GDPR: NAŘÍZENÍ, KTERÉ STÁLE ČEKÁ NA SVOU INTERPRETACI

Mezi firmami, které nakládají s osobními údaji svých zákazníků, nebo uživatelů pozvolna roste nervozita. Od konce května příštího roku budou muset splňovat požadavky, které přináší nové evropské nařízení (Evropského parlamentu a Rady (EU) č. 2016/679) o ochraně osobních údajů, kterému se dnes už neřekne jinak než „GDPR“, neboli General Data Protection Regulation. Naprostá většina lidí je stále zmatena a není schopna jasně říct, jaké konkrétní kroky bude potřeba do účinnosti GDPR podniknout pro to, aby mu plně vyhověla. Nařízení GDPR však vstupuje v účinnost už 28. května 2017, na uskutečnění změn tak už mnoho času nezbývá. Na druhou stranu všechny děsí nové sankce, které se mohou vyšplhat až ke 20 000 000 EUR, nebo půjde-li o podnik, až do výše 4 % jeho celosvětového ročního obratu, což může být likvidační pro naprostou většinu společností.
Podle JUDr. Jiřího Matznera z advokátní kanceláře Matzner et al hrozí, že výklad GDPR bude viset ve vzduchoprázdnu ještě po jeho účinnosti a interpretovat jej budou především právníci a soukromí poradci, pro které se příchodem GDPR vytvořil velice lukrativní trh. Instrukce evropských nebo národních orgánů v podobě jasných pokynů, jak mají být problematická ustanovení GDPR vykládána, v mnoha případech stále chybí. Na evropské úrovni už sice byla některá výkladová stanoviska publikována, ale jejich rozsah je prozatím nedostatečný. V mnoha směrech subjekty dotčené GDPR stále nevědí, jak se mají chovat, aby splnili všechny jeho požadavky, přesto, že by tak učinit chtěli a chtěli by tak učinit včas. Na celé situaci tak budou paradoxně nejvíce bité ty firmy, které chtějí mít věci v pořádku. Bohužel s ohledem na pomalý postup EU a na parlamentní volby v České republice by se nebylo čemu divit, kdyby současný nevyhovující stav trval až do chvíle, kdy nařízení vstoupí v účinnost.
 
Záznamy o zpracování a pověřenec pro ochranu osobních údajů
 

GDPR ukládá správcům novou povinnost a tou je vypracovávat tzv. záznamy o činnostech zpracování, které budou obsahovat mj. jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií zpracovávaných osobních údajů, informace o případném předávání osobních údajů do zahraničí, apod. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování citlivých údajů. Podle výkladu Úřadu pro ochranu osobních údajů však absolutní většina případů zpracování osobních údajů „není příležitostná.“ Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky? Dosavadní výklady k GDPR v tomto ohledu zatím zcela mlčí.

 
Další novinkou je nový institut tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude zajistit, aby aktivity firem a dalších subjektů, které zpracovávají osobní údaje jako správci, byly v souladu s GDPR. Nařízení staví pověřence do pozice odborníka na ochranu osobních údajů, který bude všem subjektům majícím povinnost jej ustanovit (např. orgány veřejné moci, subjekty zpracovávající tzv. citlivé údaje nebo provádějící monitorovací aktivity) poskytovat odborné poradenství v souvislosti s řádným plněním povinností GDPR, popř. komunikovat s Úřadem pro ochranu osobních údajů. GDPR sice říká, že pověřenci musí být ve firmě zajištěno potřebné zázemí a nezávislost, nesmí se dostat do střetu zájmů atd. Nikde se však už neuvádí, jakým způsobem a v jakém rozsahu by měl pověřenec ve společnosti operovat – zda by měl být k dispozici přímo v sídle firmy, nebo bude dostačující, když bude činnost vykonávat na dálku, na jaký minimální úvazek by měl být ve firmě k dispozici apod. Všechny tyto věci bude ještě potřeba určitým způsobem vyjasnit, pokud to neudělá až samotná praxe.
 
Souhlas se zpracováním o něco přísněji
 

S ohledem na vyjádření souhlasu se zpracováním osobních údajů přinese GDPR přísnější požadavky. Podle GDPR bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností (např. jako součást všeobecných obchodních podmínek), bude muset být od těchto „ostatních“ skutečností na první pohled jednoduše odlišitelný (např. na samostatné straně dokumentu nebo jako samostatné „zaškrtávací políčko“ na webu). Ve vztahu k užívání informačních technologií dětmi však GDPR zavádí ještě další povinnost, podle které bude souhlas se zpracováním u nezletilých dětí (převážně mladších 16 let) muset být poskytován se souhlasem jejich rodičů nebo zákonných zástupců. To si lze v praxi opravdu jen stěží představit. Jak se například pozná, že při vyjádření souhlasu se zpracováním osobních údajů (při využití určité online služby) za počítačem sedělo nezletilé dítě a souhlas se zpracováním osobních údajů opravdu dalo se souhlasem svých rodičů? Podobné praktické nejasnosti GDPR zatím vůbec neřeší a objasnění nepřináší ani jeho stávající výkladová stanoviska.

 
Kodexy a osvědčení – kdo je bude vydávat a za jakých podmínek?
 

Novinkou GDPR budou rovněž tzv. kodexy chování a osvědčení o ochraně údajů. Co se týče kodexů chování, zde je dosavadní výklad o něco zřetelnější – půjde o jakési zásady shrnující dobrou praxi a správné postupy při ochraně osobních údajů v určité profesi nebo v konkrétním odvětví. Tyto kodexy budou moci vydávat například odborná sdružení nebo profesní komory s cílem sdělit svým členům, jakým způsobem by měli správně nakládat s osobními údaji (např. kodexy lékařů nebo novinářů). Dodržování kodexů by mělo předpokládat přijetí dostatečných záruk pro zabezpečení osobních údajů a nakládání s nimi v souladu s GDPR. Oprávnění vydávat tzv. osvědčení o ochraně údajů, jakož i tzv. pečeti a známky, které budou (podobně jako kodexy chování) zaručovat soulad s GDPR, bude u nás mít Český institut pro akreditaci – alespoň podle aktuálních informací Úřadu pro ochranu osobních údajů.

 
Zabezpečení osobních údajů a ohlašovací povinnosti
 

Příchodem GDPR se nemění nic na tom, že správce a zpracovatel budou mít nadále povinnost přijmout vhodná technická a organizační opatření, aby zajistili odpovídající úroveň zabezpečení zpracovávaných osobních údajů. Mezi takováto opatření bude po účinnosti GDPR spadat např. pseudonymizace a šifrování osobních údajů, ochrana a zálohování dat, omezená přístupová práva k datům, procesy pro pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření atd. Úplnou novinkou však bude povinnost nahlašovat incidenty týkající se jejich zabezpečení. Veškeré případy porušení zabezpečení osobních údajů bude správce totiž nově povinen bezodkladně ohlašovat Úřadu pro ochranu osobních údajů a v případě velmi rizikových incidentů i samotným subjektům údajů.

 
Závěr
 

Na závěr samozřejmě nelze opomenout, že GDPR zavádí velmi vysoké sankce pro případy jeho porušení, které se budou moci vyšplhat až do výše 20 000 000 EUR, popř. až do výše 4 % celosvětového ročního obratu, půjde-li o podnik. Tyto sankce budou pro většinu společností představovat značnou hrozbu, jelikož budou schopné být pro mnohé z nich zcela likvidačního charakteru a současně budou moci začít být uplatňovány hned po vstupu GDPR v účinnost – bez ohledu na veškeré nejasnosti, které se okolo GDPR momentálně vznáší. Z toho důvodu bude obzvlášť důležité, aby byly všechny firmy obezřetné při plnění svých povinností plynoucích z GDPR a průběžně sledovaly vývoj jeho oficiálních výkladů.