1.64
Jak se připravit na nové nařízení o ochraně osobních údajů – 5. díl
Mgr. Mgr. Radana Burešová
V rámci přípravy na GDPR je vhodné provést následující kroky:
1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat
2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.
Dále se musí podniknout opatření:
3. ve vztahu k ochraně zpracovávaných osobních údajů
4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),
5. ve vztahu k dozorovému úřadu.
ad 5) Povinnosti ve vztahu k dozorovému orgánu
Hlavním dozorovým orgánem v oblasti ochrany osobních údajů je ÚOOÚ, jehož působnost je upravena v zákoně. Tento úřad bude tuto působnost vykonávat i nadále, ale protože zákon bude nahrazen GDPR, je třeba nová právní úprava jeho působnosti. Jak bylo uvedeno v předchozích kapitolách, doprovodný zákon ke GDPR dosud nebyl schválen.
Správci dosud s ÚOOÚ dosud nejčastěji přicházeli do styku v souvislosti s oznamovací povinností podle § 16 ZOOÚ (tzv. registrace u ÚOOÚ). Tato povinnost nebyla do GDPR převzata, nicméně ji do určité míry nahrazuje povinnost vést záznamy o činnostech zpracování, které bude nutno na výzvu předložit ÚOOÚ.
NahoruZáznamy o činnostech zpracování
Článek 30 GDPR ukládá všem správcům a zpracovatelům povinnost vést v písemné nebo elektronické formě záznamy o činnostech zpracování, které obsahují informace uvedené v čl. 30 odst. 1 GDPR. Podle čl. 30 odst. 5 GDPR se tato povinnost nevztahuje na všechny správce. Účelem této výjimky mělo být zjednodušení pro malé a střední podniky, nicméně její formulace je poněkud nejasná a v současné době je vykládána v tomto smyslu:
Fyzické a právnické osoby vykonávající hospodářskou činnost bez ohledu na svou právní formu (tj. i spolky, pokud vykonávají takovou činnost), které
-
mají méně než 250 zaměstnanců, a neprovádějí
-
zpracování, které pravděpodobně představuje riziko pro práva a svobody údajů a
-
zpracování, které není příležitostné, nebo
-
zpracování, které zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 GDPR (nyní tzv. citlivé údaje, viz výše) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů dle článku 10 GDPR,
nemusí vést záznamy o činnostech zpracování. Vzhledem k tomu, že prakticky každý podnikatel provádí zpracování osobních údajů, které není příležitostné (mzdová a účetní agenda), vztahuje se výše uvedená povinnost v praxi na všechny osoby vykonávající hospodářskou činnost.
Záznamy musejí obsahovat níže uvedené informace (čl. 30 odst. 1 GDPR):
a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů, pokud byl jmenován;
b) účely zpracování - např. plnění právních povinností vyplývajících z předpisů o zdravotním pojištění a sociálním zabezpečení;
c) popis kategorií subjektů údajů a kategorií osobních údajů – např. zaměstnanci, zpracovávané osobní údaje: jméno, příjmení, adresa + další údaje zpracovávané např. v souvislosti s důchodovým nebo nemocenským pojištěním (nutno uvést všechny konkrétní kategorie údajů);
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích – v praxi zejména externí daňoví, účetní a právní poradci, web hosting, pokud je to možné, je vhodné uvést příjemce konkrétně;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce GDPR doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů – je nutno zohlednit povinnosti stanovené právními předpisy, podle kterých je třeba určité doklady uchovávat po stanovenou dobu (např. účetní a daňové doklady), u smluv např. promlčecí lhůty, ve kterých je možno uplatňovat u soudu pohledávky a dobu případného soudního sporu a následného vymáhání dluhu (řádově roky);
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 GDPR – blíže viz tato kapitola.
NahoruPověřenec pro ochranu osobních údajů
Nově zřízená funkce pověřence pro ochranu osobních údajů je jednou ze záležitostí, která je v souvislosti s GDPR nejvíce medializována.
Jmenování pověřence je však povinné jen u některých správců a zpracovatelů, v zásadě se jedná o:
1) orgány veřejné moci či veřejné subjekty – např. úřady, veřejnoprávní instituce jako Česká televize nebo rozhlas, notáři, exekutoři, veřejné školy všech typů, v některých případech dodavatelé energií a vody;
2) správce, kteří provádějí hlavní činnosti, jež spočívají ve zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů – např. nemocnice, bezpečnostní agentury provádějící kamerové sledování obchodních center, pojišťovny, banky, provozovatelé telekomunikačních služeb, při sledování osob prostřednictvím GPS nebo jiných technických prostředků nošených přímo na těle, provozovatelé internetu věcí, větší marketingové agentury apod.
3) správce nebo zpracovatele, jejichž hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 GDPR (nynější citlivé údaje) a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 GDPR správce nebo zpracovatele – znovu např. nemocnice nebo pojišťovny, odborové organizace, advokátní kanceláře (podle stanoviska WP29 se nejedná o samostatné lékaře nebo advokáty, neboť tam ke zpracování nedochází ve velkém rozsahu), některé typy soukromých školských zařízení (zvláště pokud disponují údaji o zdravotním stavu žáků a studentů, např. o jejich zdravotním postižení).
Je vhodné zpracovat stručnou analýzu, jejímž výsledkem bude závěr o tom, zda je jmenování pověřence povinné či nikoli a z jakých důvodů. Tuto analýzu je pak možno v případě potřeby předložit ÚOOÚ jako doklad o zajištění souladu s GDPR.
Vždy je možné funkci pověřence zřídit dobrovolně a v řadě případů se to doporučuje, zvláště u podniků s větším množstvím zaměstnanců nebo zákazníků, zvláště u hraničních případů podle shora uvedeného bodu 2.
NahoruSpolečný pověřenec pro ochranu osobních údajů
Dokonce je možné jmenovat společného pověřence pro ochranu osobních údajů, např. pro podnikatelský koncern, pro více veřejných orgánů či pro sdružení, která zastupují určité skupiny podniků. Podmínkou je, aby byl pověřenec skutečně dosažitelný pro každého zúčastněného správce/zpracovatele – např. po telefonu, e-mailem či v určitých dnech a hodinách i osobně.
Správce/zpracovatel je povinen zveřejnit kontaktní údaje pověřence (není nezbytně nutné zveřejňovat jeho jméno a příjmení) a sdělit je ÚOOÚ (tomu je nutno sdělit i jméno a příjmení pověřence). Tyto údaje se také musí uvádět v řadě informačních materiálů, pokud funkce byla zřízena, viz výše.
Pověřencem pro ochranu osobních údajů může být zaměstnanec správce/zpracovatele nebo externí dodavatel, který funkci bude vykonávat na základě smlouvy o poskytování služeb. GDPR náležitosti této smlouvy nestanoví, ale je vhodné, aby v ní byly vymezeny konkrétní povinnosti a práva pověřence (blíže viz článek 39 GDPR), a lze jen doporučit, aby byla písemná. Jelikož pověřenec při plnění svých úkolů přichází do styku s osobními údaji, lze doporučit, aby smlouva s externím pověřencem obsahovala ustanovení předepsaná pro smlouvu se zpracovatelem (viz tato kapitola). Je-li pověřencem zaměstnanec, může vykonávat i jiné pracovní činnosti, pokud nejsou v rozporu s jeho funkcí pověřence (čl. 38 odst. 6 GDPR).
NahoruKdo může funkci pověřence vykonávat
Pověřencem pro ochranu osobních údajů se mohou stát jen osoby, které mají náležité profesní kvality, zejména odborné znalosti práva a praxe v oblasti ochrany údajů a schopnosti plnit úkoly stanovené v článku 39 GDPR, jimiž jsou minimálně:
1. poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
2. monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti…