10 nejčastějších omylů o GDPR
- Datum: 15.06.2017
Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).
Takové doporučení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků, nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování (s nimiž nelze souhlas zaměňovat), např. sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů.
Den, kdy nabude účinnosti nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), se neúprosně blíží.
Připravují se na něj správci i zpracovatelé osobních údajů, po celé republice se pořádají nejrůznější odborné konference, sdělovací prostředky téma GDPR stále častěji zmiňují.
Podobným tempem, jakým narůstá zájem o GDPR, se však podle zkušeností Úřadu objevují nepřesnosti či zavádějící až mylné informace, týkající se obecného nařízení o ochraně osobních údajů.
Na základě zkušeností pracovníků Úřadu z odborných akcí a zjištění z veřejně dostupných zdrojů byl sestaven tento přehled opakovaně se vyskytujících nepravd a nepřesností.
Pořadí bodů vychází ze systematiky obecného nařízení o ochraně osobních údajů (dále v tomto textu také „obecné nařízení“) a nevypovídá o jejich závažnosti.
1. Odkazování na obecné nařízení jako na směrnici
Ačkoli někdy je nepřesné označení neškodné, nelze však rezignovat na uvádění správné formy právního předpisu, který bude nově upravovat právní rámec ochrany osobních údajů.
Základním důvodem pro korektní označování nového právního předpisu pro ochranu osobních údajů, který k 25. květnu 2018 v převážné části hmotné úpravy nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále zde jen „zákon o ochraně osobních údajů“), je působnost evropských předpisů daná v podstatném právě již druhovým označením předpisu.
Obecně platí - byť s dílčími odchylkami - že nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné a naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.
Obecné nařízení je ale příkladem nařízení, které současně poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně přesnějšího určení některých podmínek.
Odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být nevhodně zavádějící i proto, že současně s ním byla přijata opravdu také směrnice o ochraně osobních údajů, a to směrnice Evropského parlamentu a Rady EU 2016/680 ze dne 27.dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, zkráceně neoficiálně nazývaná trestněprávní směrnice o ochraně osobních údajů.
Odlišnost je ve věcné působnosti obou předpisů, jež souhrnně vytvářejí nový rámec ochrany osobních údajů v Evropské unii; působnost směrnice 2016/680 zahrnuje zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců
Označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy a oficiálního projednávání, jež započalo v roce 2012 a skončilo v roce 2016. Silné výrazy upoutávaly pozornost a do určité míry zpřehledňovaly objemný text.
Po skončení vyjednávání je na místě zůstat v mezích přijaté úpravy a používat přiměřené hodnotící výrazy, a to i tam, kde původní cíle byly ambicióznější.
Skutečnost je taková, že jedním ze základních znaků ochrany osobních údajů podle obecného nařízení je kontinuita - nařízení navazuje ve sledovaných cílech a obsahových zásadách zpracování a ochrany osobních údajů na směrnici 95/46/ES a sleduje překonání stávající roztříštěnosti v provádění ochrany osobních údajů v Unii soudržným a jednotným uplatňováním pravidel ochrany osobních údajů.
Z jednoduchého porovnání obsahu obecného nařízení a směrnice 95/46/ES je zřejmé, že jsou používány stejné definice klíčových pojmů (osobní údaj, subjekt údajů, zpracování - čl. 2 směrnice 95/46/ES a čl. 4 obecného nařízení) a obdobně formulované, obsahově velmi blízké, zásady zpracování (čl. 5 a 6 obecného nařízení a čl. 6 a 7 směrnice 95/46/ES).
Pravidla pro ty, kdo osobní údaje zpracovávají, tedy správce a zpracovatele, jsou podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a zákoně o ochraně osobních údajů.
Správcům jsou ukládány některé nové povinnosti - ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů (vizte korigované tvrzení č. 5 níže).
Oproti současné obecné formulaci povinností při zabezpečení zpracování v § 13 zákona o ochraně osobních údajů jsou v obecném nařízení akcentovány „technické prostředky“ a jmenovitě určené technologie - pseudonymizace a šifrování, obnova dostupnosti, pravidelné testování a hodnocení účinnosti zavedených opatření.
Podstatné je i to, že ve všech povinnostech správců a zpracovatelů se promítají konstrukční zásady záměrné a standardní ochrany a přístupu založeného na riziku, které se uplatňují rovněž současně - např. v povinnosti posuzovat vliv jednotlivých zpracování na ochranu osobních údajů.
Také práva těch, jejichž osobní údaje musí být chráněny, tedy subjektu údajů podle směrnice 95/46/ES jsou zachována a nově upravena podrobněji, s tím, že jedinou skutečnou novinkou je právo na přenositelnost údajů podle čl. 20 obecného nařízení.
Jako novinka v právech subjektu údajů je ovšem v současné době v České republice prezentováno právo na výmaz podle článku 17 obecného nařízení, často pod alternativním názvem „právo být zapomenut“.
Novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v zákoně o ochraně osobních údajů od jeho schválení v roce 2000. Svého práva podle § 21 odst. 1 a 2 subjekty údajů v České republice běžně využívají.
3. Rozšiřuje se definice osobního údaje
Nejčastěji se toto tvrzení objevuje v podobě, že osobními údaji dosud jsou pouze údaje identifikační, popř. přímo identifikující subjekt údajů.
Někdy se změna dokládá na rozsudku Soudního dvora Evropské unie, v němž Soudní dvůr konstatoval, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES. Právě tento rozsudek však je dokladem toho, že osobní údaje nejsou omezeny na údaje přímo identifikující nějaký subjekt údajů ani dnes.
Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů.
Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů, jako jsou např. právě internetové technologie.
IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě, ne od doby vynesení rozsudku Soudního dvora EU, ale od prvního použití IP adresy v provozu. GDPR již také nemá podmínku systematičnosti zpracování osobních údajů.
4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody
V obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání.
Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dnes je alespoň dle textu zákona důvodem/titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji.
Optické srovnání významu uznávaných právních důvodů neznamená snížení váhy souhlasu dotčeného subjektu údajů; jedním ze základních projevů toho je, že souhlas se zpracováním se skutečně uplatní jen tam, kde mohou být naplněny jeho základní znaky, totiž svobodnost a informovanost. Souhlas může subjekt údajů kdykoli odvolat.
Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení - počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů.
5. Šifrování je povinné
Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Naopak, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje, se obecné nařízení výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese.
Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování.
Šifrování je uvedeno jako jedno z vhodných opatření („případně včetně /…/ šifrování osobních údajů“).
Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.
6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů
Pověřenec pro ochranu osobních údajů je jedním ze nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou:
- zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají; jinými slovy, správci provádějící jiná zpracování pověřence pro ochranu osobních údajů jmenovat nemusí.
7. Pověřenec musí mít osvědčení (certifikát)
Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením.
Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Obecné nařízení ani nedává prostor k tomu, aby formu ověření kvalit nebo nějaké další parametry kvalifikace a osobní způsobilosti stanovily prováděcím předpisem buď Komise (EU) nebo členský stát.
Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí.
Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.
Pozn. TAYLLORCOX: EU založila projekt e-Competence Framework pro vzájemné profesní uznávání kvalifikací mezi jednotlivými zeměmi a i zde je nalezneme schema požadavků daných GDPR pro výkon role DPO. Mezi nejznámější organizce s profesními certifikáty je americká IAPP a evropský institut EXIN, u kterého je TAYLLORCOX mj. akreditován.
8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky
Obecné nařízení ukládá tomu, kdo jmenuje pověřence pro ochranu osobních údajů, nepříliš určitou povinnost - učinit tak na základě profesních kvalit jmenované osoby, jež dále vymezuje jako „zejména na základě odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly stanovené tímto nařízením.“
Jak povinnosti spojené se jmenováním pověřence a jeho fungováním u správce nebo zpracovatele chápat, podrobněji vysvětlují mj. vodítka Pracovní skupiny podle čl. 29 směrnice 95/46/ES k funkci pověřence pro ochranu osobních údajů, zpřístupněná v originálním anglickém znění a neoficiálním českém překladu jinde na této webové stránce v aktuální verzi.
Na výše zmiňovaných akcích i v médiích se požadavky na osoby připadající v úvahu jako budoucí pověřenci zdůrazňují a někdy - sice „měkce“, ale přesto - zveličují nebo zintenzivňují.
U některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat.
Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.
Výklad nároků je tak výhradním úkolem jmenujícího správce nebo zpracovatele, stejně tak jako trvalá podpora činnosti pověřence poskytováním zdrojů a prostředků nutných k výkonu jeho funkce.
9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly
Tak tomu není; tvrzení vychází z posunutí významu omezující podmínky, že správce a zpracovatel jsou povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a že není v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován.
Úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.
10. Nově hrozí správcům a zpracovatelům pokuty dle obratu
Obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem.
Zatímco v některých členských státech včetně České republiky dozorové úřady pokuty ukládají, v jiných členských státech EU (např. Dánsko) tomu tak dosud není.
Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby.
Horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující.
Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se (z trestu).