Nový soubor pravidel na ochranu dat v EU, který dostal zkratku GDPR (z anglického názvu General Data Protection Regulation) čeří vody ve firmách už více jak pár měsíců a vyvolává množství otázek – a to vstoupí v platnost až v květnu 2018. O novém nařízení z pera Evropské unie toho bylo napsáno hodně a ještě hodně toho určitě napsáno bude. I my jsme uspořádali první webinář s touto tématikou, v němž jsme díky pohledu právníka Mgr. Ludvíka Kummera dali účastníkům možnost seznámit se s tímto novým právním rámcem ochrany osobních údajů v evropském prostoru.
GDPR zavede do praxe některé nové pojmy, jejichž výkladu byste měli určitě rozumět. Tím prvním je princip pseudonymizace, který souvisí s vyšším stupněm zabezpečení osobních údajů. Ty musí být podle tohoto principu zpracovávány tak, aby nemohly být bez doplňujících údajů přiřazeny konkrétní osobě.
Další pojem, který bychom si mohli představit je profilování. To ovšem není až takovou novinkou, protože pouze nově pojmenovává archivování osobních údajů do elektronických databází, jenž známe už mnoho let. Elektrické databáze vyhodnocují jisté osobní aspekty, které se vztahují k fyzickým osobám a jsou často předmětem obchodu, zejména při zjišťování spotřebitelských preferencí. Proto se nové nařízení věnuje jejich detailnější ochraně, aby se dalo účinněji předcházet zneužití těchto databází.
GDPR také zavede nové osobní údaje. Novou kategorií budou genetické (údaje na bázi DNA) a biometrické údaje – ty se odvíjí od fyzických a fyziologických znaků osoby (otisk prstu, obraz oční rohovky, sken chůze a obličeje).
Velké nadnárodní firmy, koncerny a jiné velké společnosti budou nuceny v závislosti na zajištění odpovídající úrovně ochrany osobních údajů zavést tzv. závazná podniková pravidla. Díky těm bude dodržen souhrn zásad zpracování osobních údajů v rámci skupiny, který naplňuje požadavky evropské úpravy ochrany osobních údajů a bude právně závazný pro všechny pobočky skupin.
Principy zpracování osobních údajů
GDPR je založeno na dvou principech, z nichž vychází i zásady zpracování osobních údajů. Tím prvním je princip zodpovědnosti správce za dodržování zásad zpracování, a to včetně doložení oněch zásad. Druhou zásadou je princip rizika, kterým se myslí to, že správce od prvopočátku musí brát v potaz kontext, povahu a účel zpracovaných osobních údajů a přihlížet k možným rizikům, které mohou představovat újmu (majetkovou i nemajetkovou) fyzických osob.
Základní zásady zpracování osobních údajů se nijak výrazně nemění od dosavadní právní úpravy, upozorňuje lektor Mgr. Ludvík Kummer. Důležitá zůstává transparentnost, shromažďování údajů pouze pro určité a legitimní účely, korektnost zpracování osobních údajů a jejich uložení jen na dobu nezbytně nutnou, také správnost a aktuálnost zpracovaných osobních údajů je důležitá.
Novinkou, kterou přináší GDPR je tedy hlavně princip zodpovědnosti, jehož implementace může být pro některé firmy v budoucnu velmi náročná. Bude se týkat třeba těchto oblastí:
- jmenování pověřence pro ochranu osobních údajů
- povinnost vést záznamy o činnostech zpracování
- výše zmíněná pseudonymizace
- vypracování posouzení vlivu na ochranu osobních údajů
Zpracování osobních údajů musí stát na některé ze zákonných podmínek. Mezi ty patří souhlas subjektu údajů se zpracováním osobních údajů, případ, kdy je zpracování nezbytné pro splnění právní povinnosti správce nebo pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů. Také za předpokladu, že zpracování je důležité pro ochranu životně důležitých zájmů subjektu údajů, jiné fyzické osoby nebo pro splnění úkolu prováděného ve veřejném zájmu a při výkonu veřejné moci.
Nová právní úprava věnuje velkou pozornost i zabezpečení zpracování osobních údajů. A to i podle již výše zmíněného principu pseudonymizace nebo šifrování osobních údajů. Správce osobních údajů musí zajistit neustálou dostupnost a odolnost systémů a služeb zpracování osobních údajů a v případě fyzických či technických incidentů včas obnovit přístup k nim. Znamená to třeba důkladné zabezpečení před vloupáním nebo zálohu údajů takovým způsobem, aby nemohly být zničeny požárem.
Pokud by ale přeci jen došlo k narušení bezpečnosti osobních údajů, má správce povinnost ohlásit to dozorovému úřadu bez zbytečného odkladu a nejpozději do 72 hodin. V případě, že zpracovatel a správce není jedna osoba, zpracovatel oznamuje porušení pouze správci osobních údajů a ten už musí zajistit další ohlášení.
Souhlas se zpracováním v novém a přístup k osobním údajům
Souhlas subjektu údajů se od května 2018 s nástupem GDPR lehce zkomplikuje, jak během školení několikrát zmínil lektor Mgr. Ludvík Kummer. Připomněl, že je sice připuštěna ústní forma souhlasu, ale v praxi je tento způsob nepoužitelný, protože by správce nebyl schopen doložit zpracování osobních údajů. Ani konklundentní souhlas (souhlas vyjádřený jinak než ústně nebo písemně, tedy zřejmým jednáním, které vyjadřuje vůli účastníka právního úkonu – např. kývnutí hlavy, zaškrtnutí políčka “souhlasím se zpracováním osobních údajů”) nesplňuje podmínku aktivního vyjádření souhlasu a často také nesplňuje podmínku dobrovolnosti.
Souhlas by měl být na samostatném a srozumitelném dokumentu, který je snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Navíc by měl být subjekt údajů poučen, že svůj souhlas může kdykoli odvolat. A odvolání souhlasu musí být stejně jednoduché jako jeho poskytnutí.
Nemilou novinku pro zpracovatele osobních údajů bude nové právo subjektu osobních údajů, které jim umožňuje přístup k jejich údajům. Co si zákonodárci od této novinky slibují? Zejména větší transparentnost a snazší kontrolní mechanismy během zpracování osobních údajů.
V případě, že subjekt údajů získá informaci, že správce zpracovává jeho osobní údaje, může uplatňovat další práva, která se pojí se zpracováním údajů. Těmi je třeba právo na získání přístupu k osobním údajům ve formě bezplatné kopie nebo právo na opravu/doplnění osobních údajů. Dále má fyzická osoba možnost po správci osobních údajů požadovat vymazání osobních údajů, které se jí týkají. A má také právo na omezení zpracování osobních údajů a to zejména v tom případě, než se prokáže, zda údaje jsou nebo nejsou správné. Tyto právní náležitosti existují i nyní před vydáním nového nařízení, ale nově budou velmi rozšířeny.
Současná právní úprava ovšem zatím nezná nové právo fyzických osob na přenositelnost údajů. Ty by podle nařízení GDPR měl subjekt osobních údajů získat ve strukturovaném a strojově zpracovaném formátu a měl by mít možnost je v této podobě předat dalšímu správci. Přenos údajů ovšem neznamená výmaz dat z databáze původního správce.
Tento článek představuje jen drobný výčet právních pojmů, kterým se lektor Mgr. Ludvík Kummer na školení GDPR a ochrana osobních údajů věnoval. Chcete-li se s novým právním rámcem ochrany osobních údajů seznámit podrobně, podívejte se na plnohodnotný videozáznam z tohoto školení. A už nyní se můžete těšit na navazující školení v roce 2018, v němž se budeme věnovat problematice GDPR z praktického pohledu.