dnes je 25.9.2022

Input:

Ochrana osobních údajů a GDPR

2.5.2021, , Zdroj: Verlag Dashöfer

1.10
Ochrana osobních údajů a GDPR

Mgr. Mgr. Radana Burešová, Mgr. Milan Vaňkát

Ochrana osobních údajů

Dne 25. 5. 2018 nabylo účinnosti nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jako „GDPR”).

Toto nařízení zrušilo směrnici 95/46/ES, která ochranu osobních údajů upravovala předtím. Zásadní rozdíl je v tom, že původní právní úprava vycházela ze směrnice, kterou jednotlivé členské státy musely provést svými právními předpisy, takže se právní úprava v jednotlivých státech mírně lišila. Naproti tomu nařízení působí přímo a jednotně ve všech členských státech a není třeba ho provádět, resp. vlastními předpisy lze upravit pouze to, co nařízení výslovně umožňuje. To je i případ českého zákona č. 110/2019 Sb., o zpracování osobních údajů, který upravuje spíše záležitosti týkající se činnosti orgánů veřejné moci.

Účelem této lekce je poskytnout základní informace k ochraně osobních údajů a s tím souvisejících problémů, a to především z pohledu GDPR. Budeme se tedy zabývat základními pojmy, otázkou postavení správce a zpracovatele osobních údajů a v neposlední řadě i problematice obchodních sdělení.

Vymezení základních pojmů

Ačkoli GDPR bylo prezentováno jako průlomové nařízení EU v rámci ochrany osobních údajů, je třeba uvést, že základní pojmy a povinnosti se zásadně neliší od předchozí právní úpravy.

Osobní údaj

Osobním údajem se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Taková osoba je subjektem údajů. Osobními údaji jsou tak mimo jiné jméno, příjmení, datum narození, místo pobytu, e-mailová adresa, IP adresa a další údaje, které provozovatel e-shopu (podnikatel prodávající zboží prostřednictvím internetového obchodu) zjišťuje od spotřebitele, aby mohl splnit své povinnosti z kupní smlouvy uzavírané distančním způsobem, tedy dodat spotřebiteli objednané zboží.

Zvláštní kategorií osobních údajů se rozumí takové údaje, které jsou vymezeny v čl. 9 GDPR a vypovídají mj. o rasové či etnické příslušnosti, filosofickém či náboženském přesvědčení, nebo též o stavu či sexuální orientaci. Zpracování takových osobních údajů je možné pouze, je-li naplněn právní titul pro takové zpracování, tedy pokud je dán některý z důvodů zpracování uvedených v čl.  9 odst. 2 GDPR (například zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů, či zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí atd.).

Zpracování osobních údajů

Zpracováním osobních údajů se rozumí operace či soubor operací s osobními údaji, které jsou prováděny automatizovaně či neautomatizovaně. Příkladem zpracování osobních údajů je jejich zaznamenání, uložení, utřídění, rozdělení, ale též výmaz či zničení. Jakmile podnikatel provádí takovéto operace, stává se správcem osobních údajů, a jako takový má další práva a povinnosti.

Správce a zpracovatel osobních údajů

Správcem osobních údajů je fyzická či právnická osoba, která určuje účel a prostředky zpracování osobních údajů. Zpracovatelem osobních údajů je fyzická či právnická osoba, která zpracovává osobní údaje pro správce. Zpracovatel může provádět zpracování pro správce pouze na základě písemné smlouvy o zpracování osobních údajů (a naopak, správce může zpracovateli zpracování osobních údajů svěřit pouze na základě uzavřené smlouvy). V této smlouvě musí být stanoven zejména předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a rovněž práva a povinnosti správce. Přesný výčet povinných náležitostí této smlouvy je uveden především v čl. 28 odst. 3 GDPR. Uvedená smlouva může, ale nemusí mít podobu samostatné smlouvy; může být rovněž zahrnuta ve smlouvě o činnosti, v jejímž rámci dochází ke zpracování osobních údajů (např. ve smlouvě o účetních službách).

Je však třeba zdůraznit, že ani přenecháním zpracování zpracovateli se správce nezprošťuje odpovědnosti. Naopak odpovědnost správce trvá, neboť součástí jeho povinností v případě zpracování osobních údajů zpracovatelem je také to, že jako zpracovatele určí vhodnou osobu, která bude dodržovat veškeré podmínky, které jsou stanoveny jak GDPR, tak nad jeho rámec správcem osobních údajů. Proto je třeba, aby správce osobních údajů věnoval výběru zpracovatele dostatečnou péči.

Zpracovatel také musí dodržovat podmínky stanovené GDPR pro bezpečné zpracování osobních údajů, a pakliže chce pro zpracování využít dalšího zpracovatele (tzv. řetězení zpracovatelů), musí být tento krok písemně schválen správcem a další zpracovatel musí plnit podmínky dle čl. 28 odst. 4 GDPR. Obecně se k pojmu zpracovatel vztahuje článek 28 GDPR, který uvádí další podrobnosti a povinnosti zpracovatele.

Právní důvod zpracování

Základní zásady zpracování osobních údajů jsou uvedeny v článku 5 GDPR. Patří mezi ně zejména zásada účelového omezení, podle níž mají být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; zpracovávané údaje přitom musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (zásada minimalizace údajů).

Legitimní důvody zpracování osobních údajů jsou uvedeny zejména v článku 6 GDPR. Pro podnikatele přicházejí v úvahu především tyto:

1. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy (např. zpracování osobních údajů nutných pro zaslání zboží zakoupeného v e-shopu);

2. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (např. zpracování osobních údajů související s plněním povinností vůči daňové správě, ČSSZ a zdravotním pojišťovnám);

3. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (např. soudní vymáhání nároků).

4. souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.

Souhlas se zpracováním osobních údajů

Souhlasem se rozumí projev vůle subjektu údajů, který je svobodný, konkrétní, informovaný a jednoznačný. Na základě uděleného souhlasu je správce oprávněn zpracovávat osobní údaje subjektu údajů. Souhlas může být dán písemně, elektronicky či ústně. Musí se však jednat o projev vůle subjektu údajů, a proto není možné, aby při elektronickém udělení souhlasu bylo zaškrtávací políčko předvyplněno. V takovém případě by nešlo o svobodné vyjádření vůle.

Správce údajů musí vždy být schopen souhlas subjektu údajů doložit. Z uvedeného důvodu nelze doporučit, aby byl souhlas přijímán správcem pouze ústně, ačkoli to GDPR umožňuje. Souhlas nesmí být vázán na poskytnutí zboží či služby, neboť by opět nešlo o svobodně vyjádřenou vůli. Jestliže je souhlas udělován písemným prohlášením, které se týká i jiných skutečností, musí být od těchto skutečností jasně oddělen.

Problematika souhlasu je poměrně komplikovaná, a to zejména co se týče dvou skupin subjektů údajů.

První takovouto „problematickou” skupinou jsou zaměstnanci. Dovozuje se, že vzhledem k určité závislosti zaměstnanců na zaměstnavateli lze souhlas se zpracováním osobních údajů udělený zaměstnancem v pracovněprávních vztazích považovat za svobodný, a tedy platný, pouze v naprosto výjimečných případech, které de facto nesouvisejí s výkonem práce.

Druhou skupinou, která z hlediska souhlasu vyžaduje zvláštní pozornost, jsou nezletilí (děti). Podle občanského zákoníku platí domněnka, že nezletilý je způsobilý k právním jednáním co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jeho věku. Toto pravidlo je v zásadě třeba uplatňovat i v případě udělení souhlasu se zpracováním osobních údajů. Může tak být velmi složité určit, zda je konkrétní nezletilý schopen udělit svobodný a informovaný souhlas, nebo zda je ještě nutné, aby za něj souhlas udělil jeho zákonný zástupce (zpravidla rodič), a kdy už je nezletilý, za kterého v minulosti udělil souhlas rodič, natolik vyspělý, že už je nutné obstarat si jeho osobní souhlas.

Ve všech případech zpracování osobních údajů založených na souhlasu subjektu údajů je dále třeba mít na zřeteli, že souhlas lze kdykoli odvolat. Odvolání souhlasu však nepůsobí zpětně.

S ohledem na výše uvedené je vhodné provádět, pokud možno, pouze taková zpracování osobních údajů, která jsou založena na jiném legitimním důvodu zpracování než na souhlasu.

Informační povinnost správce

Ať již správce osobních údajů provádí zpracování sám, nebo za tím účelem uzavře smlouvu se zpracovatelem, vždy musí splnit některé povinnosti. Je ale třeba zdůraznit, že odpovědný za zpracování osobních údajů a za jejich ochranu je vždy správce. Pokud jde o některé z nejdůležitějších povinností správce, jde zejména o následující.

Správce musí stanovit účel zpracování osobních údajů. Vedle toho musí též určit prostředky zpracování osobních údajů.

Správce též musí subjekt údajů informovat o zpracování a umožnit mu přístup k osobním údajům. Zde je třeba zmínit, že GDPR rozlišuje situace, kdy správce získá osobní údaje přímo od subjektu údajů, nebo nepřímo. V prvním případě musí správce poskytnout tyto informace: totožnost a kontaktní údaje na svoji osobu či svého zástupce, kontaktní údaje na pověřence pro ochranu osobních údajů, účel zpracování a jeho právní základ, dobu uložení osobních údajů, případně kritéria pro určení této doby, pokud ji není možné určit přesně, existenci práva požadovat přístup k osobním údajům a existenci možnosti podat stížnost u dozorového orgánu, a další informace, které jsou uvedeny v čl. 13 odst. 1 a 2 GDPR.

Ve druhém případě, tj. v situaci, kdy osobní údaje nejsou získány přímo od subjektu údajů, je třeba splnit povinnosti uvedené v čl. 14 odst. 1 a 2 GDPR. Tyto povinnosti z velké částí kopírují povinnosti uvedené výše. Pokud jde o povinnosti, které se vztahují pouze na tento případ, jde například o povinnost správce poskytnout informaci o kategorii osobních údajů, zdroj, ze kterého osobní údaje pocházejí, skutečnost, že dochází k automatizovanému rozhodování včetně profilování, a další, které jsou uvedeny v čl. 14 odst. 1 a 2 GDPR.

Tato povinnost je automatická, nelze tedy čekat na žádost subjektu údajů o informace. Informace by mu měly být aktivně nabízeny, např. prostřednictvím jejich jasně viditelného umístění na webových stránkách. Pouze dostatečné informace jsou předpokladem informovaného souhlasu se zpracováním osobních údajů.

Dále má subjekt údajů mj. právo, a tomuto právu odpovídá povinnost správce, na informaci o tom, zda jsou či nejsou osobní údaje subjektu údajů zpracovávány, a má též právo na přístup k těmto údajům.

Práva subjektů údajů

Některé povinnosti správci vznikají až v případě, že subjekt údajů uplatní odpovídající právo, resp. vznese příslušný požadavek.

Jedná se o následující práva:

1. právo na přístup k osobním údajům (článek 15 GDPR),

2. právo na opravu a výmaz (článek 16 GDPR),

3. právo být zapomenut (článek 17 GDPR),

4. právo na omezení zpracování (článek 18 GDPR),

5. právo na oznámení ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování,

6. právo na přenositelnost údajů (článek 20 GDPR): Správce osobních údajů musí subjektu údajů veškeré osobní údaje o něm předat ve strukturovaném a běžně používaném strojově čitelném formátu. Zároveň, pokud o to subjekt údajů požádá, má správce povinnost jeho osobní údaje ve výše uvedené podobě předat přímo dalšímu správci osobních údajů. Zároveň však musí být pro správce takové předání technicky proveditelné.

7. právo vznést námitku (článek 21 GDPR),

8. právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování (článek 22 GDPR), např. rozhodnutí o zamítnutí úvěru kvůli nedostatečné bonitě, které bylo vygenerováno zcela automaticky bez lidského přičinění.

V případě, že subjekt údajů uplatní výše uvedená práva, je správce povinen na jeho žádost reagovat a jsou-li splněny podmínky stanovené GDPR, musí jim vyhovět. Musí přitom postupovat tak, aby učinil zadost požadavkům, které jsou uvedeny v článku 12 GDPR.

Zejména:

1. musí žádost vyřídit bezodkladně, nejpozději do jednoho měsíce, tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce,

2. pokud nepřijme opatření, o něž subjekt údajů požádal, musí jej bezodkladně a nejpozději do jednoho měsíce informovat o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu,

3. musí tyto žádosti vyřizovat bezplatně; jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s přijetím požadovaných opatření; nebo

b) odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti ale vždy prokazuje správce.

Na druhou stranu, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která danou žádost podává, může ji požádat o poskytnutí dodatečných informací nezbytných k potvrzení její totožnosti.

Jak již bylo uvedeno, odpovědnost za zpracování osobních údajů a za jejich bezpečí je vždy na správci osobních údajů, a proto se budeme věnovat i tomu, co by měl správce udělat pro to, aby se v rámci ochrany osobních údajů nedostal do střetu se svými povinnostmi.

Odpovědnost správce osobních údajů

O odpovědnosti správce hovoří obecně čl. 24 GDPR, který správci dává za povinnost přijmout vhodná technická a organizační opatření, jejichž cílem je zajistit soulad zpracování osobních údajů s GDPR. Dále má správce povinnost tato přijatá opatření dle potřeby revidovat a aktualizovat.

Z výše uvedeného tak vyplývá, že než správce započne se zpracováním osobních údajů, měl by provést, nebo nechat si provést, analýzu rizik, ze které by pro něj mělo vyplynout, jaké potencionální nebezpečí ve vztahu k jeho činnosti osobním údajům hrozí.

Správce by měl především minimalizovat množství osobních údajů, které shromažďuje, a rovněž by měl pomocí vhodných technických (např. heslo k databázi) a organizačních (např. vnitřní směrnice s uvedením osob, které mají k zaheslované databázi přístup) opatření zajistit, aby osobní údaje nebyly zpřístupněny neomezenému množství osob.

GDPR se problematice zabezpečení osobních údajů věnuje v článku 32 a násl. GDPR. V těchto článcích jsou navrženy některé zabezpečovací techniky, jejichž přijetí by měl správce před zpracováním osobních údajů zvážit. Jedná se především o pseudonymizaci a

Nahrávám...
Nahrávám...