Reforma ochrany osobních údajů v EU z pohledu pracovněprávních vztahů
autor: Mgr. Hana Zemanová Šimonová, LL.M. publikováno: 01.11.2017
Reforma ochrany osobních údajů v EU byla definitivně schválena v dubnu 2016 a její vlajkovou lodí je nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů) (dále jen „obecné nařízení“ nebo také „GDPR“), kterým se ruší dosavadní směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice“). Předmětné obecné nařízení nabude účinnosti dne 25. 5. 2018.
Ačkoliv bývá, zejména pak v médiích, nová koncepce ochrany osobních údajů v EU prezentována jako bezmála revoluční, je třeba podotknout, že obecné nařízení se od směrnice nikterak nedistancuje, ale naopak výslovně stanoví, že cíle a zásady směrnice nadále platí.[1] Spíše než o revoluční změně je proto vhodné hovořit o kontinuitě právní úpravy.[2] Obecné nařízení bylo přijato zejména za účelem sjednocení roztříštěné právní úpravy vzniklé v důsledku nejednotné implementace směrnice do právních řádů členských států a rozličných postupů jednotlivých dozorových úřadů.
Sluší se podotknout, že řada základních pojmů spojených s právem na ochranu osobních údajů je jak ve směrnici, tak v GDPR vymezena obdobným, často dokonce shodným způsobem.[3] Nicméně, GDPR samozřejmě přináší celou řadu nových právních institutů i práv a povinností dotčených subjektů, přičemž ty nejvýznamnější z hlediska základních pracovněprávních vztahů budou dále podrobněji analyzovány. Pozornost bude věnována vybraným institutům GDPR, které mají úzký vztah k základním pracovněprávním vztahům, ať již s ohledem na souvislost s povinnostmi zaměstnavatele jakožto správce, nebo s právy zaměstnance coby subjektu údajů.
Aplikace GDPR v pracovněprávních vztazích
Ačkoliv je cílem GDPR stanovit jednotná práva a povinnosti v oblasti ochrany osobních údajů, mnohá jeho ustanovení buď přímo ukládají členským státům povinnost, nebo jim dávají alespoň možnost upravit na vnitrostátní úrovni vymezenou problematiku samostatně, vždy samozřejmě v souladu se základními zásadami, na nichž je GDPR vystavěno,[4] a v mezích dalších limitů předepsaných GDPR. Pro pracovněprávní problematiku je podstatná např. možnost členských států zavést konkrétnější podmínky zpracování osobních údajů v případech, kdy je právním titulem pro zpracování osobních údajů plnění právní povinnosti správce.[5]
Současně je nutné se blíže věnovat ustanovení čl. 88 GDPR, které členským státům umožňuje buď právním předpisem, anebo kolektivní smlouvou „stanovit konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy, včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru“.[6]
Pravidla přijatá členskými státy na podkladě výše uvedeného oprávnění dle čl. 88 GDPR však musejí zahrnovat zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů, především pokud jde o transparentnost zpracování, předávání osobních údajů v rámci skupiny podniků a systémy monitorování na pracovišti.[7] Stejně tak bude nezbytné, aby tato pravidla vycházela ze zásad, na nichž je nová koncepce ochrany osobních údajů vystavěna.[8] Ve smyslu ust. čl. 88 odst. 3 GDPR mají členské státy notifikační povinnost vůči Komisi, kdy jsou povinny nejpozději do 25. 5. 2018 oznámit Komisi právní předpisy přijaté dle předmětného ustanovení, stejně jako jsou povinny bez zbytečného odkladu informovat Komisi o jakýchkoliv následných změnách takto přijatých právních předpisů.
Lze tedy konstatovat, že i v rámci pracovněprávních vztahů bude třeba respektovat GDPR a řídit se jeho ustanoveními, nicméně, pokud bude členským státem přijata speciální právní úprava v mezích stanovených mj. čl. 88 GDPR, což bude spíše pravidlem, např. pokud jde o podmínky pro zpracování osobních údajů na základě souhlasu zaměstnance nebo podmínky pro monitorování pracoviště, vztah mezi GDPR a přijatou či existující vnitrostátní právní úpravou bude vztahem obecného a speciálního právního předpisu, kdy v souladu s obecnou zásadou lex specialis derogat legi generali bude aplikován speciální právní předpis upravující konkrétnější podmínky pro zpracování osobních údajů. Nutno podotknout, že v tomto směru nedochází k žádné podstatné změně oproti nynějšímu stavu fungujícímu na bázi směrnice a na základě ní přijatých právních předpisů členských států.
Souhlas se zpracováním osobních údajů
Souhlas i nadále zůstává jedním z důvodů pro zákonné zpracování osobních údajů, ovšem podmínky získávání souhlasu subjektu údajů se zpracováním osobních údajů a prokazování jeho existence jsou oproti nynější právní úpravě znatelně přísnější. Souhlasem se dle obecného nařízení rozumí „jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů“.[9] Souhlas může být udělen jak písemným prohlášením, tak elektronicky nebo ústně, ovšem musí se jednat o jednoznačné potvrzení, přičemž za souhlas nelze považovat zejména mlčení, předem zaškrtnuté políčko nebo nečinnost subjektu údajů.[10]
Podmínky vyjádření souhlasu blíže upravuje ust. čl. 7 GDPR, v jehož odst. 1 je stanoveno, že správce je povinen prokázat, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Vzhledem k tomuto požadavku lze dovodit, že ústně vyjádřený souhlas subjektu údajů, byť ústní forma souhlasu je GDPR výslovně připuštěna,[11] nebude prakticky realizovatelný, neboť správce by v takovém případě nemohl dostát své povinnosti doložit udělení souhlasu se zpracováním osobních údajů ze strany subjektu údajů. Ze stejného důvodu lze mít pochybnosti o tom, že bude v praxi častý konkludentní souhlas subjektu údajů se zpracováním osobních údajů.[12]
V případě, kdy je souhlas vyjádřen písemným prohlášením,[13] vyžaduje ust. čl. 7 odst. 2 GDPR, aby souhlas se zpracováním osobních údajů byl od jiných ustanovení podepisovaného dokumentu jasně odlišitelný, srozumitelný a snadno přístupný a aby byl formulován za použití jasných a jednoduchých jazykových prostředků a prostý nepřiměřených podmínek.[14] Porušení tohoto požadavku je sankcionováno nezávazností uděleného souhlasu. Z uvedeného důvodu by měl být souhlas obsažen v samostatném, jasně a srozumitelně koncipovaném dokumentu, obsahujícím mj. informace dle čl. 12 a násl. GDPR.[15]
Z pohledu základních pracovněprávních vztahů, jejichž charakteristickým znakem je vztah nadřízenosti zaměstnavatele a podřízenosti zaměstnance, je třeba upozornit na bod odůvodnění (42) GDPR, dle něhož nebude souhlas považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout, aniž by byl poškozen. Uvedené ustanovení však nikterak nepřibližuje, o jaký druh poškození, popř. jaké intenzity, se má jednat. Za situace, kdy je kupř. po zaměstnanci požadováno, aby udělil souhlas s vystavením své fotografie na webových stránkách zaměstnavatele, si lze představit, že neudělení tohoto souhlasu by pro daného zaměstnance mohlo představovat negativní situaci v zaměstnání, ať již se jedná o „pouhé“ zhoršení mezilidských vztahů na pracovišti, nebo zpomalení kariérního růstu, nepřiznání pohyblivé složky mzdy apod.
V této souvislosti je třeba zdůraznit, že zpracování osobních údajů zaměstnanců, kde právním titulem tohoto zpracování má být souhlas zaměstnance, je třeba vždy posuzovat s ohledem na konkrétní okolnosti případu, přičemž široké využití souhlasu jakožto právního titulu zpracování osobních údajů nelze v základních pracovněprávních vztazích v žádném případě doporučit. Při posuzování platnosti udělení souhlasu je třeba aplikovat princip proporcionality a zvážit, nakolik je právo na ochranu osobních údajů zaměstnance v rovnováze s oprávněnými zájmy zaměstnavatele, např. pokud jde o jeho zájem o zveřejnění fotografie zaměstnance z důvodu budování firemní kultury a jednotné vizuální stránky webové prezentace.[16]
Ještě závažněji se z pohledu pracovněprávních vztahů jeví ustanovení bodu odůvodnění (43) GDPR, dle něhož by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů v případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha. V oblasti základních pracovněprávních vztahů, jejichž objektem je závislá práce a které jsou ze samotné své podstaty fakticky nerovné a postavené na tom, že zaměstnavatel vystupuje jako řídící subjekt a zaměstnanec je subjektem podřízeným, si lze však při extenzivním výkladu představit, že by souhlas jako zákonný titul pro zpracování údajů zaměstnavatelem nemohl být platně udělen prakticky za žádné situace, což zřejmě nebylo úmyslem zákonodárce. Nejen v intencích doporučení Pracovní skupiny[17] je však třeba souhlas zaměstnance jakožto právní titul ke zpracování osobních údajů využívat obezřetně a spíše jen sporadicky, při vědomí specifik základních pracovněprávních vztahů a v rámci nich působící ochranné funkce pracovního práva a z ní vyplývající zásady zvláštní zákonné ochrany postavení zaměstnance.[18] Pokud již bude souhlas zaměstnance využit jako právní titul ke zpracování jeho osobních údajů, pak je doporučeníhodné trvat na tom, aby po předchozím důsledném zvážení všech konkrétních okolností a využití principu proporcionality byla zvolena písemná forma souhlasu.
Oproti stávající právní úpravě obsažené ve směrnici a ZOOÚ se v GDPR výslovně stanoví, že subjekt údajů má právo svůj souhlas kdykoliv odvolat, přičemž odvolání souhlasu musí být stejně jednoduché jako jeho poskytnutí.[19] S ohledem na explicitní vyjádření odvolání souhlasu, které však bylo Pracovní skupinou deklarováno již za nynější právní úpravy,[20] zřejmě pozbyly smyslu úvahy o aplikovatelnosti ust. § 87 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „o. z.“), a o případném nároku na náhradu škody způsobené správci v důsledku odvolání souhlasu na dobu určitou, neboť ust. čl. 7 odst. 3 GDPR je speciálním ve vztahu k § 87 odst. 2 o. z.
Výslovný souhlas se zpracováním zvláštních kategorií osobních údajů
Dle ust. čl. 9 odst. 1 GDPR se zakazuje „zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“.[21] Obecné nařízení používá pro shora vyjmenované osobní údaje označení „zvláštní kategorie osobních údajů“, a nikoliv dosud používané „citlivé údaje“, ovšem nejen v rámci českého právního prostředí lze očekávat, že zažitý pojem „citlivé údaje“ bude používán i nadále.[22]
Zákaz uvedený v čl. 9 odst. 1 GDPR se neuplatní v případech vyjmenovaných v čl. 9 odst. 2 GDPR, přičemž jedním z právních titulů pro zákonné zpracování zvláštních kategorií osobních údajů je výslovný souhlas subjektu údajů. K tomuto bodu je vhodné uvést dvě poznámky.
• Prvně je nutné se blíže věnovat požadavku na existenci výslovného souhlasu. Kromě podmínek stanovených obecným nařízením pro „prostý“ souhlas subjektu údajů se zpracováním osobních údajů, o nichž bylo pojednáno v podrobnostech výše, musí být souhlas se zpracováním zvláštních kategorií osobních údajů výslovný. Je tedy vyloučen, stejně jako za nynější právní úpravy, konkludentní souhlas se zpracováním zvláštních kategorií osobních údajů, neboť je vyžadováno explicitní vyjádření souhlasu subjektu údajů. Vzhledem k přísnějším požadavkům na projev „prostého“ souhlasu subjektu údajů se zpracováním osobních údajů a s ohledem na povinnost správce být schopen existenci souhlasu kdykoliv doložit, lze konstatovat, že se rozdíl mezi „prostým“ souhlasem a „výslovným“ souhlasem poněkud stírá. Pro základní pracovněprávní vztahy lze poznamenat, že pokud je souhlas zaměstnance jako právní titul ke zpracování osobních údajů institutem, který je třeba z důvodů uvedených výše využívat pokud možno co nejméně, zpracování zvláštních kategorií osobních údajů zaměstnanců na základě jejich výslovného souhlasu bude spíše výjimečné.
• Za druhé je vhodné upozornit, že členským státům, stejně jako EU samotné, bylo ustanovením čl. 9 odst. 2 písm. a) GDPR umožněno, aby právním předpisem vyloučily zpracování určitých zvláštních kategorií osobních údajů na základě souhlasu subjektu údajů, byť výslovně projeveného. V souvislosti se základními pracovněprávními vztahy se tak samozřejmě i nadále uplatní ust. § 316 odst. 4 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „zák. práce“), které vyjmenovává informace, resp. citlivé údaje, které zaměstnavatel po zaměstnanci nesmí vyžadovat za žádných okolností, a tedy ani v případě eventuálního výslovného souhlasu zaměstnance.[23]
Vybraná práva subjektu údajů dle GDPR
Práva subjektů údajů, která samozřejmě přísluší rovněž zaměstnanci jakožto subjektu údajů, jsou v GDPR oproti stávající právní úpravě obsažené zejména v ust. § 21 ZOOÚ upravena podrobněji, některá dokonce zcela nově, jak bude demonstrováno v následujícím výkladu.
Na základě čl. 15 GDPR má subjekt údajů právo požadovat po správci jednak potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud ano, pak má právo na přístup k osobním údajům a k informacím vyjmenovaným v čl. 15 odst. 1 GDPR. Součástí práva na přístup k osobním údajům je oprávnění subjektu údajů požadovat kopii zpracovávaných osobních údajů, přičemž pořízení dalších kopií může být správcem podmíněno uhrazením přiměřeného administrativního poplatku. Současně platí, že právem získat kopii osobních údajů nesmí být nepříznivě dotčena práva a svobody jiných osob.[24] V souvislosti se základními pracovněprávními vztahy je třeba upozornit na ust. § 312 zák. práce, které upravuje vedení osobního spisu zaměstnance a v jehož odst. 3 je zakotveno právo zaměstnance nahlížet do osobního spisu, stejně jako si pořizovat stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele. Vzhledem k tomu, že ust. § 312 zák. práce je ve vztahu k ust. čl. 15 GDPR speciálním ustanovením, uplatní se pravidlo v něm stanovené, a tedy pořizování fotokopií osobních údajů obsažených v osobním spise zaměstnance bude vždy na náklady zaměstnavatele.
Dle ust. čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů, které se ho týkají, stejně tak jako má právo na doplnění neúplných osobních údajů, a to s přihlédnutím k účelům zpracování.
V následujícím článku je zakotveno právo subjektu údajů požadovat, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají,[25] a to za předpokladu, že je dán některý z důvodů uvedených v čl. 17 odst. 1 písm. a) až f) GDPR.[26] V ust. čl. 17 odst. 3 písm. a) až e) GDPR jsou uvedeny případy, kdy se nárok na výmaz neuplatní.[27]
Na základě ust. čl. 18 GDPR má subjekt údajů právo na omezení zpracování,[28] kterým se rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnosti, přičemž tohoto cíle lze dosáhnout např. dočasným přesunem osobních údajů do jiného systému zpracování nebo znepřístupněním předmětných osobních údajů či dočasným odstraněním osobních údajů z internetových stránek.[29] Právo požadovat omezení zpracování má subjekt údajů toliko v případech uvedených v čl. 18 odst. 1 GDPR,[30] přičemž po dobu omezení zpracování mohou být osobní údaje zpracovány, s výjimkou jejich uložení, pouze se souhlasem subjektu údajů a z důvodů uvedených v čl. 18 odst. 2 GDPR.
Zcela novým právem, které mohou subjekty údajů využít, je právo na přenositelnost údajů[31] dle čl. 20 GDPR, na základě jehož odst. 1 má subjekt údajů právo „získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil“,[32] a to v některém z případů uvedených v tomto ustanovení, mj. za situace, kdy je právním titulem ke zpracování osobních údajů souhlas subjektu údajů.[33]
Je-li právním titulem pro zpracování osobních údajů buď nezbytnost pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, anebo nezbytnost pro účely oprávněných zájmů správce nebo třetí strany, pokud před těmito zájmy nemají přednost zájmy nebo základní práva a svobody subjektu údajů,[34] pak má subjekt údajů právo vznést námitku proti zpracování osobních údajů, a to z důvodů vyplývajících z jeho konkrétní situace.[35] Na právo vznést námitku musí být subjekt údajů výslovně upozorněn „a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů“.[36]
V souvislosti s výše uvedenými právy subjektů údajů je třeba upozornit na povinnost správce poskytnout subjektu údajů na jeho žádost dle čl. 15 až 22 GDPR informace o přijatých opatřeních, a to bez zbytečného odkladu, nejpozději však do jednoho měsíce od obdržení žádosti. Uvedenou jednoměsíční lhůtu je možné prodloužit toliko z důvodu složitosti věci nebo počtu žádostí, a to o dva měsíce. O tomto prodloužení, stejně jako o jeho důvodech, je správce povinen subjekt údajů informovat. Za situace, kdy správce nepřijme opatření, která subjekt údajů požadoval, je povinen o tomto závěru a důvodech k němu vedoucích subjekt bezodkladně, nejpozději však do jednoho měsíce od přijetí žádosti, informovat a poučit ho o možnosti podat stížnost u dozorového úřadu nebo se domáhat soudní ochrany u příslušného soudu.[37] Na obranu proti zjevně nedůvodným či nepřiměřeným žádostem, zejména z důvodu jejich opakování, je správci umožněno, aby buď subjektu údajů uložil přiměřený poplatek zohledňující administrativní náklady, nebo aby žádosti odmítl vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti je správce povinen v duchu zásady odpovědnosti doložit.[38]
Vybrané povinnosti správce dle GDPR
Obecné nařízení s sebou přináší celou řadu nových, popř. modifikovaných či rozšířených povinností správců, které budou nepochybně znamenat větší administrativní zátěž správců, a tím pádem i zaměstnavatelů.[39]
Na prvním místě je vhodné uvést ust. čl. 12 GDPR, kde je zakotvena povinnost správce mít transparentní, srozumitelná a snadno dostupná pravidla pro zpracování osobních údajů a výkon práv subjektu údajů. Tato povinnost je evidentním promítnutím zásady transparentnosti a jejím cílem je poskytnout subjektu údajů dostatek informací o tom, jaké údaje a jakým způsobem správce zpracovává. Správce je povinen poskytovat subjektu údajů stanovené informace[40] a veškerá předepsaná sdělení o zpracování[41] stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, přičemž tyto informace mají být poskytnuty písemně nebo jinými prostředky, včetně elektronických prostředků, a pokud si to subjekt údajů vyžádá, lze je poskytnout ústně, je-li identita subjektu údajů prokázána jinými způsoby.[42] Za účelem splnění této informační povinnosti je správce povinen přijmout vhodná, nikoliv však blíže specifikovaná opatření. Bude se zřejmě jednat především o revizi, popř. vytvoření nových podmínek pro zpracování osobních údajů, v nichž budou jasným a srozumitelným způsobem uvedeny všechny informace, upozornění a sdělení tak, jak je GDPR vyžadováno.[43]
S povinnostmi správce a rovněž s ústředním principem odpovědnosti správce, jak ostatně napovídá samotné označení tohoto ustanovení, úzce souvisí čl. 24 GDPR, dle jehož odst. 1 „s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“[44] Z citovaného ustanovení je zřejmé, že povinností správce bude nejprve náležitě posoudit konkrétní a specifické okolnosti zpracování konkrétních osobních údajů a současně zvážit rizika tohoto zpracování pro základní práva a svobody subjektu údajů. V návaznosti na takto provedenou důkladnou analýzu pak správce zavede vhodná technická i organizační opatření, jejichž cílem je zajištění zpracování osobních údajů v souladu s GDPR. Správce je současně povinen doložit soulad zpracování osobních údajů s GDPR, přičemž tento bude dokládán zejména adekvátní dokumentací vyhotovenou pro příslušný účel a vytvořením koncepce na ochranu osobních údajů.[45] Obecné nařízení nepředkládá konkrétní vodítko pro obsah dokumentace, ovšem lze usuzovat na to, že jejím obsahem by mělo být především vyhodnocení rizik pro základní práva a svobody subjektů údajů, doložení právního titulu pro zpracování osobních údajů, způsob řešení žádostí subjektů údajů k uplatnění jejich práv, konkretizace technických a organizačních opatření sloužících k zajištění souladu zpracování osobních údajů s GDPR atd.[46]
V souvislosti se zásadou odpovědnosti a požadavkem na doložení souladu postupu správce s GDPR by správce měl „přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky.“[47] V návaznosti na citované ustanovení bodu odůvodnění (78) je v čl. 25 GDPR upravena „Záměrná a standardní ochrana osobních údajů“,[48]která je projevem relativně nového principu „Privacy by Design“.[49] Obecné nařízení tak klade důraz na ochranu osobních údajů, která je již vtělena do technologií a postupů utvářených a zaváděných takovým způsobem, aby pokud možno co nejvíce přispívaly či napomáhaly k ochraně osobních údajů.
V textu GDPR lze však nalézt celou řadu dalších ustanovení a institutů, z nichž lze dovodit požadavky na vyšší míru odpovědnosti správce a na ni navazující povinnosti správce, a to např. vedení záznamů o činnostech zpracování dle čl. 30 GDPR, které do jisté míry nahrazuje stávající oznamovací povinnost upravenou v § 16 a násl. ZOOÚ.[50]
Velmi administrativně náročné a zřejmě často i fakticky neproveditelné se jeví ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu, tedy v ČR ÚOOÚ. Dle ust. čl. 33 odst. 1 GDPR je správce povinen ohlásit jakékoliv porušení zabezpečení osobních údajů dozorovému úřadu, a to bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl.[51] V případě, že v této lhůtě není podáno ohlášení, je třeba dozorovému orgánu sdělit důvody nedodržení této lhůty. Ohlašovací povinnost správce nemá za situace, pokud je nepravděpodobné, že by dané porušení mělo za následek riziko pro práva a svobody fyzických osob.
Posouzení existence pravděpodobného vysokého rizika pro práva a svobody fyzických osob je relevantní rovněž pro institut oznamování případů porušení zabezpečení osobních údajů subjektu údajů. Jestliže správce dospěje k závěru, že je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude představovat vysoké riziko pro základní práva a svobody fyzických osob, je povinen toto porušení oznámit subjektu údajů, a to bez zbytečného odkladu a za využití jasných a jednoduchých jazykových prostředků, není-li dán některý z důvodů uvedených v čl. 34 odst. 3 GDPR.[52]
Novou povinností uloženou správcům je vyhotovování posouzení vlivu na ochranu osobních údajů, které je třeba před započetím se zpracováním osobních údajů zpracovat, „pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob“.[53] Obecné nařízení v čl. 35 odst. 3 obsahuje demonstrativní výčet případů, kdy je nezbytné posouzení vlivu na ochranu osobních údajů zpracovat, a to mj. v případě systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatickém zpracování, pokud je na něm založeno rozhodování vyvolávající ve vztahu k fyzickým osobám právní účinky nebo jiné závažné dopady. Za situace, kdy je jmenován pověřenec pro ochranu osobních údajů (viz níže), je správce povinen si vyžádat rovněž jeho posudek.[54] Pracovní skupina již vypracovala vodítka pro zpracování posouzení vlivu na ochranu osobních údajů a pro posouzení otázky, zda zpracování osobních údajů představuje v konkrétním případě vysoké riziko pro základní práva a svobody subjektů údajů.[55] Lze předpokládat, že tato vodítka se stanou cenným podkladem jak pro úvahy správců, zda k vyhotovení posouzení vlivu na ochranu osobních údajů přistoupit, tak pro vlastní zpracování posouzení vlivu na ochranu osobních údajů.
V případě, že posouzení vlivu na ochranu osobních údajů bude ukončeno se závěrem, že by předmětné zpracování osobních údajů mělo, bez přijetí opatření ke zmírnění rizika, za následek vysoké riziko pro základní práva a svobody fyzických osob, je správce povinen před zahájením zpracování osobních údajů konzultovat danou otázku s dozorovým úřadem a v této souvislosti sdělit dozorovému úřadu informace uvedené v čl. 36 odst. 3 GDPR. „Pokud se dozorový úřad domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58.“[56] Stanovenou lhůtu může dozorový úřad v případě složitosti věci prodloužit o šest týdnů, o čemž musí správce informovat, stejně jako o důvodech prodloužení lhůty. Lze vyjádřit pochybnost nad smysluplností institutu předchozí konzultace, k níž má dojít pouze v případech, kdy správce dospěje k závěru, že zamýšlené zpracování osobních údajů představuje vysoké riziko pro základní práva a svobody fyzických osob a že toto riziko nelze zmírnit přiměřenými prostředky zajišťujícími náležitou úroveň bezpečnosti a důvěrnosti a zohledňujícími stav techniky a náklady na provedení.[57] Lze důvodně předpokládat, že dozorové úřady budou v těchto případech spíše přistupovat k zakazování požadovaných zpracování osobních údajů než k využití jiných možností uvedených v čl. 58 GDPR.[58]
Pověřenec pro ochranu osobních údajů
Obecné nařízení nově upravuje institut pověřence pro ochranu osobních údajů, který má být osobou s odbornými znalostmi v oblasti právních předpisů týkajících se ochrany osobních údajů a který bude nápomocen správci a zpracovateli při zajištění souladu zpracování osobních údajů s obecným nařízením.[59] Správce a zpracovatel je povinen jmenovat pověřence pro ochranu osobních údajů v případech, kdy zpracování provádí orgán veřejné moci či veřejnoprávní subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; kdy hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, které kvůli své povaze, rozsahu nebo účelu vyžaduje pravidelné a systematické monitorování subjektů údajů; nebo kdy hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v čl. 9 GDPR nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů ve smyslu čl. 10 GDPR.[60] Členským státům je navíc dána možnost, aby nad rámec GDPR stanovily případy, kdy jsou správci nebo zpracovatelé povinni jmenovat pověřence pro ochranu osobních údajů.[61] Stejně tak je možné, aby správce nebo zpracovatel přistoupil ke jmenování pověřence pro ochranu osobních údajů zcela dobrovolně, na základě svého vlastního uvážení.
Pověřenec pro ochranu osobních údajů může být buď zaměstnancem správce, nebo může plnit své úkoly na základě smlouvy o poskytování služeb.[62] V každém případě by však pověřenci pro ochranu osobních údajů „měli být schopni plnit své povinnosti a úkoly nezávislým způsobem“.[63] Účelem institutu pověřence pro ochranu osobních údajů je zajistit nezávislé a do jisté míry autonomní plnění úkolů svěřených mu v ust. čl. 39 GDPR, přičemž správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny ohledně plnění svých úkolů.[64] Dále, pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím zaměstnancům správce nebo zpracovatele.[65]
Z pohledu základních pracovněprávních vztahů je třeba podotknout, že charakteristika pověřence pro ochranu osobních údajů, který bude zaměstnancem správce nebo zpracovatele, jako nezávislého a nepodléhajícího pokynům správce (nebo zpracovatele) coby zaměstnavatele, je z pohledu teorie pracovního práva přinejmenším problematická. Stejně tak je nejasný vzájemný vztah mezi požadavkem na nezávislost a nepodřízenost pověřence pro ochranu osobních údajů pokynům správce nebo zpracovatele na straně jedné a vlastní odpovědností správce za zpracování osobních údajů v souladu s GDPR na straně druhé, neboť ani v důsledku jmenování pověřence pro ochranu osobních údajů se správce nezbavuje své odpovědnosti ve smyslu čl. 5 GDPR.[66]
Rovněž není jasné, jakým způsobem má být interpretováno ustanovení, které zakazuje rozvázání a sankcionování pracovního poměru pověřence pro ochranu osobních údajů „v souvislosti s plněním svých úkolů“,[67] a zda bude výpověď daná pověřenci pro ochranu osobních údajů v rozporu s tímto ustanovením GDPR, ovšem jinak vyhovující příslušným ustanovením zák. práce, v případě podané žaloby zaměstnance uznána jako neplatná dle ust. § 69 a násl. zák. práce. Vzhledem k tomu, že zák. práce je ve vztahu ke GDPR speciálním právním předpisem, je třeba splnění podmínek pro platné skončení pracovního poměru posuzovat dle jeho příslušných ustanovení. Dále, pokud GDPR v citovaném ust. čl. 38 odst. 3 hovoří o „plnění“ úkolů, nemělo by být vyloučeno ukončení pracovního poměru pověřence pro ochranu osobních údajů v takových situacích, samozřejmě za dodržení podmínek stanovených zák. práce, kdy pověřenec pro ochranu osobních údajů neplní své úkoly řádně, včas, nebo postupuje v rozporu s GDPR, anebo pokud svým jednáním způsobí správci nebo zpracovateli jakožto svému zaměstnavateli škodu.
Z výše uvedeného důvodu lze polemizovat se striktním konstatováním, že pověřenec pro ochranu osobních údajů „… nemůže být propuštěn a sankcionován za výkon své funkce…“,[68] neboť za splnění podmínek stanovených zák. práce pro výpověď danou zaměstnavatelem[69] by měl být tento způsob skončení pracovního poměru jednoznačně připuštěn, navíc za situace, pokud nebude možné s ohledem na konkrétní okolnosti případu (kupř. vzhledem k výši způsobené škody) na zaměstnavateli jakožto správci nebo zpracovateli spravedlivě požadovat, aby zaměstnance na funkci pověřence pro ochranu osobních údajů dále zaměstnával. Ještě více diskutabilní by se jevil závěr, že by nebylo možné ve smlouvě o poskytování služeb, na základě níž by pověřenec pro ochranu osobních údajů svoji funkci vykonával, sjednat možnost výpovědi smlouvy správcem nebo zpracovatelem v případě porušení povinností pověřence pro ochranu osobních údajů a jeho konání v rozporu s obecným nařízením. Byť lze pochopit záměr GDPR vedoucí ke stabilní a nezávislé funkci pověřence pro ochranu osobních údajů,[70] nelze připustit výklad ustanovení GDPR takovým způsobem, že tato budou v příkrém rozporu s oprávněnými zájmy správců a zpracovatelů. Ostatně, nikoliv řádně pracující pověřenec pro ochranu osobních údajů již zcela jistě není onou zamýšlenou pojistkou ochrany osobních údajů, ale může mít naprosto opačný účinek.
Právní prostředky ochrany dle GDPR
Obecné nařízení přichází s detailní úpravou právních prostředků ochrany jak subjektů údajů, tak správců, zpracovatelů a dalších fyzických či právnických osob. Není třeba pochybovat o tom, že tyto právní prostředky ochrany budou moci využít rovněž subjekty základních pracovněprávních vztahů.
Na základě ust. čl. 77 má subjekt údajů právo, aniž by byly dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany,[71] podat stížnost u dozorového úřadu v případě, pokud se domnívá, že zpracování jeho osobních údajů je v rozporu s GDPR.[72] K prošetření podané stížnosti je místně příslušný kterýkoliv z dozorových úřadů členských států, ale pravidlem bude dozorový úřad zvolený subjektem údajů dle jeho obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k tvrzenému porušení GDPR. Dozorový úřad je povinen subjekt údajů informovat o pokroku v řešení jeho stížnosti, jeho výsledku,[73] jakož i o možnosti soudní ochrany dle čl. 78 GDPR.
V této souvislosti je třeba upozornit na ust. čl. 78 odst. 2 GDPR, které stanoví, že v případě, kdy dozorový úřad subjekt údajů neinformuje o pokroku v řízení či jeho výsledku do tří měsíců ode dne podání stížnosti, má subjekt údajů právo na účinnou soudní ochranu. Uvedené ustanovení se jeví být do určité míry zavádějící, neboť svádí k výkladu, že se subjekty údajů mohou domáhat soudní ochrany teprve po marném uplynutí uvedené tříměsíční lhůty. Takový výklad by však byl nesprávný, neboť samotné ust. čl. 77 GDPR ve svém prvním odstavci stanoví, že institut stížnosti se nikterak nedotýká jakýchkoliv jiných prostředků správní nebo soudní ochrany. Z uvedeného důvodu je třeba ust. čl. 78 odst. 2 GDPR interpretovat tak, že subjekt údajů se může po marném uplynutí tříměsíční lhůty bránit soudní cestou proti nečinnosti dozorového úřadu.[74]
Právo na účinnou soudní ochranu, aniž by bylo dotčeno právo na správní či mimosoudní ochranu, proti právně závaznému rozhodnutí dozorového úřadu je dle čl. 78 GDPR přiznáno nejen subjektům údajů,[75] ale každé fyzické a právnické osobě, které se toto rozhodnutí týká. Pro rozhodování těchto sporů je místně příslušný soud dle sídla dozorového úřadu, o jehož rozhodnutí se v dané věci jedná.[76]
Ust. čl. 79 GDPR upravuje právo na účinnou soudní ochranu vůči správci nebo zpracovateli, které je přiznáno subjektu údajů, pokud má za to, že jeho práva vyplývající z GDPR byla porušena v důsledku zpracování jeho osobních údajů v rozporu s GDPR. K rozhodování tohoto sporu je místně příslušný soud dle místa sídla provozovny správce nebo zpracovatele nebo dle místa obvyklého bydliště subjektu údajů, nejedná-li se o správce nebo zpracovatele, který je orgánem veřejné moci jednajícím v rámci výkonu veřejné moci. Prostřednictvím podané civilněprávní žaloby[77] se subjekt údajů může domáhat jak nároků odvíjejících se z ustanovení obecného nařízení, zejména pak z čl. 15 až 22 GDPR (viz výše), tak náhrady újmy dle ust. čl. 82 GDPR.[78]
Dle ust. čl. 82 odst. 1 GDPR platí, že kdokoliv utrpěl v důsledku porušení GDPR hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele plnou a účinnou náhradu utrpěné újmy.[79] Zatímco správce je odpovědný za újmu způsobenou zpracováním porušujícím GDPR, zpracovatel je odpovědný za újmu způsobenou zpracováním toliko v případě, pokud nesplnil povinnosti uložené přímo zpracovateli[80] nebo jestliže jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.[81] Jak odpovědnost správce, tak odpovědnost zpracovatele je odpovědností objektivní, tedy nikoliv závislou na zavinění správce či zpracovatele. Ve smyslu ust. čl. 82 odst. 3 GDPR se může jak správce, tak zpracovatel své odpovědnosti zprostit pouze v případě, „pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla“.[82] Lze předpokládat, že důvody pro zproštění odpovědnosti budou soudy posuzovány velmi přísně a spíše restriktivně.[83] Správce a zpracovatel odpovídají za způsobenou škodu společně a nerozdílně, přičemž následně se mohou v rámci regresního nároku vzájemně vypořádat dle podílu na odpovědnosti za vznik újmy.[84]
Závěr
Předmětem tohoto článku bylo – vzhledem k jeho omezenému rozsahu – nastínit pouze některé změny, které obecné nařízení přináší a které se promítnou mj. v pracovněprávních vztazích. S ohledem na nové společenské a technologické podmínky lze změnu právního základu ochrany osobních údajů přivítat, ovšem je otázkou, nakolik předmětné GDPR skutečně nastoluje jasná a srozumitelná pravidla chování zúčastněných subjektů a zda bude dosaženo vytyčeného cíle zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv v souvislosti se zpracováním osobních údajů.
Na základě detailního studia GDPR lze spíše nabýt dojmu, že mnohá ustanovení jsou nejednoznačná a plná vágních a blíže nespecifikovaných pojmů, přičemž jejich interpretace a bližší vymezení bude nelehkým úkolem Evropského sboru pro ochranu osobních údajů, jednotlivých dozorových úřadů a v neposlední řadě soudů členských států v následujících měsících či spíše letech.
Pokud se jedná o pracovněprávní vztahy, zde nelze odhlédnout od skutečnosti, že v této oblasti budou i nadále mezi členskými státy existovat rozdíly, předvídané a umožněné samotným GDPR, a tak nelze očekávat, že by v oblasti zpracování osobních údajů v základních pracovněprávních vztazích mělo dojít ke sjednocení přístupů všech členských států.
[1] Viz bod odůvodnění (9) GDPR.
[2] Kupř. stávající pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená dle čl. 29 směrnice (dále jen „Pracovní skupina“) již nyní vydává metodické pokyny a vodítka týkající se GDPR (viz níže), přičemž po nabytí účinnosti GDPR bude transformována na Evropský sbor pro ochranu osobních údajů, viz čl. 68 a násl. GDPR.
[3] Důkazem nechť jsou prakticky shodné, popř. jen drobně a nikoliv významově podstatně upravené definice základních pojmů práva na ochranu osobních údajů, a to včetně samotného pojmu „osobní údaj“, „zpracování“, „správce“, „zpracovatel“. K tomu viz Úřad pro ochranu osobních údajů, Desatero omylů o obecném nařízení (GDPR) [online], 2017, 5 stran. [cit. 22. 6. 2017]. A dále k tomu viz M. Nulíček a kol.: GDPR, Obecné nařízení o ochraně osobních údajů, Praktický komentář, 1. vydání, Wolters Kluwer ČR, Praha 2017, str. 73 a násl.
[4] Viz zejména čl. 5 GDPR.
[5] Viz čl. 6 odst. 2 GDPR.
[6] Viz čl. 88 odst. 1 GDPR. K tomu srov. bod odůvodnění (155) GDPR.
[7] Viz čl. 88 odst. 2 GDPR.
[8] Viz především čl. 5 GDPR.
[9] Viz čl. 4 odst. 11 GDPR.
[10] Viz bod odůvodnění (32) GDPR.
[11] Tamtéž.
[12] K tomu srov. M. Nulíček a kol., op. cit. sub 3, str. 147-148.
[13] Včetně elektronické formy, viz tamtéž, str. 150.
[14] Viz také bod odůvodnění (42) GDPR.
[15] V souvislosti se souhlasy udělenými dle směrnice, resp. ZOOÚ, je však třeba upozornit, že „není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení…“, viz bod odůvodnění (171) GDPR. V každém případě však bude nezbytné podrobit doposud udělené souhlasy důkladnému přezkoumání a popř. zajistit souhlasy subjektů údajů v takové podobě a formě, aby odpovídaly právní úpravě obsažené v GDPR, zejména pak, aby správce dostál své povinnosti existenci souhlasu subjektu údajů doložit.
[16] V této souvislosti je vhodné poukázat na bod odůvodnění (47) GDPR, který říká, že „oprávněné zájmy správce, včetně správce, jemuž mohou být osobní údaje poskytnuty, nebo třetí strany, se mohou stát právním základem zpracování za předpokladu, že nepřevažují zájmy nebo základní práva a svobody subjektu údajů, a to při zohlednění přiměřeného očekávání subjektu údajů na základě jeho vztahu se správcem. … Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům…“.
[17] Viz Article 29 – Data Protection Working Party, Opinion 2/2017 on data processing at work, WP 249 [online], Brussel: European Commission, 2017, str. 6 [cit. 29. 6. 2017]. Dostupné z: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.
[18] Srov. M. Nulíček a kol., op. cit. sub 3, str. 145 a násl.
[19] Viz čl. 7 odst. 3 GDPR.
[20] Viz Article 29 – Data Protection Working Party, Opinion 8/2001 on the processing of personal data in the employment context, WP 48 [online], Brussel: European Commission, 2001, str. 23 [cit. 5. 6. 2017]. Dostupné z: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/wp48en.pdf.
[21] Viz čl. 9 odst. 1 GDPR. Z citovaného znění je zřejmé, že mezi zvláštní kategorie osobních údajů nejsou nově řazeny osobní údaje vypovídající o odsouzení za trestný čin, jimž je věnováno speciální ust. čl. 10 GDPR a které nově představují zvláštní kategorii osobních údajů, jejichž zpracování je možné za přísných podmínek uvedených v tomto ustanovení.
[22] O tom svědčí i terminologie použitá v komentáři, viz M. Nulíček a kol., op. cit. sub 3, str. 162 a násl. Rovněž lze poukázat na bod odůvodnění (51) GDPR, kde se hovoří o osobních údajích, „které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod…“.
[23] Dle ust. § 316 odst. 4 zák. práce nesmí zaměstnavatel od zaměstnance ani prostřednictvím třetích osob vyžadovat či získávat informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem, zejména pak nesmí vyžadovat informace o těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti nebo trestněprávní bezúhonnosti. Jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, příp. pokud tak stanoví zák. práce nebo jiný právní předpis, je možné po zaměstnanci vyžadovat i výše uvedené informace, s výjimkou informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti, když vyžadování nebo zjišťování těchto informací je vyloučeno za všech okolností.
[24] Viz čl. 15 odst. 3 a 4 GDPR.
[25] Tzv. „právo být zapomenut“.
[26] Tímto důvodem je např. skutečnost, že osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny, nebo subjekt údajů odvolá souhlas, na jehož základě byly osobní údaje zpracovány.
[27] Např. za situace, kdy je zpracování osobních údajů nezbytné pro účely archivace ve veřejném zájmu.
[28] Jedná se do jisté míry o obdobu současné institutu blokování osobních údajů dle § 21 odst. 1 ZOOÚ. K tomu viz M. Nulíček a kol., op. cit. sub 3, str. 215 a násl.
[29] Viz čl. 4 odst. 3 ve spojení s bodem odůvodnění (67) GDPR.
[30] Např. v případě, kdy subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost údajů prověřit, nebo za situace, kdy subjekt údajů vznesl námitku ve smyslu ust. čl. 21 odst. 1 GDPR.
[31] Označováno též jako „právo na portabilitu“.
[32] Viz čl. 20 odst. 1 GDPR.
[33] K tomu více viz M. Nulíček a kol., op. cit. sub 3, str. 221 a násl.
[34] Viz čl. 6 odst. 1 písm. e) a f) GDPR.
[35] Viz čl. 21 odst. 1 GDPR. Právo vznést námitku má subjekt údajů rovněž proti zpracování osobních údajů pro účely přímého marketingu a pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za podmínek uvedených v čl. 21 odst. 2, 3 a 6 GDPR.
[36] Viz čl. 21 odst. 4 GDPR.
[37] Viz čl. 12 odst. 3 a 4 GDPR.
[38] Viz čl. 12 odst. 5 GDPR.
[39] K tomu viz také D. Burian, Z. Radičová: K některým povinnostem, které pro správce přináší obecné nařízení o ochraně osobních údajů (GDPR), Právní prostor [online] 2016 [cit. 10. 7. 2017]. Dostupné z: http://www.pravniprostor.cz/clanky/ostatni-pravo/k-nekterym-povinnostem-ktere-pro-spravce-prinasi-gdpr.
[40] Tyto jsou vyjmenovány v čl. 13 a 14 GDPR.
[41] Viz čl. 15 až 22 a čl. 34 GDPR.
[42] Viz čl. 12 odst. 1 GDPR.
[43] K tomu viz M. Nulíček a kol., op. cit. sub 3, str. 177 a násl.
[44] Viz čl. 24 odst. 1 GDPR.
[45] Viz čl. 24 odst. 2 GDPR. Dle ust. čl. 24 odst. 3 GDPR platí, že „jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.“
[46] Viz M. Nulíček a kol., op. cit. sub 3, str. 254 a násl.
[47] Viz bod odůvodnění (78) GDPR.
[48] Jedná se o překlad anglického „Data protection by design and by default“.
[49] Vznik tohoto přístupu je dáván do souvislosti s kanadskou komisařkou ochrany osobních údajů Ann Cavoukianovou, resp. její knihou „Privacy by Design“, přičemž hlavní myšlenkou tohoto přístupu je implementace nástrojů na ochranu soukromí již do návrhů technologií tak, aby se efektivně předcházelo eventuálnímu zneužití zejména osobních údajů. Viz Úřad pro ochranu osobních údajů, Privacy by design, A. Cavoukian. Toronto, Ontario – Canada, 2009 [online], 2013, str. 1–2 [cit. 26. 6. 2017]. Dostupné z: https://www.uoou.cz/privacy-by-design-a-cavoukian-toronto-ontario-canada-2009/ds-2307/p1=2307.
[50] Dle čl. 30 odst. 1 GDPR je správce povinen vést záznamy o činnostech zpracování, za které je odpovědný, přičemž tyto záznamy obsahují informace vyjmenované v čl. 30 odst. 1 písm a) až g) GDPR. K podmínkám vedení záznamů o činnostech zpracování viz čl. 30 GDPR.
[51] Informace, které musí ohlášení obsahovat, jsou vyjmenovány v čl. 33 odst. 3 GDPR.
[52] Viz čl. 34 odst. 1, 2 a 3 GDPR.
[53] Viz čl. 35 odst. 1 GDPR.
[54] Viz čl. 35 odst. 2 GDPR.
[55] Viz Article 29 – Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679. WP 248 [online], Brussel: European Commission, 2017, 21 str. [cit. 10. 7. 2017]. Dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=25834.
[56] Viz čl. 36 odst. 2 věta první GDPR.
[57] Viz bod odůvodnění (83) a (84) GDPR.
[58] Podobně také M. Nulíček a kol., op. cit. sub 3, str. 326.
[59] Viz bod odůvodnění (97) GDPR.
[60] Viz čl. 37 odst. 1 GDPR. Je na správci, aby na základě provedené analýzy posoudil, zda v jeho případě existuje obecným nařízením nebo právem členského státu předvídaný důvod pro jmenování pověřence pro ochranu osobních údajů. Předmětná analýza by měla být součástí dokumentace vyhotovované správcem v souvislosti s naplňováním zásady odpovědnosti ve smyslu čl. 24 GDPR. Viz Pracovní skupina podle čl. 29, Vodítka k pověřencům pro ochranu osobních údajů, WP 243 rev.01 [online], Brusel: Evropská komise, 2016, rev. 2017 [cit. 11. 7. 2017]. Dostupné z: https://www.uoou.cz/VismoOnline _ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463.
[61] Viz čl. 37 odst. 4 GDPR.
[62] Viz čl. 37 odst. 6 GDPR.
[63] Viz bod odůvodnění (97) GDPR.
[64] Viz čl. 38 odst. 3 GDPR. Srov. rovněž čl. 38 odst. 6 GDPR týkající se konfliktu zájmů.
[65] Viz čl. 38 odst. 3 GDPR.
[66] K tomu viz Pracovní skupina podle článku 29, Vodítka k pověřencům pro ochranu osobních údajů. WP 243 rev.01 [online], Brusel: Evropská komise, 2016, rev. 2017 [cit. 11. 7. 2017]. Dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463.
[67] Viz čl. 38 odst. 3 věta druhá GDPR.
[68] Viz M. Nulíček a kol., op. cit. sub 3, str. 345.
[69] Viz § 52 zák. práce.
[70] Viz Pracovní skupina podle článku 29, Vodítka k pověřencům pro ochranu osobních údajů. WP 243 rev.01 [online], Brusel: Evropská komise, 2016, rev. 2017 [cit. 11. 7. 2017]. Dostupné z: https://www.uoou.cz/VismoOnline _ActionScripts/File.ashx?id_org=200144&id_dokumenty=23463.
[71] V této souvislosti je vhodné upozornit na právo zaměstnance podat stížnost na výkon práv a povinností vyplývajících z pracovněprávních vztahů, kterou je na základě ust. § 276 odst. 9 zák. práce zaměstnavatel povinen projednat se zaměstnancem nebo na jeho žádost s odborovou organizací.
[72] K tomu srov. § 29 odst. 1 písm. c) ZOOÚ, dle něhož ÚOOÚ „přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení“.
[73] Způsob vyřízení stížnosti se odvíjí od pravomocí dozorového úřadu vymezených v čl. 58 GDPR, přičemž jednou z možností je podle okolností jednotlivého případu uložení správní pokuty dle čl. 58 odst. 2 písm. i) ve spojení s čl. 83 GDPR.
[74] V českém právním prostředí půjde o žalobu na ochranu proti nečinnosti správního orgánu ve smyslu ust. § 79 zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů (dále jen „s. ř. s.“). K tomu více viz M. Nulíček a kol., op. cit. sub 3, str. 471 a násl.
[75] Toliko subjekty údajů jsou však oprávněny se soudní cestou bránit proti nečinnosti dozorového úřadu dle čl. 78 odst. 2 GDPR, o čemž bylo pojednáno výše.
[76] Viz čl. 78 odst. 3 GDPR. V rámci české právního řádu bude procesním prostředkem k uplatnění práv žaloba proti rozhodnutí správního orgánu podaná dle ust. § 65 a násl. s. ř. s.
[77] Viz § 79 a násl. zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů (dále jen „o. s. ř.“).
[78] Tím však není vyloučena např. žaloba z titulu ochrany osobnosti dle o. z.
[79] Viz čl. 82 odst. 1 GDPR a bod odůvodnění (142) GDPR.
[80] Viz čl. 28 GDPR.
[81] Viz čl. 82 odst. 2 GDPR.
[82] Viz čl. 82 odst. 3 GDPR.
[83] K tomu viz M. Nulíček a kol., op. cit. sub 3, str. 480-481.
[84] Viz čl. 82 odst. 4 a 5 GDPR.