GDPR v otázkách a odpovědích
autor: Mgr. Michal Nulíček, LL.M., Mgr. Kristýna Kovaříková, Mgr. et Mgr. Ing. Jan Tomíšek, Oliver Švolík publikováno: 03.11.2017
Za uplynulý rok se zvedl mezi odbornou veřejností a zástupci soukromého i veřejného sektoru velký zájem o nové nařízení č. 679/2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). Některé dotazy, se kterými se na redakci i své poradce čtenáři obracejí, se velmi často opakují. Proto jsme se rozhodli, že sepíšeme ty nejčastější z nich a poskytneme k nim krátké a praktické odpovědi.
Bude třeba získat souhlas pro veškerá zpracování osobních údajů?
Již dle současné právní úpravy platí, že souhlas není nezbytný pro každé zpracování osobních údajů. Kromě souhlasu je totiž možné zpracovávat osobní údaje na základě jiných právních základů. Těmito právními základy jsou např. dodržení právní povinnosti správce nebo nezbytnost pro plnění smlouvy. V důsledku nepřesné implementace směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46“) bohužel v českém zákoně č. 101/2001 Sb., o ochraně osobních údajů (dále jen „ZOOÚ“), vznikla formulace, která vyvolává nesprávný dojem, že souhlas je primárním právním základem a ostatní právní základy by měly být využity pouze v případě, že souhlas nelze získat. Díky tomu je dnes souhlas v mnoha případech v českém prostředí vyžadován nadbytečně, což může v některých případech vyvolávat dokonce protiprávní situaci.[1]
S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jaké je v mnoha případech dnes, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu – do této skupiny lze zařadit např. provozování kamerových systémů nebo některé druhy přímého marketingu.
Souhlas by měl být i nadále vyžadován v případech, kdy se jedná o zpracování, které je pro fyzické osoby, jejichž osobní údaje jsou zpracovány (dále jen „subjekty údajů“), určitým způsobem rizikové a nelze pro něj využít jiný právní titul. Z tohoto důvodu bude nutné souhlas získávat např. pro předávání osobních údajů jiným správcům pro marketingové účely nebo pro pokročilé marketingové analýzy.
Jak má podle GDPR souhlas vypadat? Musí být výslovný? Budou stávající souhlasy po účinnosti GDPR neplatné?
GDPR zvyšuje nároky na získávání souhlasu. To však neznamená, že by souhlas se zpracováním běžných osobních údajů musel být výslovný. Z definice souhlasu dle GDPR vyplývá, že souhlas musí být svobodný, konkrétní, informovaný a jednoznačný, přičemž udělen musí být prohlášením či jiným zjevným potvrzením. Pokud souhlas nebude mít jednu z těchto kvalit, bude neplatný.
Aby byl souhlas konkrétní, musí být udělen vždy pro konkrétní účel, který je dostatečně specifický na to, aby z něj subjekt údajů získal nějakou představu o tom, jak bude s jeho osobními údaji nakládáno. V případě, že bude účel vymezen příliš vágně, je pravděpodobné, že souhlas nebude dostatečně konkrétní.
Případů, kdy je možné považovat souhlas za nesvobodný, je více. V první řadě zde hraje roli tzv. zákaz take-it-or-leave-it zakotvený v čl. 7 odst. 4 GDPR, který stanoví, že poskytnutí služby nelze podmiňovat udělením souhlasu se zpracováním, které není pro takovou službu nezbytné. V praxi to znamená, že pokud chce např. internetový obchodník získávat souhlas s nabízením zboží a služeb, nesmí podmiňovat svoje plnění tímto souhlasem a musí dát svým zákazníkům skutečnou možnost jej neudělit. Mimo jiné i z tohoto důvodu jsou a priori neplatné všechny souhlasy, které jsou součástí obchodních podmínek, u kterých subjekt údajů nemá možnost volby. Dalšími případy, kdy je předpoklad svobodně uděleného souhlasu menší, je souhlas udělený subjektem ve slabším postavení – typicky zaměstnancem zaměstnavateli nebo občanem veřejnému orgánu.[2] Obecným klíčem pro rozpoznání toho, kdy je a kdy není udělený souhlas svobodný, je skutečnost, zda hrozí subjektu údajů za neudělení souhlasu nějaká újma.[3] Pokud taková újma nehrozí, je pravděpodobné, že souhlas svobodně udělen byl.
Informovaný je souhlas tehdy, pokud subjekt údajů obdržel před jeho udělením veškeré informace podle čl. 13 GDPR. Tyto údaje musí být navíc v souladu s čl. 12 GDPR sděleny transparentně, srozumitelně a za použití jasných a jednoduchých jazykových prostředků. Rovněž samotná písemná žádost o poskytnutí souhlasu má stanoveny formální náležitosti, kdy podle čl. 7 odst. 2 GDPR musí být taková žádost jasně odlišitelná od jiných skutečností, musí být srozumitelná a snadno přístupná opět za použití jasných a jednoduchých jazykových prostředků. Odchylka od těchto formálních náležitostí bude mít za následek nezávaznost té části prohlášení o souhlasu, která trpí vadami.
V neposlední řadě musí být souhlas udělen zjevným potvrzením. To však neznamená, že by musel být výslovný. Postačí, pokud subjekt údajů učiní nějakou akci, ze které je zjevné, že má v úmyslu souhlas udělit. Může se jednat o zaškrtnutí políčka (které by však nemělo být zaškrtnuto předem) či podpis, ale např. také o vyplnění e-mailové adresy do pole, u kterého je uvedeno, že si subjekt údajů přeje zasílat reklamní sdělení. Uvedené se však neuplatní pro citlivé osobní údaje, kde v souladu se stávající právní úpravou zůstal zachován požadavek výslovnosti.
Co se týče platnosti souhlasů, které byly a ještě budou uděleny před účinností GDPR, ty budou platné i nadále pouze v případě, že způsob jejich udělení splňuje veškeré výše uvedené předpoklady (s výjimkou splnění informační povinnosti v rozsahu čl. 13 GDPR). V rámci naší praxe se však v naprosté většině případů setkáváme s tím, že souhlasy platné nejsou. Častým důvodem neplatnosti je přitom zakotvení souhlasu v obchodních podmínkách či nepřehledné zahrnutí souhlasu mezi jiná nesouvisející prohlášení.
Ohledně požadavků na souhlas by měla Pracovní skupina podle článku 29 (WP29) na podzim vydat své výkladové stanovisko. Do té doby lze pro posouzení platnosti doposud udělených souhlasů doporučit zejména checklist, který je obsažen v pokynech k souhlasu od britského dozorového úřadu, ICO.[4]
Co lze dělat s osobními údaji, když dojde k odvolání souhlasu? Vyžaduje GDPR vždy vymazat všechny údaje, k jejichž zpracování již správce nemá souhlas? Co dělat v případě záloh, u kterých není výmaz technicky proveditelný bez toho, aby došlo ke ztrátě jiných osobních údajů?
Pokud dojde k odvolání souhlasu, neznamená to vždy nutnost dané osobní údaje vymazat. Takové osobní údaje totiž mohou být zpracovávány zároveň pro více účelů, resp. na základě více titulů. Např. jméno a příjmení zákazníka můžeme zpracovávat v jednu chvíli pro účely splnění závazku z kupní smlouvy, pro účely nabízení zboží a služeb, pro účely archivnictví a pro účely vymáhání případných nároků. Pokud by zákazník odvolal souhlas se zpracováním osobních údajů pro účely nabízení zboží a služeb, je možné uchovávat jméno a příjmení i nadále, dokud nepominou i všechny další účely zpracování. Tyto další účely jsou totiž založeny na jiném právním základě, a proto odvolání souhlasu nevyvolá nezbytnost vymazání údajů.
V případě, že již nezbude skutečně žádný účel zpracování v bezsouhlasovém režimu, je nutné osobní údaje zlikvidovat. Ani to však nemusí znamenat nutnost údaje zcela smazat. Z dikce ust. čl. 5 odst. 1 písm. e) GDPR vyplývá, že je zakázáno uchovávat osobní údaje ve formě umožňující identifikaci. Pokud tedy dojde k úspěšné anonymizaci osobních údajů, je možné nakládat s takovými údaji i nadále a GDPR se na ně vůbec nepoužije. Takové údaje již sice není možné přiřadit ke konkrétním zákazníkům, nicméně mohou být využity pro nejrůznější analýzy trendů apod.
Specifická je také otázka osobních údajů, které společnost již k ničemu nevyužívá, ale z nějakého důvodu je nemůže vymazat. Takovým případem může být např. situace, kdy jsou na nepřepisovatelném médiu (např. na magnetické pásce) uloženy osobní údaje, které by měly být vymazány, spolu s jinými údaji, které vymazány být nemají. Výmaz jedněch osobních údajů přitom není technicky možný bez toho, aby byly vymazány i ostatní údaje. V tomto směru se kloníme k názoru britského ICO, dle kterého je možné tyto údaje (které správce sice drží, ale již je nevyužívá) nadále ponechat pasivně uložené, avšak správce nesmí údaje využít, ani mít takový úmysl, nesmí umožnit třetím stranám přístup k takovým osobním údajům, musí zajistit vhodná organizační a technická bezpečnostní opatření a musí být rozhodnut a připraven, jakmile to bude technicky možné, osobní údaje vymazat.[5]
Bude možné zpracovávat osobní údaje z veřejných rejstříků či sociálních sítí?
Využití údajů zveřejněných ve veřejných rejstřících, či dokonce údajů, které o sobě mnozí zveřejňují na sociálních sítích, je pro mnohé správce velmi lákavé. Jako příklady takových užití lze uvést zasílání marketingových nabídek osobám, které jsou uvedeny v obchodním rejstříku jako jednatelé společností, nebo užití údajů ze sociálních sítí v rámci hodnocení uchazečů o zaměstnání.
V každém případě dalšího využití zveřejněných osobních údajů je však nutné zohlednit účel, za kterým byly takové osobní údaje původně zveřejněny. Není možné je užívat bez dalšího pro jakýkoliv účel a jakýmkoliv způsobem – takové další užití musí splnit test slučitelnosti účelů dle čl. 6 odst. 4 GDPR. V rámci tohoto testu jsou posuzovány např. vzájemný vztah původního a nového účelu zpracování, možná rizika pro subjekty údajů spojená s novým zpracováním či bezpečnostní záruky (např. pseudonymizace) přijaté za účelem zabránění zásahu do práv a oprávněných zájmů subjektů údajů v rámci nového zpracování.
Pokud bude výsledek testu slučitelnosti účelů pozitivní, neznamená to automaticky, že je cesta ke zpracování zcela otevřená. Vedle účelu je totiž nutné zajistit pro další zpracování zveřejněných údajů i právní základ. V převážné většině případů, kdy je zamýšleno zpracovávat osobní údaje z veřejných zdrojů, bude tímto právním základem oprávněný zájem správce.
Stejně jako zkoumání slučitelnosti účelů, vyžaduje i samotný oprávněný zájem provedení posouzení, v tomto případě toho, zda základní práva a zájmy subjektů údajů nepřeváží nad oprávněným zájmem správce. V rámci tohoto posouzení (balančního testu) je nutné vzít do úvahy více faktorů, a to především váhu samotného oprávněného zájmu, možné negativní či pozitivní důsledky pro subjekty údajů, rozumné očekávání subjektů údajů ohledně zpracování či vztah správce a subjektu údajů. I výsledek balančního testu lze nakonec ovlivnit ve prospěch správce také přijetím vysokých záruk bezpečnosti zpracování či vyšší transparentností zpracování. Posouzení oprávněného zájmu je zároveň nutné pečlivě dokumentovat a být připraven jej v souladu se zásadou odpovědnosti předložit Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) ke kontrole.
Jak vyplývá z výše uvedeného, pro zpracování údajů z veřejných zdrojů je třeba vždy provést posouzení slučitelnosti účelů a (pokud je další zpracování založeno na oprávněném zájmu) balanční test oprávněného zájmu. S ohledem na slučitelnost účelů a rozumné očekávání subjektů údajů je přitom např. pravděpodobné, že osobní údaje z obchodního rejstříku mohou být využity pro kontrolu pravdivosti identifikačních údajů v rámci obchodního styku, o něco méně pravděpodobná je oprávněnost využití kontaktních údajů osob, které jsou v rejstřících uvedeny, pro účely marketingu. Jak je však z výše uvedených kritérií patrné, konečný závěr vždy vyžaduje důkladnou analýzu.
Jaké jsou dopady GDPR do oblasti marketingu?
Pro řadu organizací je marketing a prodej oblastí, ve které má GDPR největší dopad. Význam těchto dopadů závisí na druhu marketingových aktivit, které daná organizace realizuje, ale také na tom, v jaké míře jsou tyto aktivity prováděny v souladu již se současnou právní úpravou.
GDPR v bodu 47 svého odůvodnění stanoví, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“. To znamená, že do určité míry je možné osobní údaje pro účely přímého marketingu zpracovávat i bez souhlasu subjektů údajů. Tato možnost však není bezbřehá, tato výjimka bude podle našeho názoru naopak vykládána spíše restriktivně. Oprávněný zájem správce je tedy třeba v každém případě samostatně posoudit a bude dán zejména tam, kde existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, např. pokud je subjekt údajů zákazníkem správce. Klíčové pro posouzení oprávněného zájmu je zejména to, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. [6]
V praxi je tedy na základě oprávněného zájmu a bez souhlasu subjektu údajů možné provádět zejména zpracování osobních údajů za účelem přímého marketingu vlastních produktů a služeb stávajícím zákazníkům,[7] např. formou cílené reklamy v klientské zóně na webových stránkách či formou klasického dopisu. Souhlasem pak budou typicky podmíněny pokročilé marketingové aktivity jako sledování a vyhodnocování aktivity jednotlivých zákazníků na webových stránkách a obohacování údajů o zákaznících z dalších zdrojů (např. ze sociálních sítí) za účelem lepšího cílení reklamy.[8]
V kontextu šíření marketingu elektronickými prostředky (telefonní marketing, rozesílání e-mailů a textových zpráv s reklamním obsahem) je však výše uvedené třeba vnímat jako podmínky pro personifikaci obsahu reklamního sdělení, přičemž další podmínky se budou vztahovat na využití příslušného elektronického kanálu.
Tyto další podmínky stanoví zákon č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů (dále jen „ZSIS“), který má být nahrazen nařízením e-Privacy (zatím ve fázi návrhu) [9]
Podle § 7 ZSIS, stejně jako dle čl. 13 e-Privacy, je možné šířit obchodní sdělení pouze se souhlasem příjemce. Výjimkou je zasílání nabídek obdobných produktů a služeb elektronickou poštou na kontakty, které správce získal v souvislosti s prodejem svého zboží a služeb. V takovém případě je možné zasílání nabídek bez souhlasu v tzv. režimu opt-out, tedy za podmínky, že správce při získání kontaktu a při každém dalším obchodním sdělení umožní adresátovi jednoduchým způsobem zdarma zasílání nabídek odmítnout.[10] Tato výjimka pokrývá obchodní sdělení zaslaná formou e-mailu či textové zprávy,[11] nevztahuje se však na telefonní marketing, který podléhá souhlasu vždy.[12]
Na tomto místě je vhodné podotknout, že připravované nařízení e-Privacy mění také režim pro umísťování cookies na zařízení uživatele.[13] Pro umístění cookies, které nejsou nezbytné pro fungování dané webové stránky (např. pro přihlášení apod.) nebo pro měření návštěvnosti, bude nezbytný předchozí souhlas uživatele, přičemž na takový souhlas jsou kladeny obdobné požadavky, jako obsahuje GDPR. Doplňujeme, že dle platné právní úpravy (nepřesně implementující příslušnou evropskou směrnici) je v České republice (zatím) dostatečné, pokud má uživatel možnost umístění cookie odmítnout.[14]
Ačkoliv tedy GDPR umožňuje provádět některé marketingové aktivity na základě oprávněného zájmu, bude řada marketingových aktivit podléhat souhlasu dotčené osoby, ať již z hlediska zpracování osobních údajů pro personifikaci reklamního sdělení, využití elektronického komunikačního kanálu, či z hlediska nutnosti umístit na zařízení uživatele tzv. sledovací cookie. S ohledem na přísnější požadavky, které GDPR na souhlas klade, přitom řada dosud získaných marketingových souhlasů po účinnosti GDPR neobstojí.
Z toho pro správce zpravidla plyne nutnost upravit stávající formu získávání marketingových souhlasů (jak v listinné formě např. při uzavírání smlouvy v bance, tak elektronicky např. při nákupu na e-shopu) a současně praktická nutnost získat nové marketingové souhlasy od osob, jejichž údaje správce již v minulosti pro tento účel získal. Protože však nelze očekávat, že správce bude při získávání nových souhlasů od stávajících subjektů údajů 100% úspěšný, je třeba se připravit i na scénář, kdy souhlas nebude udělen. Ve vztahu k takovým osobám je třeba ukončit a v budoucnu neprovádět zpracování, které je souhlasem podmíněno, včetně likvidace údajů, pro jejichž zpracování nemá správce jiný právní základ. Stejně tak je třeba ukončit zasílání obchodních sdělení elektronickou poštou osobám, jejichž kontakt správce získal při prodeji svého zboží či služby, ale nemá jejich souhlas, ani jim neumožnil zasílání obchodních sdělení snadno odmítnout.
Je dle GDPR možné k marketingovým účelům využívat databáze kontaktů poskytnuté třetí stranou?
Častou praxí zejména v e-mailovém a telefonním marketingu je využívání databází třetích stran pro získání kontaktů k oslovení v rámci marketingové komunikace. Pro tuto praxi představuje GDPR významné omezení, jak upozornil nedávno na svých webových stránkách také ÚOOÚ. Využití údajů z těchto databází třetími osobami je totiž zpravidla podmíněno souhlasem subjektu údajů. S ohledem na požadavky GDPR přitom v mnoha případech nebudou po účinnosti GDPR takové souhlasy platné, např. proto, že byly zahrnuty do všeobecných obchodních podmínek, byly podmínkou uzavření smlouvy, byly uděleny předem neurčenému počtu správců se zasíláním předem neurčeného okruhu obchodních nabídek apod.[15]
V praxi lze tedy správcům doporučit využití a zpracování pouze takových kontaktů z databází, u kterých poskytovatel databáze správci jednoznačně prokáže udělení platného souhlasu a dostatečné informování subjektu údajů o zpracování novým správcem (nabyvatelem databáze). V případě důvěryhodných partnerů může správce poskytovatele kontaktů pouze smluvně zavázat k tomu, aby souhlasy a informování doložil na vyžádání, např. v případě kontroly ze strany ÚOOÚ, a případně správce kompenzoval, když tyto souhlasy nedoloží. V takovém případě se však příslušný správce vystavuje riziku, protože z hlediska GDPR, resp. ZSIS, je za prokázání souhlasů a dostatečného informování subjektů údajů odpovědný správce, který příslušné údaje využívá pro své účely, což potvrzuje rozhodovací praxe ÚOOÚ.[16]
Jaké bude mít GDPR dopady na oblast HR? Budou třeba nové souhlasy od zaměstnanců?
GDPR zasahuje nejenom do vztahů s klienty a do dodavatelských vztahů, ale má rovněž dopad do oblasti HR. GDPR v čl. 88 umožňuje členským státům stanovit konkrétnější pravidla v této oblasti – zatím se nezdá, že by Česká republika této možnosti chtěla využít; nicméně je vhodné připomenout, že dílčí úprava ochrany soukromí zaměstnanců je obsažena i v zákoníku práce (zejm. § 316 zák. práce).
Pokud jde o právní základ zpracování osobních údajů zaměstnanců, i nadále platí, že nejvhodnějším právním titulem pro zpracování osobních údajů zaměstnanců je nezbytnost pro plnění pracovní smlouvy [čl. 6. odst. 1 písm. b) GDPR] a nezbytnost pro plnění právních povinností [čl. 6 odst. 1 písm. c) GDPR], popř. oprávněný zájem správce [čl. 6 odst. 1 písm. f) GDPR]. Pracovněprávní předpisy přitom ukládají zaměstnavatelům celou řadu povinností (v oblasti daňové, sociálního zabezpečení a další), kdy bude právě druhý ze zmíněných titulů relevantní [čl. 6 odst. 1 písm. c) GDPR].
Naopak souhlas se zpracováním, jak také upozorňuje WP29 ve svém posledním stanovisku č. 2/2017 ke zpracování osobních údajů v zaměstnání,[17] není zpravidla vhodným právním titulem a je velice pravděpodobné, že drtivá většina souhlasů získaných od zaměstnanců nebude platná. Důvodem neplatnosti bude zpravidla nerovné postavení zaměstnance a zaměstnavatele, kdy je vysoká pravděpodobnost, že neudělení souhlasu bude mít pro zaměstnance negativní důsledky. Pokud by však zaměstnavatel skutečně zajistil to, že odmítnutí udělení souhlasu pro zaměstnance žádné negativní důsledky mít nebude, lze stále v omezené míře využít i tohoto právního titulu.
Co se rozumí automatizovaným rozhodnutím dle čl. 22 GDPR?
Automatizované rozhodnutí je dle definice v čl. 22 odst. 1 GDPR rozhodnutím založeným výhradně na automatizovaném zpracování, včetně profilování, které má právní účinky na subjekt údajů nebo na něj obdobným způsobem významně dopadá. V současnosti panují odlišné názory ohledně toho, zda je nutné klást důraz na pojem „výhradně“ a vyjmout z působnosti tohoto ustanovení každé rozhodnutí, které má v sobě alespoň nominální prvek lidského zásahu, nebo jestli je nutné dbát spíše na smysl a účel tohoto ustanovení a výkladem překlenout výrazné nebezpečí zneužití.
S ohledem na to, že GDPR by mělo obecně zvýšit úroveň ochrany osobních údajů, s ohledem na výrazně ochranářský výklad poskytovaný WP29 a s ohledem na dosavadní směr výkladu podobných rozporů Soudním dvorem Evropské unie (dále jen „SDEU“) je však z důvodu opatrnosti vhodné zvolit střední cestu a přiklonit se spíše k názoru, že čistě nominální lidský prvek v řetězci rozhodnutí k vyjmutí z působnosti tohoto ustanovení nestačí. Člověk, který se na rozhodnutí podílí, by měl mít alespoň částečnou kontrolu nad rozhodnutím a určitou míru autonomie.
V praxi bývá automatizované individuální rozhodování využíváno např. v pojišťovnictví při výpočtu výše pojistného či v bankovnictví při posuzování úvěrového rizika a rozhodování o přiznání či odmítnutí úvěru.
Co je dle GDPR potřeba učinit ve vztahu ke zpracovatelům, tedy subjektům, které pro správce zpracovávají osobní údaje?
Podle čl. 28 odst. 1 GDPR má správce v první řadě povinnost využívat pouze ty zpracovatele, kteří mu dají dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektu údajů.
GDPR také klade nové, přísnější požadavky na smlouvy se zpracovateli osobních údajů. Ve smlouvě musí být stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie osobních údajů, a dále by měl správce zavázat zpracovatele, aby splnil požadavky dle čl. 28 odst. 3 písm. a) až h) GDPR. Zejména by měl se zpracovatelem smluvně ošetřit součinnost při výkonu práv subjektů údajů, oznamování a řešení bezpečnostních incidentů dle čl. 33 a 34 GDPR a otázku auditů, včetně inspekcí, prováděných správcem nebo auditorem, kterého správce pověří.
Každý správce by tedy měl před účinností GDPR prověřit, zda zpracovatelé, které využívá, skutečně tyto požadavky splňují a následně by to měl pravidelně prověřovat. Současně by měl revidovat smlouvy, které má s těmito zpracovateli uzavřeny, a případně je doplnit či upravit. Jelikož u velkých organizací může být počet zpracovatelů, které využívají, značný (zejména pokud pro distribuci svých produktů používají síť partnerů, kteří jsou často v postavení zpracovatele), může být revize smluv pracným a časově náročným úkolem. V praxi je proto klíčové stanovení priorit – logickým krokem je zahájit prověřování a úpravy u zpracovatelů, kteří představují pro subjekty údajů i pro správce největší riziko, např. z důvodu rozsahu zpracovávaných údajů citlivého charakteru či případně zjevně nedostatečného zabezpečení na straně zpracovatele.
Musí se dle GDPR všechny osobní údaje šifrovat?
Ačkoliv GDPR uvádí mezi bezpečnostními opatřeními v čl. 32 odst. 1 písm. a) šifrování, neznamená to, že je šifrování (či další uvedená opatření, jako např. pseudonymizace) třeba provádět u každého zpracování a pro všechny osobní údaje.
GDPR stanoví správci a zpracovateli povinnost přijmout vhodná technická a organizační opatření k zajištění integrity a důvěrnosti zpracovaných osobních údajů.[18] To, jaká opatření správce musí přijmout, záleží na posouzení rizika, které dané zpracování představuje, na stavu techniky a na nákladech na zavedení jednotlivých opatření. V tomto směru tak GDPR nepřináší žádnou změnu, stejný princip je upraven v § 13 ZOOÚ.
Novinkou je právě výčet v čl. 32 odst. 1 písm. a) až d), kde jsou uvedeny příklady bezpečnostních opatření, která by měl správce a zpracovatel v závislosti na výsledku posouzení rizika zavést.[19] GDPR nepožaduje, aby všechna tato opatření byla u každého zpracování zavedena, správce a zpracovatel by však měli jejich zavedení uvážit, a pokud se rozhodnou některé z uvedených opatření nezavést, měli by být schopni své rozhodnutí zdůvodnit.
V praxi je tedy třeba, aby každý správce a zpracovatel provedl pro své zpracování analýzu rizik, která dané zpracování představuje, a zavedl taková opatření, která vyhodnotí jako přiměřená daným rizikům, nákladům a dostupným technologiím. Přitom musí zvážit opatření vyjmenovaná v čl. 32 odst. 1 GDPR, avšak nejen je.[20] Následně je vhodné (samozřejmě vedle samotné implementace zvolených opatření) provedené posouzení přiměřeně dokumentovat, zejména za účelem splnění povinnosti prokázat (a nejen zajistit) soulad s GDPR.[21] Jelikož bezpečnostní rizika, náklady na zavedení i stav techniky se neustále mění, měli by správci a zpracovatelé do budoucna také zavést proces pravidelného přezkumu posuzování rizika pro bezpečnost zpracování a v případě změny okolností bezpečnostní opatření aktualizovat.
Když data neobsahují rodné číslo ani jméno a příjmení, jedná se dle GDPR o osobní údaje?
GDPR stanoví, že osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě.[22] V první řadě tedy není osobním údajem pouze samotný identifikátor jako rodné číslo nebo jméno a příjmení, ale veškeré informace o dané osobě, které jsou s tímto identifikátorem spojeny (např. kompletní záznam v personálním systému, který se vztahuje ke konkrétnímu zaměstnanci).
I v případě, kdy ze záznamu odstraníme všechny přímé identifikátory jako rodné číslo nebo jméno a příjmení, nemusí konkrétní záznam přestat obsahovat osobní údaje, pokud lze příslušná data přiřadit ke konkrétní fyzické osobě nepřímo. Pokud tedy např. zmíněný záznam v personálním systému obsahuje informace o věku, dosaženém vzdělání a kvalifikaci, které v rámci dané organizace odpovídají pouze jedné osobě, pak celý záznam (vč. případné výše mzdy daného zaměstnance apod.) stále představuje osobní údaje, i když jsou přímé identifikátory odstraněny.
Do jaké míry je třeba brát možnost nepřímé identifikace v potaz, stanoví bod 26 odůvodnění GDPR, dle kterého je třeba přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze použití prostředků k identifikaci fyzické osoby rozumně předpokládat, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Správce by se přitom měl zaměřit na konkrétní prostředky, kterými lze z anonymizovaných údajů jedince zpětně identifikovat, a přihlížet k tomu, jak nákladná je tato zpětná identifikace, jestli je k ní potřeba extenzivní know-how a jaká je pravděpodobnost, že k ní dojde.
Původní směrnice 95/46/ES[23] obsahovala obdobné ustanovení, ke kterému poskytl bližší výklad Soudní dvůr Evropské unie ve věci Breyer. Z rozhodnutí plyne, že možnost identifikace konkrétní osoby je třeba vnímat objektivně, a pokud existuje více než hypotetická možnost, že jiná osoba identifikaci provede, je třeba příslušná data považovat za osobní údaje. Konkrétním závěrem rozhodnutí je, že dynamická IP adresa shromažďovaná provozovatelem webové stránky je osobním údajem.[24]
V praxi tak budou osobními údaji i data, která správce upraví tak, aby neobsahovala přímé identifikátory (např. technikou tzv. hashování), a následně je předá ke zpracování třetí osobě, protože správce je schopen na základě původních dat provést zpětnou identifikaci subjektů údajů (pokud původní data neodstraní). V takovém případě se bude jednat o pseudonymizované údaje, tedy údaje chráněné bezpečnostním opatřením snižujícím riziko, které je s daným zpracováním spojeno, stále však podléhající režimu GDPR.
Pokud chce správce určitá data zcela vyjmout z režimu GDPR, je třeba provést jejich anonymizaci, v rámci které jsou data upravena takovým způsobem, že je nelze přiřadit ke konkrétní fyzické osobě, s přihlédnutím ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby.
Anonymizace není v praxi záležitostí jediné operace. Podle stanoviska WP29 č. 5/2014 ze dne 10. 4. 2014 k technikám anonymizace[25] lze úplné anonymizace docílit jen kombinací více metod, jako je agregace, permutace či „přidání šumu“. Jedině kombinací více takových opatření lze dosáhnout toho, že z datového souboru není možné vyčlenit jednotlivce, není možné propojit různé záznamy týkající se jedné osoby a z datového souboru není možné vyvodit informace týkající se jedné osoby – teprve pokud jsou tato posledně jmenovaná tři kritéria splněna, lze prohlásit, že osobní údaje jsou anonymizovány.
Musí každá organizace pracující s osobními údaji jmenovat pověřence pro ochranu osobních údajů?
Navzdory široce rozšířenému mýtu nemusí dle GDPR jmenovat pověřence zdaleka každý správce nebo zpracovatel. Tuto povinnost mají pouze:
• orgány veřejné moci a veřejné subjekty, s výjimkou soudů jednajících v rámci svých pravomocí,
• správci a zpracovatelé, jejichž hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, a
• správci a zpracovatelé, jejichž hlavní činnost spočívá v rozsáhlém zpracování citlivých údajů nebo údajů o trestné činnosti.[26]
Pro posouzení naplnění druhých dvou podmínek je klíčový výklad pojmů hlavní činnost a rozsáhlé zpracování. WP29 pojem hlavní činnost vykládá jako takovou činnost, která je nezbytná k dosažení cílů organizace, přičemž pro naplnění podmínky postačí, když je zpracování neoddělitelnou součástí takové činnosti. Jako příklad lze uvést nemocnici, jejíž hlavní činností je poskytovat zdravotnickou péči. Takovou péči by však nemohla bezpečně a efektivně poskytovat, pokud by nezpracovávala citlivé osobní údaje svých pacientů obsažené ve zdravotnické dokumentaci, proto bude takové zpracování osobních údajů hlavní činností nemocnice. Na druhou stranu nebude možné považovat za hlavní činnost takové zpracování, které probíhá běžně v různých organizacích za účelem dosažení sekundárních cílů, jako je zajišťování personálních procesů či správa IT infrastruktury.[27]
Podle WP29 současně nelze určit, které zpracování se považuje za rozsáhlé, pouze na základě jediného faktoru. Do úvahy bude nutné brát zejména počet subjektů údajů, kterých se zpracování dotkne, objem zpracovaných údajů, dobu a stálost zpracování či geografický rozsah činností zpracování. WP29 výslovně uvádí některé příklady rozsáhlého zpracování, mezi něž řadí např. zpracování údajů o pacientech v rámci běžného provozu nemocnice, zpracování osobních údajů o subjektech údajů v rámci systému městské hromadné dopravy nebo zpracování osobních údajů v rámci běžného provozu pojišťovny či banky. Konkrétní hranice z hlediska počtu subjektů údajů či počtu záznamů však není stanovena.[28]
Pro naplnění poslední podmínky je pak rozhodující pojem pravidelné a systematické monitorování. Dle názoru WP29 je nutné za takové monitorování považovat jakékoliv probíhající, opakované či pravidelné, organizované či systematické sledování a profilování subjektů údajů. WP29 uvádí také konkrétní praktiky, které budou za toto monitorování považovány, mezi něž řadí např. poskytování telekomunikačních služeb, cílení internetové reklamy pomocí e-mailu, profilování a skórování pro účely posouzení rizik apod.[29]
V praxi lze doporučit, aby každá organizace, která alespoň potenciálně může splňovat uvedené podmínky, provedla bližší posouzení na základě konkrétních činností zpracování, které provádí. V případě, že se rozhodne pověřence (pro nesplnění kritérií pro jeho povinné jmenování) nejmenovat, měla by příslušné odůvodnění důkladně dokumentovat, aby jej mohla v případě potřeby předložit ÚOOÚ. Pokud výsledek posouzení není jednoznačný, je z hlediska prevence rizik vhodným postupem pověřence jmenovat. Je však třeba pamatovat také na to, že i pověřenec jmenovaný dobrovolně musí splňovat všechny požadavky stanovené GDPR.[30]
Tématu GDPR se budeme věnovat i v následujících číslech Bulletinu advokacie.
[1] Viz Stanovisko ÚOOÚ ze srpna 2014 č. 3/2014 k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=22531.
[2] Bod 43 odůvodnění GDPR.
[3] Bod 42 odůvodnění GDPR.
[4] Viz Information Commissioner’s Office, Consultation: GDPR consent guidance. Dostupné z: https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf.
[5] Viz Information Commissioner’s Office, Deleting personal data. Dostupné z: https://ico.org.uk/media/for-organisations/documents/1475/deleting_personal_data.pdf, str. 5.
[6] K posouzení oprávněného zájmu blíže viz M. Nulíček, J. Donát, F. Nonnemann, B. Lichnovský, J. Tomíšek: GDPR/Obecné nařízení o ochraně osobních údajů, Praktický komentář, Wolters Kluwer, Praha 2017, str. 132. Viz též Pracovní skupina pro ochranu údajů zřízená podle článku 29: Stanovisko č. 6 /2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES, 9. 4. 2014, dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_cs.pdf, str. 30.
[7] Viz Pracovní skupina pro ochranu údajů zřízená podle článku 29, op. cit. sub 6, str. 25.
[8] Viz též Pracovní skupina pro ochranu údajů zřízená podle článku 29, op. cit. sub 6, str. 26.
[9] Viz návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích) COM/2017/010 final – 2017/03 (COD). Dostupné z: http://eur-lex.europa.eu/legal-content/cs/ALL/?uri=CELEX:52017PC0010.
[10] Viz § 7 odst. 3 ZSIS.
[11] Viz M. Maisner: Zákon o některých službách informační společnosti: komentář, C. H. Beck, Praha 2016, str. 2.
[12] Přehledný výklad k problematice přímého marketingu pomocí elektronických komunikací poskytuje např. stanovisko britského ICO k této problematice, viz Information Commissioner’s Office: Direct marketing, dostupné z: https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf.
[13] K fungování cookies blíže viz např. J. Donát, J. Tomíšek: Právo v síti: průvodce právem na internetu, C. H. Beck, Praha 2016, str. 11.
[14] Viz § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů. Tato úprava je však již nyní v rozporu s požadavky směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací.
[15] ÚOOÚ: Využívat databáze k rozesílání nabídek lze jen omezeně, 30. 6. 2016, dostupné z: https://www.uoou.cz/vyuzivat%2Ddata baze%2Dk% 2Dnbsp%2Drozesilani%2Dnab idek%2Dlze%2Djen%2Do mezene/d-25003. Požadavek na prokázání souhlasů vyplývá z čl. 7 odst. 2 GDPR.
[16] Kontrola v oblasti šíření obchodních sdělení (Zaplo Finance s. r. o.) [online].[cit. 2017-08-18]. Dostupné z https://www.uoou.cz/kontrola-v-oblast i-sireni-ob chodnich-sdeleni-za plo-finance-s-r-o/ds-4587/archiv=0&p1=4574.
[17] Viz Pracovní skupina pro ochranu údajů zřízená podle článku 29: Stanovisko č. 2 /2017 ke zpracování osobních údajů v zaměstnání, 8. 6. 2017, dostupné z: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.
[18] Viz čl. 32 odst. 1 GDPR.
[19] Podobný výčet obsahuje § 13 odst. 4 ZOOÚ pro automatizované zpracování, v ZOOÚ je však zavedení uvedených stanoveno jako povinné bez ohledu na výsledek analýzy rizik.
[20] K postupu analýzy rizik viz M. Nulíček, J. Donát, F. Nonnemann, B. Lichnovský, J. Tomíšek, op. cit. sub 6, str. 248 a 291.
[21] Jde o tzv. zásadu odpovědnosti, viz čl. 5 odst. 2 GDPR.
[22] Viz čl. 4 bod 1 GDPR.
[23] Viz směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[24] Viz bod 1 výroku rozsudku SDEU ze dne 19. 10. 2016 ve věci C‑582/14, Patrick Breyer. K pojmu IP adresa viz např. J. Donát, J. Tomíšek, op. cit. sub 13, str. 13.
[25] Viz Pracovní skupina pro ochranu údajů zřízená podle článku 29: Stanovisko č. 5 /2014 k technikám anonymizace, 10. 4. 2014, dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
[26] Viz čl. 37 odst. 1 GDPR.
[27] Viz Pracovní skupina pro ochranu údajů zřízená podle článku 29: Návrh výkladového pokynu WP29 k pověřenci pro ochranu osobních údajů, 13. 12. 2016, dostupné z: http://ec.europa.eu/newsroom/document.cfm?doc_id=43823, str. 6.
[28] Tamtéž, str. 7
[29] Tamtéž, str. 8.
[30] Pokud je prezentován v rámci organizace, na veřejnosti či vůči Úřadu jako pověřenec. To však nebrání tomu, aby organizace určila osobu či útvar odpovědný za problematiku ochrany osobních údajů, aniž by tyto osoby automaticky získaly status pověřence.