nabídkou zboží a služeb subjektům údajů v EU (bez ohledu na to, zda jde o zboží a služby zpoplatněné či nikoliv) nebo s monitorováním chování těchto subjektů v rámci EU (viz ust. čl. 3 GDPR).
[65] Viz ust. čl. 3 GDPR věnované místní působnosti nařízení.
[66] Viz čl 24 GDPR.
[67] Viz čl. 4 odst. 5 GDPR.
[68] Čl. 32 GDPR.
[69] Pokud možno do 72 hodin od okamžiku, kdy se správce o porušení zabezpečení osobních údajů dozvěděl. S pozdějším ohlášením musí být současně poskytnuty dozorovému úřadu také důvody zpoždění.
[70] Čl. 33 GDPR.
[71] Označovaný též jako DPO – Data Protection Officer.
[72] Čl. 37 odst. 1 písm a) až c) GDPR.
[73] Konkrétní úkoly pověřence pro ochranu osobních údajů stanoví čl. 39 GDPR a zahrnuje poskytování informací a konzultací, monitoring shody s pravidly GDPR a souvisejícími předpisy na ochranu osobních údajů, spolupráci s dozorovým úřadem vč. toho, že pověřenec je kontaktním místem úřadu.
[74] Podmínky (povinného) jmenování pověřence pro ochranu osobních údajů jsou obsaženy v čl. 37 GDPR.
[75] S výjimkou soudů jednajících v rámci svých soudních pravomocí [čl. 37 odst. 1 písm. a) GDPR].
[76] Údaje obsažené v čl. 9 GDPR.
[77] Viz čl. 10 GDPR.
[78] Včetně názvu takové funkce či pozice, který by neměl znít „pověřenec pro ochranu osobních údajů“ nebo „DPO“ nebo „Data Protection Officer“, ale např. „manažer pro správu a evidenci osobních údajů“.
[79] Na konci loňského roku WP29 publikovala dokument „Vodítka k pověřencům pro ochranu osobních údajů“; schválen dne 13. 12. 2016 a ve znění revize schválené dne 5. 4. 2017 (WP 243 rev. 01) je prostřednictvím internetových stránek ÚOOÚ dostupný na: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23462. V českém překladu ÚOOÚ tento dokument zpřístupňuje na: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463. V něm jsou obsažena doporučení a názory pracovní skupiny k DPO.
[80] Např. aktivní podpora od vyššího vedení, dostatečný čas pro plnění povinností, finanční zdroje, nezbytný přístup do jiných útvarů v organizaci – personální, IT aj., průběžná školení atd.
[81] Cookies jsou malé textové soubory ukládané na váš počítač v okamžiku, kdy navštívíte nějakou webovou stránku. Mohou být využity k zapamatování uživatelských informací, zaznamenání položek v nákupním košíku a odhalování toho, jak daná osoba využívá síť. Některé cookies, tzv. cookies třetí strany, mohou být také používány pro řadu účelů, včetně zaznamenávání informací o tom, jak uživatel interaguje s dalšími webovými stránkami (definice převzatá z https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=14302&n=tiskova-zprava-wp29-k-pruzkumu-cookies).
[82] K úrovni odborných znalostí, profesním kvalitám a schopnostem plnit úkoly se v tomto duchu vyjadřuje také WP29.
[83] Definice profilování jako jakékoliv formy automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě… viz čl. 4 odst. 4 GDPR.
[84] Čl. 38 odst. 4 GDPR.
[85] Čl. 39 odst. 1 písm. e) GDPR.
[86] Čl. 39 odst. 1 písm. a) GDPR.
[87] Čl. 40 a násl. GDPR.
[88] Výjimka z povinnosti vést záznamy viz čl. 30 odst. 5 GDPR.
[89] Podle čl. 35 GDPR.
[90] Čl. 31 GDPR.