5.3.2018 Zajímáte se aktivně o aplikaci GDPR v Česku? Návrhy zákonů zavádějící evropské nařízení o ochraně osobních údajů jsou již k dispozici. 28. března 2018 předložila Vláda ČR Poslanecké sněmovně návrh nového zákona o zpracování osobních údajů i návrh změn v souvisejících platných zákonech, a to jako sněmovní tisk č. 138 a č. 139. Sněmovna by mohla s návrhem vyslovit souhlas již v prvém čtení, které je plánováno od 10. dubna. Již nyní však byly předložen k návrhu zákona poslanecký pozměňovací návrh.
Vládní návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů má ca. 540 stran vč. důvodové zprávy (viz zde) a vládní návrh zákona o zpracování osobních údajů ca. 160 stran (viz. zde).
Důvodová zpráva může být jak pro podnikatele tak i pro odborníky dobrým vodítkem pro další aplikaci pravidel pro ochranu osobních údajů po 25. květnu 2018. Obsahuje mimo jiné i následující ilustrativní přehled možných dopadů na malou, střední nebo velkou firmu:
| Malá firma provádějící podpůrné zpracování | Malá firma provádějící podstatné zpracování | Velká firma provádějící podpůrné zpracování | Velká firma provádějící podstatné zpracování | |
| Příklad | Cukrářství, truhlářství, | Menší e-shop, samostatný lékař, advokát | Stavební firma, výrobce motocyklů | Telekomunikační operátor, nemocnice, banka |
| Pověřenec | Nemusí | Samostatný lékař nebo advokát nemusí (malý rozsah), e-shop podle rozsahu dat | Nemusí | Musí |
| Posouzení vlivu | Nemusí, pokud nejde o inovativní zpracování | Někdy (vzhledem k rozsahu, inovativnosti) | Někdy (vzhledem k rozsahu) | Musí |
| Záznamy o činnostech zpracování | Nemusí (pokud nezpracovává citlivé údaje) | Někdy (rozsah, citlivé údaje) | Musí | Musí |
Podnikatelé by sice neměli GDPR podceňovat, ale na druhou stranu by také neměli podléhat panice. Samotný Úřad pro ochranu osobních údajů uveřejnil na svých stránkách na základě zkušeností vlastních pracovníků a zjištění z veřejně dostupných zdrojů přehled opakovaně se vyskytujících nepravd a nepřesností (viz Desatero omylů: GDPR). Také představenstvo České advokátní komory varovalo advokáty před nesprávnou aplikací a předčasným výkladem některých nejasných ustanovení, které by mohly vést ke vzniku zbytečných nákladů a škod na straně klientů.
Text českého zákona o zpracování osobních údajů a o změnách souvisejících zákonů sice není definitivní, ale zásadní úpravy s ohledem na časovou tíseň asi nebudou přijaty. Do značné míry se tedy lze spolehnout, že předložený text bude odpovídat finálnímu znění budoucích právních předpisů upravujících podmínky zpracování osobních údajů v českém právním řádu.
Obecně k GDPR
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation - GDPR) vychází ze snahy unijních orgánů posílit a sjednotit ochranu osobních údajů všech jednotlivců v rámci EU. V České republice bude toto nařízení reflektováno tak, že v polovině roku 2018 bude s největší pravděpodobností přijat v Česku nový zákon o ochraně osobních údajů, který zruší stávající zákon č. 101/2000 Sb. a který upřesní některé povinnosti a práva vyplývající z GDPR.
I kdyby k přijetí nového zákona nedošlo, je nutné si uvědomit, že obecné nařízení EU je přímo použitelné ve všech státech Evropské unie a to bez nutnosti další implementace do národní legislativy. Zákon č. 101/2000 Sb. o ochraně osobních údajů nutně reflektoval směrnici 95/46/ES, která dosud upravovala ochranu osobních údajů na evropské úrovni. Porovnáním původní směrnice a nového nařízení zjistíme, že oba předpisy užívají stejné definice klíčových pojmů, a rovněž vycházejí z velmi podobného uchopení zásad zpracování osobních údajů.
Jediný bod, ve kterém je původní směrnice velmi stručná, a který nové obecné nařízení výrazněji rozšiřuje, jsou povinnosti osob, které osobní údaje zpracovávají, tedy správci a zpracovatelé. Obecné povinnosti přitom prakticky zůstávají nadále principiálně stejné, i když jsou nyní formulovány obecně a nikoli podrobněji, jak tomu bude v GDPR. Správcům jsou ukládány některé nové povinnosti - ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů.
Rozšíření definice osobního údaje
Dosavadní úprava podle zákona č. 101/2000 Sb. definuje osobní údaj v §4 písm. a) násLedovně:
a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Obecné nařízení (GDPR) definuje pojem „osobní údaj" v článku 4 odst. 1) následovně:
1) „osobními údaji" jsou veškeré informace o identifikované nebo identifikovatelné osobě (dále jen „subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby,
V minulosti mohla být IP adresa, soubory cookies, e-mailová adresa, či jiné technické parametry vykládány jako součást osobních údajů jen podle judikatury SDEU. Nové jsou specifikovány přímo, ovšem platí soudní výklad, že kategorii osobních údajů nelze nikde uvádět jako taxativní výčet.
Pověřenec pro kontrolu osobních údajů
Správce je povinen jmenovat pověřence pro kontrolu osobních údajů, ovšem pouze za splnění jedné ze tří podmínek:
(i) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí
(ii) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
(iii) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají.
Osvědčení/certifikát pověřence spočívá pouze ve zvolení osoby se zkušeností a praxí v oblasti práce s osobními údaji, žádná specifická forma osvědčení, případně externí certifikát, požadován není.
Právo na výmaz a být zapomenut
Právo na výmaz je novým institutem, který ukládá správci povinnost vymazat bez zbytečného odkladu osobní údaje. Dle našeho názoru ale není absolutním právem, jelikož je možné ho uplatnit pouze za předpokladu, že osobní údaje nejsou již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu. Zaměstnavatel rovněž není povinen vymazat údaje o bývalých zaměstnancích, a to do doby, dokud má možnost se např. efektivně bránit v případném sporu se zaměstnancem, i po končení pracovního poměru.
Oznamovací povinnost pro správce
V současné době platí obecná oznamovací povinnost, kdy je subjekt odpovědný za zpracování osobních údajů povinen nahlásit takovou skutečnost dozorovému orgánu, oznámení musí učinit dříve, než započne se samotnou realizací zpracovávání osobních údajů. Směrnice stanovuje minimální rozsah informací, které musí oznámení obsahovat.
Obecná oznamovací povinnost bude novou právní úpravou zrušena a nahrazena instituty:
(i) posouzení dopadu na ochranu osobních údajů: správce by měl provést před zahájením samotného zpracování, vyhodnotit rizika z hlediska práv a svobod subjektů.
(ii) předběžné konzultace: pokud z posouzení vyplyne, že zpracování je vysoce rizikové, a nelze ho zmírnit přiměřenými prostředky, je povinen zpracování konzultovat s orgánem dozoru.
(iii) povinnost vést záznamy o zpracování osobních údajů: správce musí vést dokumentaci, jejíž penzum informací je identické s tím, co podle dosavadní úpravy musí správce sdělovat dozorovému orgánu; nařízení počítá s výjimkou pro podniky s méně než 250 zaměstnanci, ale pouze pokud zpracování není rizikové.
(iv) povinnost ohlašovat případy narušení bezpečnosti (tzv. data breaches): dosud se tento institut týkal pouze oblasti elektronických komunikací, podle nového nařízení platí tato povinnost pro každého správce, a to do 72 hodin od doby, kdy se o narušení dozví, výjimka se připouští jen u drobných bezpečnostních incidentů, které svou povahou nejsou schopny ohrozit práva a svobody jednotlivce.
Z našeho pohledu se fakticky příliš nemění, zrušení obecné oznamovací povinnosti nahrazují instituty, které jsou jí ve výsledku velice blízké.
Přenositelnost údajů a přístup k nim
Obecné nařízení stanoví dvě podmínky, které musí být naplněny současně, aby měla osoba na toto právo nárok, a to, že údaje byly poskytnuty na základě souhlasu, nebo na základě smlouvy, a zároveň že jejich zpracování probíhá automatizovaně. Při splnění těchto podmínek má osoba právo na získání svých údajů v běžně používaném, strojově čitelném formátu, a v této podobě má možnost předat údaje o sobě jinému správci. Osoba by měla mít právo na přístup k údajům, které jsou o ní shromažďovány, a to přímo a nejlépe online.
Vysoké pokuty dle obratu
Obecné nařízení stanovuje jen to, že za jakékoliv jeho porušení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. V České republice dozorové úřady pokuty ukládají. Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč. Reálně pokuty této výše nedosahují, nejvyšší dosud uložená pokuta nedosáhla ani polovinu sazby. Samotné nařízení užívá za vzor předpisy na ochranu hospodářské soutěže a stanovuje pokuty v maximální výši 20 000 000 EUR, nebo 4 % z celkového ročního obratu společnosti, přičemž se užije vyšší částka.
V preambuli předmětného obecného nařízení je ovšem uvedeno, že pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovené výše pokut i podmínek pro určení odpovědnosti i vyvinění se. Obdobně jako v případě porušení pravidel hospodářské soutěže, kdy jsou také nastaveny poměrně vysoké sankce, je udělení vysokých sankcí pravděpodobné pouze v případě zásadních porušení velkých firem, které nakládají s velkým množstvím osobních údajů jako Facebook, Google, Apple atd., u kterých byly dosavadní výše pokut zanedbatelné.
Řada mechanismů, které nové obecné nařízení představuje, je našemu právu již známá, dle našeho názoru proto nepřináší žádné radikální změny při praktickém nakládání s osobními údaji. Maximální výše pokut je stanovena spíše jako varování, dle našeho názoru by bylo v každém jednotlivém případě posuzováno mnoho faktorů, a pravděpodobně by konečnou pokutou byl pouhý zlomek maximální možné částky.
Pro více informací nás kontaktujte:
ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz
O ECOVIS ježek, advokátní kancelář s.r.o.:
Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.
Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.
