Ochrana osobních údajů dle GDPR ve vztahu k autorizovaným osobám

Dne 25. května 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů – GDPR).

Toto nařízení představuje nový právní rámec ochrany osobních údajů v evropském prostoru, který bude přímo stanovovat pravidla pro zpracování osobních údajů ve všech státech Evropské unie (a Islandu, Norku a Lichtenštejnsku). V českém právním prostředí tak GDPR nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Co GDPR přináší?

V základních bodech není GDPR na poli ochrany osobních údajů revolucí, jak by se snad podle reakcí poslední doby mohlo zdát, neboť se jedná o kontinuitu se Směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24.10.1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která jím bude zrušena.

Směrnice jako akt evropského práva stanovuje cíl, kterého musí všechny členské státy Evropské Unie dosáhnout, avšak ponechává na jednotlivých zemích, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou. U nás byla předmětná směrnice provedena výše uvedeným zákonem o ochraně osobních údajů.

Nařízení jako právní akt oproti tomu platí v celém svém rozsahu ve všech členských státech Evropské Unie (dobrovolně se jím zavázaly rovněž Island, Norsko a Lichtenštejnsko) a je přímo použitelné, k jeho provedení tedy není nutný žádný vnitrostátní zákon. V tomto ohledu tedy GDPR revolucí skutečně bude, neboť bude ve státech Evropské Unie přímo regulovat právní úpravu ochrany osobních údajů.

Český zákon o ochraně osobních údajů tedy s datem 25.05.2018 pozbyde své účinnosti a bude zcela nahrazen citovaným nařízením. Některé dílčí aspekty nutné k dotvoření celého rámce ochrany osobních údajů (např. působnost Úřadu pro ochranu osobních údajů aj.) budou upraveny na vnitrostátní úrovni zákonem o zpracování osobních údajů, jehož návrh je již v legislativním procesu.

Nejdůležitější pojmy

Je nutné znovu zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly detailněji pouze rozpracovány a zpřesněny. Obdobně jsou zachovány stejné definice klíčových pojmů jako v dosavadní právní úpravě.

Osobní údaj

Osobním údajem je i nadále každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů), přičemž identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

V praxi autorizovaných osob se bude jednat zejména o údaje o klientech a údaje o zaměstnancích/ spolupracovnících. Konkrétně se bude jednat zejména o jméno, příjmení, bydliště, datum narození, telefonický kontakt, rodná čísla, informace o tom, že někdo je vlastníkem určité nemovitosti nebo autorem určitého projektu apod. Kromě smluv a objednávek je řada osobních údajů obsažena také v dokumentaci a je tedy třeba zajistit přiměřená pravidla pro nakládání také s ní.

Subjekt údajů

Subjektem údajů je dle GDPR fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firma.cz. Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

Správce

Obdobně zůstává zachována definice správce, tedy toho, kdo zpracování osobních údajů provádí. Dle GDPR jím může být fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Z povahy věci musí být u každého zpracování správce, tzn. i autorizovaná osoba bude tímto správcem, pokud by u ní nedošlo k uplatnění výjimky, že ke zpracování osobních údajů dochází v průběhu výlučně osobních či domácích činností. V případě právnické osoby je správcem daná právnická osoba, nikoli její zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková.

Každého správce se GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na novou právní úpravu. Přístup založeny na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správce nebude muset plnit (do této kategorie budou ve velké míře spadat i autorizované osoby), zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti (subjekty, které zpracovávají osobní údaje ve velkém rozsahu – banky, telekomunikační operátoři apod.).

Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy by pak mělo být i vytipování slabých míst správce, např. v zabezpečení či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení. Důležité též je nezapomenout na osvětu zaměstnanců, aby především věděli, co se rozumí osobním údajem a byli si vědomi povinností, které musí dodržovat.

Zpracovatel

Zpracovatelem dle GDPR je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Ani tento pojem nebyl oproti dosavadní právní úpravě změněn.

Zpracovatelem je tedy subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činností, pro kterou byl zpracovatel správcem pověřen.

Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar), typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště apod.)

Správce se přizváním zpracovatele a priori nezbavuje odpovědnosti za zpracování osobních údajů, tzn. že za dodržení právní úpravy týkající se ochrany osobních údajů jsou odpovědni oba, jak správce, tak zpracovatel.

Mezi správcem a zpracovatelem musí být uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování (čl. 28 odst. 3 GDPR). Není nutné, aby se jednalo o samostatnou smlouvu, požadované náležitosti lze zakomponovat i do jiné smlouvy, kterou správce se zpracovatele uzavírá v rámci např. obchodního či jiného vztahu.

Uvedené prakticky znamená, že každá autorizovaná osoba bude muset provést kontrolu toho, kdo a za jakým účelem pro ni případně osobní údaje zpracovává a pokud tato třetí osoba bude mít charakter zpracovatele, je nutné uzavřít s ní o tom písemnou smlouvu. Pokud už tyto smlouvy se zpracovateli u autorizovaných osob existují a obsahově odpovídají požadavkům GDPR, resp. nemají s ohledem na kontext a účel zpracování výrazné nedostatky, není nutné je nově uzavírat. V opačném případě je nutné provést jejich nové sjednání, resp. aktualizaci tak, aby odpovídaly požadavkům GDPR.

Zásady zpracování osobních údajů

GDPR je postaveno na následujících zásadách:

  •  zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektům údajů transparentně a korektně (viz níže),
  •  omezení účelu – osobní údaje musí být shromážděny pro určité a legitimní účely a nesmějí být zpracovány neslučitelným způsobem s těmito účely,
  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovány,
  •  přesnost – osobní údaje musí být přesné,
  •  omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  •  integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.

Vymezení, resp. dodržování těchto zásad je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v čl. 5 odst. 2 GDPR je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad doložit.

Obecné právní důvody zpracování

Ke zpracování osobních údajů příslušné fyzické osoby musí mít správce právní důvod. Pokud správce nedisponuje řádným právním důvodem, zpracovává osobní údaje nezákonně. Osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů.

Dle GDPR lze osobní údaje subjektu údajů zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

  •  subjekt udělil souhlas pro jeden či více konkrétních účelů,
  •  zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
    zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  •  zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  •  zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Příklady dopadů GDPR na praxi autorizované osoby

Z uvedeného je zřejmé, že pokud autorizovaná osoba uzavře smlouvu s fyzickou osobou (subjektem údajů), na základě níž pro tuto osobu zpracovává dokumentaci pro vydání územního rozhodnutí či projektovou dokumentaci staveb, pak pro zpracování osobních údajů tohoto zákazníka svědčí plně právní důvod smlouvy. Tedy tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů, se souhlas se zpracováním osobních údajů nevyžaduje.

Souhlas je nutný pouze pro jiná, další zpracování, nad rámec poskytování služby – např. umístění referencí zákazníků o dílech projektanta na jeho webové stránky.

Obdobné platí i tehdy, pokud je zpracování osobních údajů nezbytné ke splnění právní povinnosti správce. Tak v případě vedení stavebního deníku a zapisování záznamů do něj v podobě jmen a příjmení osob zabezpečujících odborné provádění stavby podle § 153 stavebního zákona, jmen a příjmení osob, vykonávajících technický dozor stavebníka a autorský dozor je dán právní důvod pro zpracování uvedených osobních údajů právním předpisem (vyhláškou č. 499/2006, o dokumentaci, ve znění pozdějších předpisů).

Recitál č. 47 GDPR dále rovněž stanoví, že zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování z důvodu oprávněného zájmu správce. Jedná se o situace, kdy marketingový subjekt využije elektronické kontakty svých zákazníků, a to v souvislosti s prodejem svého zboží nebo služeb, kdy osobní údaje získal v rámci plnění smlouvy – objednávky (zasílání obchodních sdělení musí tedy přímo souviset se službou nebo zbožím, které bylo poskytnuto v rámci plnění smlouvy – objednávky).

Hodnotícím kritériem, zda může odesílatel i bez souhlasu zákazníka nebo klienta zasílat marketingová sdělení, je posouzení jednak jejich vzájemného vztahu a skutečnosti, zda tento zákazník v době, kdy poskytl své osobní údaje, mohl důvodně očekávat, že je může dodavatel zboží nebo poskytovatel služby využít i k zasílání marketingových sdělení. I pokud by tomu tak bylo, musí mít zákazník vždy možnost jednoduše (např. prostřednictvím odkazu) se bezplatně odhlásit, resp. odmítnout, další zasílání marketingových sdělení.

Problematiku zasílání marketingových sdělení lze uzavřít tím, že pokud správce osobních údajů nezískal osobní údaje subjektu údajů v rámci poskytování zboží nebo služeb, tj. od svého zákazníka, a jím zasílané marketingové sdělení nesouvisí se zbožím nebo službami, které poskytl předtím, nelze zasílat marketingová sdělení osobám, aniž by k tomu dali svůj výslovný souhlas.

Ze všech výše uvedených příkladů vyplývá, že souhlas subjektu údajů je tedy právním důvodem pro zpracování osobních údajů pouze tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.

Souhlas subjektu údajů

Dle GDPR je souhlas svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.

Subjekt údajů má právo svůj souhlas kdykoliv odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován.

GDPR dále stanoví podmínku odlišitelnosti souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí.

Obecné nařízení v recitálu č. 171 předpokládá přechod souhlasu, avšak jen s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami GDPR. Pokud tedy již udělený souhlas nevyhovuje výše uvedené podmínce odlišitelnosti či není dostatečně konkrétní, musí jej autorizovaná osoba obstarat znovu. V tomto případě musí správci provádět sběr korektně a transparentně a odůvodnit jej konkrétním účelem, pro který chtějí údaje zpracovat.

Povinnosti správce

Jak již bylo výše uvedeno, každý správce je povinen dodržovat zásady zpracování osobních údajů a respektovat práva subjektu údajů – splnit informační povinnost při získání osobních údajů, umožnit subjektu údajů přístup k osobním údajům na základě jeho žádosti (je nutné, aby se v ní subjekt údajů jednoznačně identifikoval) a dále umožnit subjektu údajů výkon práv v rozsahu čl. 15 – 21 GDPR, tedy zejména právo na opravu, výmaz, omezení zpracování, na přenositelnost údajů a právo vznést námitku.

Jak musí správce zabezpečit osobní údaje?

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR. Technickými opatřeními jsou např. uzamčené prostory, kanceláře, skříně, zabezpečení IT – pravidelné zálohování, antivirová ochrana, přístup až po autentizaci, šifrování. Organizačními pak dodržování interních směrnic, nastavených procesů, omezení okruhu osob s přístupem k osobním údajům. Každý správce tak bude muset přijmout adekvátní bezpečností opatření, přičemž tyto si mohou správce od správce lišit právě s ohledem na povahu, rozsah a účely zpracování. Žádné z těchto opatření není stanoveno jako povinnost, GDPR skutečně hovoří pouze o tom, že každý správce musí přijmout vhodná bezpečnostní opatření. Záleží tedy na každé autorizované osobě, jaké opatření bude považovat za vhodné a dostatečné k zabezpečení osobních údajů, které se u ní vyskytují.

Nové povinnosti

GDPR přináší pro správce i některé zcela nové povinnosti – vést záznamy o činnostech zpracování, jmenovat pověřence pro ochranu osobních údajů, zpracovat posouzení vlivu na ochranu osobních údajů či povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů, ale ty budou aplikovány pouze tehdy, pokud zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzických osob.

Pověřence pro ochranu osobních údajů, tedy osobu, která monitoruje soulad zpracování osobních údajů s GDPR, poskytuje v této oblasti informace a poradenství, musí jmenovat správce a zpracovatel pokud:

  •  zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí,
  •  hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektu údajů,
  •  hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

Jak vidno, povinnost jmenovat pověřence se netýká všech správců nebo zpracovatelů. Tato nová povinnost na autorizované osoby dopadat nebude, neboť z jejich strany je prováděno zpracování osobních údajů, které má charakter pouze pomocné, podpůrné činnosti ve vztahu k jejich činnosti hlavní, kterou je výkon profese autorizované osoby.

Posouzení vlivu na ochranu osobních údajů musí dle GDPR provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob (např. pokud jsou zpracovávány informace o zdravotním stavu fyzických osob). Ani tato povinnost nebude ve velké míře na autorizované osoby vůbec dopadat.

Povinnost vést záznamy o činnostech zpracování nedoléhá na správce nebo zpracovatele, který zaměstnává méně než 250 osob, ledaže zpracování, pravděpodobně představuje riziko pro práva a svobody subjektu údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech (povinnost tedy neplatí pro malé a střední podniky do 250 zaměstnanců provádějící příležitostné zpracování necitlivých osobních údajů s nízkým rizikem). S ohledem na praktičnost záznamů o činnostech zpracování lze jejich vyhotovení doporučit i organizacím, u nichž není zcela zřejmé, že s ohledem na jejich činnost dojde k aplikaci výjimky z této povinnosti. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 GDPR.

Závěr

Lze tak shrnout, že pokud při činnosti určitého subjektu dochází k běžné práci s osobními údaji nezbytnými např. k provedení služby, která nemá charakter rozsáhlého či rizikového zpracování, je nezbytné zejména dodržovat zásady zpracování osobních údajů. Nutné je především sledovat právní důvod zpracování a legitimní účel, pro který byly osobní údaje shromážděny (např. uzavření smlouvy a s tím spojené poskytnutí služby) a osobní údaje adekvátně zabezpečit.

___

Pokračování tohoto tématu bude uveřejněno v dalším čísle Z+i, kde se zaměříme na praktické příklady a otázky, co autorizované osoby nejvíc zajímá, trápí, s čím se v této oblasti nejčastěji potýkají. 

JUDr. Eva Kuzmová, právník specializující se na problematiku ochrany osobních údajů, 2004-2018 působila na Krajském úřadě Jihomoravského kraje, odboru územního plánování a stavebního řádu