1001
Ochrana osobních údajů a GDPR
Mgr. Mgr. Radana Burešová, JUDr. Milan Vaňkát
NahoruOchrana osobních údajů
Dne 25. 5. 2018 nabylo účinnosti nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jako "GDPR").
Toto nařízení zrušilo směrnici 95/46/ES, která ochranu osobních údajů upravovala předtím. Zásadní rozdíl je v tom, že původní právní úprava vycházela ze směrnice, kterou jednotlivé členské státy musely provést svými právními předpisy, takže se právní úprava v jednotlivých státech mírně lišila. Naproti tomu nařízení působí přímo a jednotně ve všech členských státech a není třeba ho provádět, resp. vlastními předpisy lze upravit pouze to, co nařízení výslovně umožňuje. To je i případ českého zákona č. 110/2019 Sb., o zpracování osobních údajů, který upravuje spíše záležitosti týkající se činnosti orgánů veřejné moci.
Účelem této lekce je poskytnout základní informace k ochraně osobních údajů a s tím souvisejících problémů, a to především z pohledu GDPR. Budeme se tedy zabývat základními pojmy, otázkou postavení správce a zpracovatele osobních údajů a v neposlední řadě i problematice obchodních sdělení.
NahoruVymezení základních pojmů
Ačkoli GDPR bylo prezentováno jako průlomové nařízení EU v rámci ochrany osobních údajů, je třeba uvést, že základní pojmy a povinnosti se zásadně neliší od předchozí právní úpravy.
Osobní údaj
Osobním údajem se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Taková osoba je subjektem údajů. Osobními údaji jsou tak mimo jiné jméno, příjmení, datum narození, místo pobytu, e-mailová adresa, IP adresa a další údaje, které provozovatel e-shopu (podnikatel prodávající zboží prostřednictvím internetového obchodu) zjišťuje od spotřebitele, aby mohl splnit své povinnosti z kupní smlouvy uzavírané distančním způsobem, tedy dodat spotřebiteli objednané zboží.
Zvláštní kategorií osobních údajů se rozumí takové údaje, které jsou vymezeny v čl. 9 GDPR a vypovídají mj. o rasové či etnické příslušnosti, filosofickém či náboženském přesvědčení, nebo též o stavu či sexuální orientaci. Zpracování takových osobních údajů je možné pouze, je-li naplněn právní titul pro takové zpracování, tedy pokud je dán některý z důvodů zpracování uvedených v čl. 9 odst. 2 GDPR (například zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů, či zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí atd.).
Zpracování osobních údajů
Zpracováním osobních údajů se rozumí operace či soubor operací s osobními údaji, které jsou prováděny automatizovaně či neautomatizovaně. Příkladem zpracování osobních údajů je jejich zaznamenání, uložení, utřídění, rozdělení, ale též výmaz či zničení. Jakmile podnikatel provádí takovéto operace, stává se správcem osobních údajů, a jako takový má další práva a povinnosti.
Správce a zpracovatel osobních údajů
Správcem osobních údajů je fyzická či právnická osoba, která určuje účel a prostředky zpracování osobních údajů. Zpracovatelem osobních údajů je fyzická či právnická osoba, která zpracovává osobní údaje pro správce. Zpracovatel může provádět zpracování pro správce pouze na základě písemné smlouvy o zpracování osobních údajů (a naopak, správce může zpracovateli zpracování osobních údajů svěřit pouze na základě uzavřené smlouvy). V této smlouvě musí být stanoven zejména předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a rovněž práva a povinnosti správce. Přesný výčet povinných náležitostí této smlouvy je uveden především v čl. 28 odst. 3 GDPR. Uvedená smlouva může, ale nemusí mít podobu samostatné smlouvy; může být rovněž zahrnuta ve smlouvě o činnosti, v jejímž rámci dochází ke zpracování osobních údajů (např. ve smlouvě o účetních službách).
Je však třeba zdůraznit, že ani přenecháním zpracování zpracovateli se správce nezprošťuje odpovědnosti. Naopak odpovědnost správce trvá, neboť součástí jeho povinností v případě zpracování osobních údajů zpracovatelem je také to, že jako zpracovatele určí vhodnou osobu, která bude dodržovat veškeré podmínky, které jsou stanoveny jak GDPR, tak nad jeho rámec správcem osobních údajů. Proto je třeba, aby správce osobních údajů věnoval výběru zpracovatele dostatečnou péči.
Zpracovatel také musí dodržovat podmínky stanovené GDPR pro bezpečné zpracování osobních údajů, a pakliže chce pro zpracování využít dalšího zpracovatele (tzv. řetězení zpracovatelů), musí být tento krok písemně schválen správcem a další zpracovatel musí plnit podmínky dle čl. 28 odst. 4 GDPR. Obecně se k pojmu zpracovatel vztahuje článek 28 GDPR, který uvádí další podrobnosti a povinnosti zpracovatele.
Právní důvod zpracování
Základní zásady zpracování osobních údajů jsou uvedeny v článku 5 GDPR. Patří mezi ně zejména zásada účelového omezení, podle níž mají být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; zpracovávané údaje přitom musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (zásada minimalizace údajů).
Legitimní důvody zpracování osobních údajů jsou uvedeny zejména v článku 6 GDPR. Pro podnikatele přicházejí v úvahu především tyto:
1. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy (např. zpracování osobních údajů nutných pro zaslání zboží zakoupeného v e-shopu);
2. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (např. zpracování osobních údajů související s plněním povinností vůči daňové správě, ČSSZ a zdravotním pojišťovnám);
3. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (např. soudní vymáhání nároků).
4. souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.
Souhlas se zpracováním osobních údajů
Souhlasem se rozumí projev vůle subjektu údajů, který je svobodný, konkrétní, informovaný a jednoznačný. Na základě uděleného souhlasu je správce oprávněn zpracovávat osobní údaje subjektu údajů. Souhlas může být dán písemně, elektronicky či ústně. Musí se však jednat o projev vůle subjektu údajů, a proto není možné, aby při elektronickém udělení souhlasu bylo zaškrtávací políčko předvyplněno. V takovém případě by nešlo o svobodné vyjádření vůle.
Správce údajů musí vždy být schopen souhlas subjektu údajů doložit. Z uvedeného důvodu nelze doporučit, aby byl souhlas přijímán správcem pouze ústně, ačkoli to GDPR umožňuje. Souhlas nesmí být vázán na poskytnutí zboží či služby, neboť by opět nešlo o svobodně vyjádřenou vůli. Jestliže je souhlas udělován písemným prohlášením, které se týká i jiných skutečností, musí být od těchto skutečností jasně oddělen.
Problematika souhlasu je poměrně komplikovaná, a to zejména co se týče dvou skupin subjektů údajů.
První takovouto "problematickou" skupinou jsou zaměstnanci. Dovozuje se, že vzhledem k určité závislosti zaměstnanců na zaměstnavateli lze souhlas se zpracováním osobních údajů udělený zaměstnancem v pracovněprávních vztazích považovat za svobodný, a tedy platný, pouze v naprosto výjimečných případech, které de facto nesouvisejí s výkonem práce.
Druhou skupinou, která z hlediska souhlasu vyžaduje zvláštní pozornost, jsou nezletilí (děti). Podle občanského zákoníku platí domněnka, že nezletilý je způsobilý k právním jednáním co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jeho věku. Toto pravidlo…
