Jaké změny v oblasti ochrany osobních údajů přináší evropské nařízení č. 2016/679 (GDPR)?
Mgr. Tomáš Vavro
12.07.2017
Přehled nejdůležitějších změn v oblasti ochrany osobních údajů, které s účinností od 25.5.2018 začínají platit ve všech zemích Evropské unie.
Co je to osobní údaj a kdy dochází ke zpracovávání osobních údajů?
Osobní údaje jsou informace, které umožňují přímou nebo nepřímou identifikaci fyzické osoby. Zatímco k tradičním osobním údajům řadíme například jméno a příjmení, rodné číslo nebo podobiznu zaznamenanou za pomoci fotoaparátu či kamerového systému, s neustálým vývojem moderních technologií do této kategorie zařazujeme také technické údaje, jakými jsou například IP adresa, soubory cookies nebo různé šifrované či lokalizační údaje.
Pokud tedy hovoříme o zpracování osobních údajů, nejčastěji k němu bude docházet v rámci:
• Vedení mzdové a personální agendy při zpracovávání údajů zaměstnanců;
• Zpracování objednávek či reklamací zákazníků;
• Evidence členů v rámci určité profesní nebo zájmové skupiny;
• Získávání emailových adres či jiných údajů pro účely marketingu;
• Provozu moderních aplikací;
• Analýzy chování zákazníků nebo návštěvníků webových stránek;
• Monitorování výrobní haly, skladu, bytového domu či veřejného prostranství kamerovým systémem.
Na základě výše uvedeného tak můžeme konstatovat, že nařízení GDPR by měl věnovat pozornost téměř každý, kdo i jen příležitostně zpracovává osobní údaje.
Nejpodstatnější změny, které podle evropského nařízení č. 2016/679 (GDPR) začínají platit od 25.5.2018
Ke změnám z oblasti ochrany osobních údajů, které lze označit za nejpodstatnější, zařazujeme především následující novinky:
• Zpřísnění pravidel pro udělení a prokázání souhlasu se zpracováním osobních údajů
V případech, kdy se ke zpracování osobních údajů vyžaduje souhlas subjektu údajů, musí být tento souhlas konkrétní, svobodný, informovaný a jednoznačný. Po novém tak souhlas subjektu údajů nemůže být součástí smluvních podmínek ve smyslu take it or leave it a nesmí být dovozován z nečinnosti (např. při používání souborů cookies). Správce údajů by měl být navíc vždy schopen prokázat, že souhlas se zpracováním osobních údajů mu byl skutečně udělen.
• Zpřísnění podmínek pro zpracovávání osobních údajů dětí do 16 let
Pokud mají být v rámci nabídky služeb informační společnosti (typicky při nakupování přes eshop) zpracovávány osobní údaje osoby mladší 16 let, a to na základě souhlasu, podle GDPR je k tomu potřebný také souhlas jejího zákonného zástupce. Jelikož ověření věku návštěvníka webové stránky je prakticky nemožné, text souhlasu se zpracováním osobních údajů by měl být doplněn o prohlášení, že pokud je subjekt údajů mladší 16 let, byl mu před poskytnutím osobních údajů udělen souhlas zákonného zástupce. Alternativním řešením je prohlášení poskytovatele služby informační společnosti, že služba není určena osobám mladším 16 let.
• Povinnost ustanovit pověřence pro ochranu osobních údajů (Data Protection Officer)
Veřejnoprávní subjekty, zpracovatelé osobních údajů zvláštní kategorie a správci, kteří systematicky, pravidelně a ve velkém rozsahu monitorují subjekty údajů, budou muset ustanovit tzv. pověřence pro ochranu osobních údajů, který bude dohlížet na zákonnost postupů při zpracování osobních údajů a plnit další úkoly ve smyslu GDPR. Tato povinnost se týká zejména těch podnikatelů, kteří při své činnosti vyhodnocují chování osob, například za účelem cílení reklamy. Pověřencem pro ochranu osobních údajů může být fyzická nebo právnická osoba na základě smlouvy o poskytování služeb nebo také vlastní zaměstnanec, který má nebo získá potřebnou kvalifikaci, např. v rámci e-CF (European Competence Framework).
• Povinnost vést záznamy o činnostech zpracování
Každý, kdo zaměstnává alespoň 250 zaměstnanců nebo zpracovává osobní údaje zvláštní kategorie, je podle GDPR povinen vést interní záznamy o činnostech zpracování osobních údajů, za které odpovídá. Součástí takové evidence musí být vymezení rozsahu a účelu zpracování osobních údajů, záznamy o předávání osobních údajů do třetích zemí, informace o lhůtách pro výmaz údajů, o přijatých bezpečnostních opatřeních a jiné.
• Povinnost nahlašovat bezpečnostní incidenty do 72 hodin
Při narušení či úniku osobních údajů je správce povinen nahlásit takový bezpečnostní incident Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od jeho zjištění. Pokud by narušení či únik osobních údajů mohl vážně ohrozit práva či svobody subjektů údajů, správce bude povinen takovýto bezpečnostní incident oznámit také subjektům údajů. Stejné povinnosti se vztahují i na osobu zpracovatele.
• Povinnost zpracovat analýzu dopadů na ochranu osobních údajů (Data Protection Impact Assessment) a povinnost požádat Úřad pro ochranu osobních údajů o konzultaci
Pokud určitý typ zpracování osobních údajů pravděpodobně povede k vysokému riziku pro práva a svobody subjektů údajů, správce je, ještě před zahájením zpracování, povinen vypracovat tzv. analýzu dopadů na ochranu osobních údajů. O rizikovém zpracování osobních údajů hovoříme zejména při systematickém monitorování veřejně přístupných prostor nebo rozsáhlém zpracovávání zvláštních kategorií údajů, jakými jsou údaje o zdravotním stavu, biometrické údaje, údaje odhalující rasový původ, politické názory, členství v odborech a jiné. Pokud se v rámci analýzy potvrdí předpoklad, že zpracování osobních údajů může být pro práva a svobody subjektů údajů rizikové, podle GDPR bude správce povinen požádat Úřad pro ochranu osobních údajů o konzultaci.
• Právo subjektu údajů být zapomenut
Podle GDPR bude mít každý subjekt údajů (za určitých podmínek) právo požadovat, aby jeho osobní údaje byly zcela vymazány z internetových vyhledávačů. Provozovatelé vyhledávačů jako jsou Google, Bing či Yahoo proto na své stránky postupně implementují speciální on-line formuláře, které subjektům údajů umožní využití toto právo v praxi.
• Právo subjektu údajů na přenos údajů
Každá fyzická osoba má podle GDPR právo na bezplatné získání a následný přenos osobních údajů od jednoho správce k jinému, například v rámci změny poskytovatele určité služby. Původní správce bude proto na žádost subjektu údajů povinen požadované osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (např. XML nebo CSV) vydat a umožnit jejich přenos k jinému správci. V prostředí internetu se tato novinka projeví implementací nových funkcionalit do webových stránek, které takový export a přenos dat umožní.
• Vyšší sankce za porušení povinností při zpracování osobních údajů
Jedním z důvodů, proč by měli podnikatelé zpozornět, je také výše pokut, které GDPR zavádí. Správci, který poruší povinnosti spojené se zpracováním osobních údajů (například tím, že ustanoví pověřence pro ochranu osobních údajů pouze „pro forma“ nebo tím, že opomene rodičovský souhlas) může být uložena pokuta až do výše 20.000.000 EUR, případně až do výše 4% z celosvětového ročního obratu.
Kdy a jak se na GDPR připravit?
Rozsah, účel a způsob zpracování osobních údajů se bude u každého podnikatele značně lišit. Zatímco někteří zpracovávají výhradně osobní údaje svých zaměstnanců, jiní zpracovávají také osobní údaje třetích osob, například zákazníků eshopu nebo podobizny návštěvníků určitých prostor zaznamenané kamerovým systémem.
Prvním krokem by proto měla být důkladná analýza vnitřních dokumentů (smlouvy, obchodní podmínky, používané formuláře) a postupů (nastavení registračního či objednávkového procesu na webové stránce) ve spolupráci s advokátem nebo jiným odborníkem na ochranu osobních údajů.
Na základě takové analýzy budou odhaleny nedostatky, jejichž odstranění může v některých případech trvat i několik měsíců. Typickým příkladem je ustanovení pověřence pro ochranu osobních údajů, který bude muset projít zdlouhavým výběrovým řízením či zaškolením, nebo úprava funkcionalit webové stránky tak, aby vyhovovaly požadavkům GDPR.
Aby byly potřebné změny implementovány řádně a včas, podnikatelé by se problematikou ochrany osobních údajů měli začít zabývat co nejdříve.