Michal Nulíček, Josef Donát, František Nonnemann, Bohuslav Lichnovský, Jan Tomíšek: GDPR/Obecné nařízení o ochraně osobních údajů. Praktický komentář
publikováno: 22.11.2017
Komentář je jednou z prvních ucelených českých publikací k obecnému nařízení o ochraně osobních údajů (GDPR) a naplňuje záměr, pro který byl vydán. Předpokládáme, že ze strany veřejnosti, zejména podnikatelských subjektů zpracovávajících osobní údaje, bude o publikaci značný zájem. To vše vyplývá již z toho, že jej psali autoři, kteří se ochraně dat věnují profesně dlouhá léta, a tato problematika je jim po věcné stránce rozhodně blízká.
Komentář ke GDPR se snaží být ryze praktický. Uveden je předmluvou, která čtenáři přibližuje důvody, jež vedly autory k napsání této publikace. V předmluvě jsou rozepsány fáze, které by měly být pro správce vodítkem při implementaci GDPR. Z pohledu čtenáře jde o praktický návod a jednotlivé členění fází by možná zasluhovalo samostatnou kapitolu a hlubší věcný rozbor. Nicméně ten je limitován rozsahem a zaměřením první praktické publikace. Pro řadu subjektů jsou zmíněné fáze prvním a důležitým krokem, tudíž nezbytným vodítkem, jak zpracování dat s ohledem na nové GDPR správně a efektivně uchopit. Zdůvodnění vzniku publikace je kromě předmluvy výstižně shrnuto v úvodu, který seznamuje čtenáře také se strukturou a členěním této publikace.
Knize nelze upřít přehlednost. Členění do kapitol a oddílů podle GDPR, jež autoři zvolili, je zcela logický a vhodný způsob řazení. Chce-li si čtenář ujasnit některá ustanovení GDPR, která se ho týkají, jednoduše a rychle – buď dle věcného rejstříku, anebo článků dle GDPR – vyhledá příslušný text pojednávající o dané věcné problematice. O přehlednosti čtenáře informuje i text obsažený v úvodu publikace: „Komentář je strukturovaný dle jednotlivých článků Nařízení, které jsou již v rámci předpisu členěny do tematických celků v řádech kapitol a oddílů.“
Prvních 54 stránek publikace tvoří text recitálu GDPR, se kterým autoři dále pracují. V rámci jednotlivých kapitol je tak odkazováno na recitály, přičemž tato propojenost doplňuje, potvrzuje a někdy také vyjasňuje záměry právní úpravy ochrany osobních údajů, a je pro lepší pochopení samotného textu GDPR bezpochyby přínosem.
První kapitola pojednávající o právu na soukromí a jeho historii jednoduše a naprosto výstižně přibližuje genezi, která vedla k současnému zakotvení práv ochrany osobních údajů. Jde o zdánlivě nevhodné zařazení této části do praktické příručky, které je však pro čtenáře „zpestřením“ a s ohledem na pozoruhodně podaný přehled historie je nejen přínosem, ale také odlehčením od textu týkajícího se práv, povinností a sankcí vyplývajících z GDPR. Lze předpokládat, že v budoucnu bude toto část publikace zdrojem a inspirací pro další odborné práce.
Přínosem praktické příručky je v některých částech také porovnání s anglickým textem GDPR, např. k čl. 3 autoři mimo jiné uvádějí: „Česká jazyková verze Nařízení v ustanovení o místní příslušnosti obsahuje nejednoznačnost, která může v praxi způsobit výkladové problémy. Konkrétně se jedná o odst. 2 tohoto článku… Není tak na první pohled jasné, zda se v EU mají nacházet osobní údaje, nebo subjekty údajů.“ Toto porovnání upozorňuje čtenáře na možná rizika, jež jeho interpretací mohou vyvstat, a tvoří přidanou hodnotu nejen pro případnou revizi české verze GDPR.
Jak vyplývá z názvu publikace, je zřejmé, že praktická příručka by měla obsahovat co nejvíce příkladů. Autoři se s tímto úkolem zdařile vypořádali, když nejen v rámci separátních, barevně odlišitelných okének s názvem „Příklad:“, ale také v rámci jednotlivých výkladových ustanovení uvádějí řadu příkladů z praxe. Např. k opatření doložení souladu s GDPR se autoři zmiňují o výčtu dokumentů, jež by správce mohl dokladovat: „… zápisy z jednání vedení organizace o rozhodnutích týkajících se zpracování, dokumenty určující cíle…“ Jinými slovy, i v samotném textu lze najít návody, které jsou pro čtenáře užitečné, neboť jsou praktické.
Autoři ne vždy zcela úplně propojili jednotlivé články GDPR. Např. v rámci čl. 16 (právo na opravu) není uveden čl. 19 (oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování). Z našeho pohledu by tento článek měl být v rámci čl. 16 uveden tak, aby čtenáři bylo již při prvním čtení známo úskalí GDPR bez nutnosti podrobného čtení dalších ustanovení. Nicméně i toto je otázkou rozsahu a závěru základní publikace.
Byť autoři v úvodu uvádějí, že „právněteoretické abstraktní rozbory“ by neměly být obsahem publikace, je zřejmé, že se teorii ani v prakticky zaměřené publikaci vyhnout zcela nedá. To je naprosto pochopitelné a do určité míry i správné, jelikož právní rozbor jednotlivých pojmů, který je s ochranou dat spjat, je nezbytné čtenářům pro snadnější pochopení přiblížit i z hlediska teoretické roviny. Výklad pojmů osobní údaj, správce, zpracovatel a dalších pojmů obsažných v čl. 4 GDPR je tedy čtenáři přiblížen s nádechem teoretického výkladu.
V rámci výkladu pojmů správce/zpracovatel mohli autoři rozšířit praktické příklady o ty, jež jsou uvedeny ve stanovisku skupiny WP29 č. 1/2010 ze dne 16. 2. 2010 k pojmům „správce“ a „zpracovatel“, zvlášť když na jiných místech publikace autoři na stanoviska pracovní skupiny WP29 odkazují.
Do budoucna by zřejmě bylo vhodné ještě více prohloubit a rozpracovat problematiku ochrany fyzických osob podnikajících. S odkazem na stanovisko ÚOOÚ (k ochraně osobních údajů podnikajících fyzických osob) a SDEU je dle autorů v otázce ochrany této skupiny „konzistentní názor, podle něhož takové údaje za osobní údaje považují a vyjadřují nutnost přiznat jim stejnou úroveň ochrany jako v případě jakýchkoli jiných osobních údajů“. Ochrana dat této skupiny osob však nemůže dosáhnout stejné úrovně ochrany jako u fyzických osob. Nejenže zvláštní právní předpisy stanovují povinnost tyto osoby uvádět v rámci veřejných rejstříků, čímž se osobní údaje otevírají neomezenému počtu subjektů, ale také dle současné právní úpravy je každý oprávněn zpracovávat tyto údaje na základě zákonné výjimky. S GDPR zůstává nezodpovězená otázka, zda tyto veřejně dostupné informace bude možné zpracovávat na základě oprávnění vyplývajícího z GDPR jako „legitimate interest“ či nikoli.
S GDPR vyvstává řada otázek, jež je nezbytné v předstihu zodpovědět tak, aby byli správci připraveni na povinnosti, jež se jich budou týkat. Jednou z těchto otázek je souhlas subjektu údajů. Autoři výstižně pojali problematiku souhlasu a v rámci čl. 7 uvádějí příklady vztahující se k platnosti, resp. neplatnosti souhlasu. Zajímavá je bezpochyby úvaha o tom, zda bude nadále platný konkludentní souhlas. Publikace se kloní k názoru, že za splnění určitých předpokladů bude konkludentní souhlas platným souhlasem. Jistě je však vážnou otázkou, zda dle GDPR bude nadále možné dovozovat konkludentní souhlas (právní úkon učiněný jiným způsobem než ústně nebo písemně) tím, že subjekt údajů využil službu a byl pouze seznámen se zpracováním jeho osobních údajů. Souhlas bude muset být poskytnut aktivně (zaškrtnutím políčka, změnou nastavení soukromí atd.). Úvaha o konkludentním souhlasu je doplněna o dva příklady vztahující se ke zpracování údajů pro marketingové účely. Z rozhodovací praxe ÚOOU je zřejmé, že správce by však pouhým vložením e-mailové adresy do políčka pro zasílání obchodních sdělení, jak uvádějí autoři, neměl možnost souhlas dostatečně prokázat dle § 7 zákona č. 480/2004 Sb., příp. § 5 odst. 4 zákona č. 101/2004 Sb., a také dle čl. 7 odst. 1 GDPR.
Na závěr lze krátce shrnout, že silnou stránkou komentáře je jeho přehlednost, čtivé a didaktické členění textu s oddělením odstavců tučnými nadpisy. I přes drobné výtky a ojedinělé nesoulady v právním názoru můžeme konstatovat, že se odborné veřejnosti, praktikům ze strany povinných subjektů i dalších smluvních stran a v neposlední řadě i aktivním občanům nabízí komplexní a zejména praktický komentář, který může aplikaci GDPR velmi usnadnit a který by tak neměl scházet v knihovnách všech výše uvedených subjektů.
JUDr. JÁN JAROŠ, Mgr. FRANTIŠEK KORBEL, PhD., AK Havel, Holásek & Partners