Desatero omylů o GDPR

Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).

Den, kdy nabude účinnosti nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), se neúprosně blíží. Připravují se na něj správci i zpracovatelé osobních údajů, po celé republice se pořádají nejrůznější odborné konference, sdělovací prostředky téma GDPR stále častěji zmiňují.

Podobným tempem, jakým narůstá zájem o GDPR, se však podle zkušeností Úřadu objevují nepřesnosti či zavádějící až mylné informace, týkající se obecného nařízení o ochraně osobních údajů.

Na základě zkušeností pracovníků Úřadu z odborných akcí a zjištění z veřejně dostupných zdrojů byl sestaven tento přehled opakovaně se vyskytujících nepravd a nepřesností. Pořadí bodů vychází ze systematiky obecného nařízení o ochraně osobních údajů (dále v tomto textu také „obecné nařízení“) a nevypovídá o jejich závažnosti.


1. Odkazování na obecné nařízení jako na směrnici


Ačkoli někdy je nepřesné označení neškodné, nelze však rezignovat na uvádění správné formy právního předpisu, který bude nově upravovat právní rámec ochrany osobních údajů. Základním důvodem pro korektní označování nového právního předpisu pro ochranu osobních údajů, který k 25. květnu 2018 v převážné části hmotné úpravy nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále zde jen „zákon o ochraně osobních údajů“), je působnost evropských předpisů daná v podstatném právě již druhovým označením předpisu. Obecně platí - byť s dílčími odchylkami - že nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné a naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.  Obecné nařízení je ale příkladem nařízení, které současně poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně přesnějšího určení některých podmínek.

Odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být nevhodně zavádějící i proto, že současně s ním byla přijata opravdu také směrnice o ochraně osobních údajů, a to směrnice Evropského parlamentu a Rady EU 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, zkráceně neoficiálně nazývaná trestněprávní směrnice o ochraně osobních údajů. Odlišnost je ve věcné působnosti obou předpisů, jež souhrnně vytvářejí nový rámec ochrany osobních údajů v Evropské unii; působnost směrnice 2016/680 zahrnuje zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.


2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců

Označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy a oficiálního projednávání, jež započalo v roce 2012 a skončilo v roce 2016. Silné výrazy upoutávaly pozornost a do určité míry zpřehledňovaly objemný text. Po skončení vyjednávání je na místě zůstat v mezích přijaté úpravy a používat přiměřené hodnotící výrazy, a to i tam, kde původní cíle byly ambicióznější.

Skutečnost je taková, že jedním ze základních znaků ochrany osobních údajů podle obecného nařízení je kontinuita - nařízení navazuje ve sledovaných cílech a obsahových zásadách zpracování a ochrany osobních údajů na směrnici 95/46/ES a sleduje překonání stávající roztříštěnosti v provádění ochrany osobních údajů v Unii soudržným a jednotným uplatňováním pravidel ochrany osobních údajů.  Z jednoduchého porovnání obsahu obecného nařízení a směrnice 95/46/ES je zřejmé, že jsou používány stejné definice klíčových pojmů (osobní údaj, subjekt údajů, zpracování - čl. 2 směrnice 95/46/ES a čl. 4 obecného nařízení) a obdobně formulované, obsahově velmi blízké, zásady zpracování (čl. 5 a 6 obecného nařízení a čl. 6 a 7 směrnice 95/46/ES). Pravidla pro ty, kdo osobní údaje zpracovávají, tedy správce a zpracovatele, jsou podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a zákoně o ochraně osobních údajů. Správcům jsou ukládány některé nové povinnosti - ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů (vizte korigované tvrzení č. 5 níže). Oproti současné obecné formulaci povinností při zabezpečení zpracování v § 13 zákona o ochraně osobních údajů jsou v obecném nařízení akcentovány „technické prostředky“ a jmenovitě určené technologie - pseudonymizace a šifrování, obnova dostupnosti, pravidelné testování a hodnocení účinnosti zavedených opatření.  Podstatné je i to, že ve všech povinnostech správců a zpracovatelů se promítají konstrukční zásady záměrné a standardní ochrany a přístupu založeného na riziku, které se uplatňují rovněž současně - např. v povinnosti posuzovat vliv jednotlivých zpracování na ochranu osobních údajů.

Také práva těch, jejichž osobní údaje musí být chráněny, tedy subjektu údajů podle směrnice 95/46/ES jsou zachována a nově upravena podrobněji, s tím, že jedinou skutečnou novinkou je právo na přenositelnost údajů podle čl. 20 obecného nařízení. Jako novinka v právech subjektu údajů je ovšem v současné době v České republice prezentováno právo na výmaz podle článku 17 obecného nařízení, často pod alternativním názvem „právo být zapomenut“. Novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v zákoně o ochraně osobních údajů od jeho schválení v roce 2000. Svého práva podle § 21 odst. 1 a 2 subjekty údajů v České republice běžně využívají.


3. Rozšiřuje se definice osobního údaje

Nejčastěji se toto tvrzení objevuje v podobě, že osobními údaji dosud jsou pouze údaje identifikační, popř. přímo identifikující subjekt údajů. Někdy se změna dokládá na rozsudku Soudního dvora Evropské unie, v němž Soudní dvůr konstatoval, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES. Právě tento rozsudek však je dokladem toho, že osobní údaje nejsou omezeny na údaje přímo identifikující nějaký subjekt údajů ani dnes. Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů.

Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů, jako jsou např. právě internetové technologie. IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě, ne od doby vynesení rozsudku Soudního dvora EU, ale od prvního použití IP adresy v provozu. GDPR již také nemá podmínku systematičnosti zpracování osobních údajů.

4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody

Takové doporučení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků, nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování (s nimiž nelze souhlas zaměňovat), např. sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů. V obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dnes je alespoň dle textu zákona důvodem/titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji. Optické srovnání významu uznávaných právních důvodů neznamená snížení váhy souhlasu dotčeného subjektu údajů; jedním ze základních projevů toho je, že souhlas se zpracováním se skutečně uplatní jen tam, kde mohou být naplněny jeho základní znaky, totiž svobodnost a informovanost. Souhlas může subjekt údajů kdykoli odvolat.

Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení - počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů.

5. Šifrování je povinné


Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření.

Naopak, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje, se obecné nařízení výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Šifrování je uvedeno jako jedno z vhodných opatření („případně včetně /…/ šifrování osobních údajů“).  Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.


6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají; jinými slovy, správci provádějící jiná zpracování pověřence pro ochranu osobních údajů jmenovat nemusí.

7. Pověřenec musí mít osvědčení (certifikát)


Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Obecné nařízení ani nedává prostor k tomu, aby formu ověření kvalit nebo nějaké další parametry kvalifikace a osobní způsobilosti stanovily prováděcím předpisem buď Komise (EU) nebo členský stát.  Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí.

Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.


8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky

Obecné nařízení ukládá tomu, kdo jmenuje pověřence pro ochranu osobních údajů, nepříliš určitou povinnost - učinit tak na základě profesních kvalit jmenované osoby, jež dále vymezuje jako „zejména na základě [jejích] odborných znalostí práva a praxe v oblasti ochrany osobních údajů a [její] schopnosti plnit úkoly stanovené [tímto nařízením].“ Jak povinnosti spojené se jmenováním pověřence a jeho fungováním u správce nebo zpracovatele chápat, podrobněji vysvětlují mj. vodítka Pracovní skupiny podle čl. 29 směrnice 95/46/ES k funkci pověřence pro ochranu osobních údajů, zpřístupněná v originálním anglickém znění a neoficiálním českém překladu jinde na této webové stránce v aktuální verzi. Na výše zmiňovaných akcích i v médiích se požadavky na osoby připadající v úvahu jako budoucí pověřenci zdůrazňují a někdy - sice „měkce“, ale přesto - zveličují nebo zintenzivňují.  U některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat.  Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.

Výklad nároků je tak výhradním úkolem jmenujícího správce nebo zpracovatele, stejně tak jako trvalá podpora činnosti pověřence poskytováním zdrojů a prostředků nutných k výkonu jeho funkce.


9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly

Tak tomu není; tvrzení vychází z posunutí významu omezující podmínky, že správce a zpracovatel jsou povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a že není v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován.

Úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.


10. Nově hrozí správcům a zpracovatelům pokuty dle obratu


Obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Zatímco v některých členských státech včetně České republiky dozorové úřady pokuty ukládají, v jiných členských státech EU (např. Dánsko) tomu tak dosud není.  Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby.

Horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se (z trestu).

Další zprávy

30.06.2018 Právní forma bytového družstva je znovuobjevovanou cestou pro organizaci výstavby bytových domů, hlavně posledních několika málo let. Myšlenka je založena na dvou výchozích principech, zakotvených v § 727 odst. 1 zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění zákona č. 458/2016 Sb. (dále jen „ZOK“), kdy bytové družstvo může být založeno jen za účelem zajišťování bytových potřeb svých členů. Skutečnost, že bytové družstvo dále může:...
26.06.2018 V bytovém domě je občas zapotřebí vyřešit situace uživatelů, kteří neplní dohodnuté povinnosti či pravidla pro užívání vlastněných jednotek či pronajatých bytů a nebytových prostor či užívání společných částí domu. Je třeba mít na paměti, že za „potížistu“ nelze označit toho, kdo má odlišný názor, který vyjádří při společných jednáních včetně hlasování při jednání nejvyššího orgánu – shromáždění vlastníků jednotek či členské schůzi. Mezi nejčastější důvody patří: pohledávka za členem...
24.06.2018 Práva a povinnosti člena bytového družstva vychází z potřeby vyšší ochrany hlavního účelu založení bytového družstva, tedy ochrany zajištění bydlení členovi bytového družstva. Podmínkou vzniku členství v bytovém družstvu je splnění vkladové povinnosti k základnímu členskému vkladu ve výši určené stanovami. Platí, že základní členský vklad je pro všechny členy bytového družstva stejný. Stanovy mohou určit část základního členského vkladu jako vstupní vklad, přitom však musí určit lhůtu členovi...
23.06.2018 Oblast řízení členských schůzí se v případě bytových družstev principiálně příliš neliší od řízení zasedání shromáždění vlastníků jednotek ve společenstvích vlastníků jednotek. Přesto obsahuje formální i věcné odlišnosti, které je třeba mít na paměti, a naopak řadu celkem shodných prvků. Dále je třeba zvláště uvést případy, kdy na bytovém domě existují obě formy bytových korporací současně, tedy, kdy vedle sebe existují společenství vlastníků jednotek a bytové družstvo. Je třeba mít na...
22.06.2018 Hospodaření bytového družstva je právními předpisy upraveno v základním obrysech a detailnější pravidla hospodaření jsou ponechána do značné míry na vnitřních normách, především stanovách družstva. Samozřejmě platí, že bytové družstvo vede (podvojné) účetnictví po celou dobu své existence v souladu s obecnými právními předpisy, předně zákonem č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů. Odpovědnost za vedení účetnictví pak logickým výkladem spadá do kompetence...