Dne 25. 5. 2019 uplynul rok od nabytí účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) [dále také „obecné nařízení“ nebo „GDPR “]. V předkládaném článku chceme popsat zásadní novinky, které přineslo GDPR , a to včetně jejich implementace v praxi. Vycházet přitom budeme především z vlastní zkušenosti s implementací obecného nařízení v prostředí územního samosprávného celku (kraje) a také u příspěvkových organizací tímto celkem zřízeným.
Rok účinnosti obecného nařízení o ochraně osobních údajů (GDPR) v praxi územní samosprávy
JUDr.
Petr
Pospíšil,
Ph.D., LL.M.,
Mgr.
Filip
Kokeš
Úvod
Obecné nařízení zásadním způsobem oživilo diskusi o problematice ochrany osobních údajů, která do doby jeho přijetí lehce ustupovala jiným tématům. Není přitom žádného sporu o tom, že přijetí nové legislativy, která se alespoň pokusí regulovat oblast ochrany osobních údajů, ve světle jejich zpracování při použití moderních technologií používaných ve 21. století je naprosto nezbytné. Nová právní úprava musí reflektovat dynamický rozvoj sociálních sítí, profilování uživatelů e-shopů, používání čteček otisků prstů, využívání kamerových systémů a řady dalších technologií, se kterými se lidé v současnosti setkávají na každém kroku, a to často bez uvědomění si skutečnosti, že jsou prostřednictvím moderní techniky zpracovávány jejich osobní údaje.
V podobném duchu se vyjádřila u příležitosti prvního výročí účinnosti GDPR i předsedkyně Úřadu pro ochranu osobních údajů JUDr. Ivana Janů:
„Nikdy nebylo tak jednoduché nabourat se někomu anonymně do soukromí, nikdy nešlo tak hladce odcizené osobní údaje zneužít k vlastnímu prospěchu, jako dnes. V důsledku globálního využívání internetu musela být právní úprava k ochraně osobních údajů zdokonalena. Ta stará už prostě nestačila technickému stavu naší doby.“
1)Zmíněnou nezbytnost přijetí nové právní úpravy považujeme za nutné zdůraznit v samotném úvodu našeho článku. Nařízení GDPR cílí zejména na zpracování osobních údajů v kybernetickém či online světě a jeho primární snahou je regulace obřích a často nadnárodních správců osobních údajů, kteří disponují skutečně enormním množstvím rozličných informací o svých uživatelích. Není těžké si domyslet, že typickým příkladem takovýchto správců jsou technologické giganty typu Google či Facebook. GDPR tedy akcentuje především na ochranu osobních údajů kolujících „virtuálním“ světem, který se však dennodenně stýká se světem „reálným“.2)
Jak jsme již uvedli, obecné nařízení se zaměřuje především na ochranu osobních údajů v kyberprostoru. Zároveň však stanoví univerzální pravidla, která platí pro všechny správce či zpracovatele osobních údajů, přičemž je víceméně lhostejné, jaký charakter činnosti provozuje ten který správce či zpracovatel osobních údajů. Nařízení dopadá stejně tak na obchodní společnosti, spolky, bytová družstva a další subjekty soukromého sektoru, jako na subjekty sektoru veřejného. Na první pohled se může zdát, že GDPR přináší správcům osobních údajů množství novinek a povinností, avšak s hlubší znalostí věci takto zjednodušující náhled na GDPR nesdílíme. Náročnost implementace GDPR je vždy závislá na tom, nakolik důsledně konkrétní správce osobních údajů dbal na dodržování donedávna platné právní úpravy zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále též „zákon č. 101/2000 Sb.“).
Již tento zákon totiž reflektoval harmonizační snahy Evropské unie v oblasti právní úpravy ochrany osobních údajů na celém území unie, když transponoval Směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Na základě vlastní zkušenosti se domníváme, že veřejný sektor dlouhodobě naplňoval právní úpravu zákona č. 101/2000 Sb. důsledněji než ten soukromý, a proto nutně nemuselo ve veřejném sektoru docházet k významným problémům při implementaci požadavků obecného nařízení. Ačkoliv, samozřejmě, nechceme a nemůžeme nijak generalizovat, soukromý sektor často tak důsledný při dodržování zákona č. 101/2000 Sb. nebyl a konkrétní privátní subjekty v pozici správců osobních údajů tak mohly nabýt dojmu, že GDPR přináší řadu nových pravidel a povinností.
Novinky, které přineslo GDPR a jejich implementace v praxi
Co nového GDPR přineslo a upravilo
Jak již bylo uvedeno v úvodu tohoto článku, GDPR lze nazvat spíše evolucí než revolucí v oblasti ochrany osobních údajů. Ostatně takto se o nové evropské legislativě vyjadřovali také odpovědní pracovníci Ministerstva vnitra a pojem „evoluce“ je v uvedené souvislosti používán také v odborné literatuře.3) V tomto článku tak pozornost zaměříme pouze na nové povinnosti, které obecné nařízení správcům osobních údajů přineslo, anebo procesy, které nařízení významněji pozměnilo.
Obecné nařízení ve svém čl. odst. 1 výslovně stanovilo „rozšířenou“ definici osobního údaje, kterým rozumí jakoukoliv informaci, prostřednictvím které lze přímo či nepřímo identifikovat danou fyzickou osobu, přičemž jako příklad uvádí i lokační údaje či síťový identifikátor.4) Vymezení ostatních základních pojmů zůstává víceméně obdobné jako v dosavadní úpravě dle zákona č. 101/2000 Sb. Obecné nařízení lehce modifikuje pojem citlivý údaj, který v § 4 písm. b) vymezoval zákon č. 101/2000 Sb. GDPR zavádí nové pojmenování citlivých údajů jako zvláštní kategorii osobních údajů dle čl. 9 nařízení a vyčleňuje do samostatného čl. 10 nařízení informace o odsouzení fyzické osoby za trestný čin.
Obecné nařízení dále oproti původní národní právní úpravě v čl. 5 odst. 1 výslovně zakotvuje zásady, kterými se má každé zpracování osobních údajů řídit. Jedná se o:
–
Zásadu zákonnosti, korektnosti a transparentnosti (tj., že každé zpracování musí být podřazeno pod některý z právních základů pro zpracování dle čl. 6 odst. 1 GDPR a musí být prováděno s nezbytným informováním subjektu údajů).
–
Zásadu účelového omezení (tj., že osobní údaje zpracovávané za daným účelem by bez dalšího neměly být zpracovávány k účelu jinému).
–
Zásadu minimalizace údajů (tj. při zpracování osobních údajů používat jen ty osobní údaje, které jsou pro daný účel zpracování nezbytné).
–
Zásadu přesnosti (tj. zpracovávané osobní údaje musí být „pravdivé“, odpovídat realitě).
–
Zásadu omezení uložení (tj. osobní údaje ponechávat jen po nezbytně dlouhou dobu a povinnost jejich likvidace po uplynutí této doby).
–
Zásadu integrity a důvěrnosti (tj. povinnost správce přijmout taková opatření, aby byly osobní údaje při zpracování dostatečně zabezpečeny a nemohlo dojít k neoprávněné manipulaci s nimi či ztrátě apod.).
–
Zmíněné zásady pak ještě doplňuje zásada zakotvená v čl. 5 odst. 2 obecného nařízení, tzv. zásada odpovědnosti, tj. že je povinností správce doložit, že zásady zpracování osobních údajů uvedené v odst. 1 prokazatelně plní. Lze tak říci, že dle této zásady nese důkazní břemeno ohledně plnění povinností stanovených obecným nařízením sám správce osobních údajů.
GDPR rovněž lehce modifikovalo jednotlivé právní tituly pro zpracování osobních údajů, když v čl. 6 odst. 1 písm. a) až f) stanovilo tyto právní tituly:
–
souhlas se zpracováním osobních údajů,
–
plnění uzavřené smlouvy anebo jednání o jejím uzavření,
–
plnění právní povinnosti,
–
životně důležitý zájem,
–
vykonávání úkolu ve veřejném zájmu,
–
oprávněný zájem správce osobních údajů.
Novinkou, kterou přineslo obecné nařízení, je též zavedení zcela nových institutů posouzení vlivu na ochranu osobních údajů (někdy též uváděno pod anglickou zkratkou DPIA) a předchozí konzultace a to v čl. 35 a 36 nařízení. Tyto instituty nahradily oznamovací povinnost dle § 16 až 19 zákona č. 101/2000 Sb. dozorovému úřadu (v ČR Úřad pro ochranu osobních údajů). Účelem těchto institutů je, aby správce sám vyhodnotil před samotným započetím zpracování osobních údajů, které může být ohrožující pro práva a svobody fyzických osob, zda takové zpracování nepředstavuje nepřiměřené riziko pro tyto práva a svobody. Pokud správce dojde k takovému zjištění, že riziko je skutečně vysoké, je povinen konzultovat toto zpracování s dozorovým úřadem, který k takovému zpracování vydá povolení. Z dostupných zdrojů je zřejmé, že v roce 2018 se žádný správce ani zpracovatel na český dozorový úřad se žádostí o konzultaci dle čl. 36 obecného nařízení neobrátil.5)
Další změnou, které GDPR přineslo, je rozšíření okruhu práv subjektu údajů. Zákon č. 101/2000 Sb. v § 12 sice upravoval právo subjektu údajů na přístup k osobním údajům, ovšem až GDPR přineslo rozšíření práv, které může subjekt údajů vůči správci osobních údajů uplatnit. Těmito novými právy jsou tedy právo na opravu zpracování nepřesných osobních údajů, právo na výmaz osobních údajů (tzv. právo být zapomenut), právo na omezení zpracování, právo na přenositelnost, právo vznést námitku proti zpracování a právo podat stížnost u dozorového orgánu. S právy subjektů se rovněž pojí modifikovaná tzv. informační povinnost, kdy subjekt údajů musí být dostatečně informován o tom, jak bude s jeho osobními údaji nakládáno (tj. jaké osobní údaje budou zpracovávány, za jakým účelem, po jak dlouhou dobu, či zda budou zpřístupněny dalším osobám) ještě před zahájením samotného zpracování.
Zřejmě nejvýznamnější novinkou, kterou přineslo do českého právního řádu obecné nařízení, je institut pověřence pro ochranu osobních údajů, který je znám též pod zkratkou DPO (Data protection officer). Tento institut byl převzat z jiných evropských zemí a nyní je tak zaveden v rámci územní působnosti obecného nařízení i v řadě zemí, kde se (stejně jako v ČR) dříve neobjevoval.6) Institut pověřence je upraven v čl. 37 až 39 GDPR.
Pověřenec má u správce či zpracovatele osobních údajů plnit roli konzultanta a kontaktního místa pro oblast ochrany osobních údajů. Mělo by se jednat o osobu, která je dobře obeznámena s chodem a organizační strukturou správce či zpracovatele, u něhož působí. Pověřenec je v rámci své funkce odpovědný nejvyššímu vedení daného správce či zpracovatele a je při výkonu své funkce nezávislý na pokynech správce. Jeho úkolem je pravidelně monitorovat činnost správce, zda je tato prováděna v souladu s právními (popř. i vnitřními) předpisy v oblasti ochrany osobních údajů a na případný nesoulad upozornit správce či zpracovatele. Rovněž by DPO měl poskytovat
ad hoc
konzultace a vyjádření ke konkrétnímu zpracování či zamýšlenému zpracování osobních údajů prováděného správcem či zpracovatelem. Pověřenec zároveň působí jako komunikační prostředník mezi subjekty údajů (zejména zaměstnanci, klienty či smluvními partnery) a správcem, a také mezi správcem a dozorovým úřadem. Pověřenec je dle čl. 37 odst. 1 písm. a) až c) obecného nařízení obligatorně jmenován v těchto případech:–
správce je orgánem veřejné moci či veřejným subjektem,
–
správce provádí rozsáhlé, pravidelné a systematické monitorování subjektů údajů,
–
správce provádí rozsáhlé zpracování údajů zvláštní kategorie dle čl. 9 a údajů ohledně trestní minulosti dle čl. 1 GDPR.
Pověřenec taktéž může být jmenován též na základě dobrovolného rozhodnutí správce či zpracovatele osobních údajů.
Poslední významnou (a mediálně často zmiňovanou) oblastí, kterou GDPR nově upravilo, je oblast peněžních sankcí za porušování obecného nařízení, zejména pak jejich výše. Článek 83 obecného nařízení tak stanoví, že maximální výše udělené pokuty může být až 20 mil. EUR anebo až 4 % celkového ročního obratu správce.
K dopadu těchto sankcí na subjekty veřejné sféry se blíže vyjádříme dále v textu článku.
Implementace GDPR v praxi, včetně zavádění novinek, které přineslo
Implementaci požadavků obecného nařízení lze schematicky shrnout do tří kroků. První krokem je provedení jakési inventury či datového auditu, tzn. zjištění, jaké osobní údaje jsou u daného správce zpracovávány, v jakých informačních systémech, zda jsou předávány třetí straně apod. Druhým krokem je porovnání zjištěného stavu s požadavky obecného nařízení. Z tohoto porovnání se pak odvíjí činnosti realizované návazně v kroku třetím, tedy odstranění nesouladu zjištěného skutečného stavu s požadavky obecného nařízení. Tato podkapitola se bude věnovat zejména třetímu kroku implementace v souvislosti s novými povinnostmi zmíněnými v subkapitole výše.
V rámci implementace je na samém počátku nezbytné uvědomit si, že osobní údaje jsou představovány velmi širokou škálou dat a informací, přičemž zdaleka nejde jen o data typu jméno, příjmení, datum narození apod. Osobními údaji, které jsou běžně zpracovávány také subjekty veřejného sektoru, jsou např. i cookies na webových stránkách, registrační značky vozidel (např. v knize návštěv) nebo fotografie. I při zpracování těchto osobních údajů je nutné mít na paměti, že správce těchto osobních údajů musí plnit veškeré povinnosti dle GDPR, které se na něj vztahují, zejména co se týče informační povinnosti. U cookies se typicky může jednat o lištu na webových stránkách, která návštěvníka informuje, co se s jeho osobními údaji bude dít. Často diskutovaným tématem je pořizování fotografií, kde navíc, kromě úpravy veřejnoprávní (tj. GDPR a národní
legislativa
v oblasti ochrany osobních údajů), vstupuje též úprava soukromoprávní, konkrétně ochrana osobnosti dle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Víceméně bezproblémové je pořizování fotografií (a jejich následné zveřejnění např. na webu, či v tištěném zpravodaji), které dokladuje činnost daného správce – typicky se může jednat např. o společenské události v obcích, typu plesy, poutě, sportovní utkání, anebo např. absolventské koncerty u základních uměleckých škol. Takové pořizování fotografií, včetně jejich uveřejnění, lze standardně podřadit pod tzv. žurnalistickou licenci dle § 89 a násl. občanského zákoníku. Pokud však půjde o fotografie pořizované za účelem propagace správce osobních údajů (např. brožura, která láká nové studenty ke studiu na střední škole), tak tyto nelze pod žurnalistickou licenci podřadit, jelikož primárním účelem zveřejnění takových fotografií není informování o dění u správce. V takovémto případě je nutné mít od osob vyobrazených na fotografii (jde-li např. o studenty či pedagogy střední školy) souhlas se zpracováním osobních údajů.Dalším praktickým příkladem je zpracovávání otisků prstů za účelem evidence docházky zaměstnanců. Pokud zaměstnavatel pro evidenci docházky svých zaměstnanců používá jako identifikátor daného zaměstnance jeho otisk prstu, je nutné, aby měl zaměstnavatel souhlas se zpracováním osobních údajů od zaměstnance (i když ani ten nemusí v některých případech dostačovat).7) Zpracovávání otisku prstu (tedy biometrického údaje, což je údaj zvláštní kategorie dle čl. 9 GDPR) jako identifikátoru zaměstnance je nepřiměřené, resp. takové identifikace lze dosáhnout jinými prostředky, které nezasahují tak vysokou mírou do soukromí zaměstnanců (pokud správce nedokáže, že je takováto identifikace nezbytná, např. v nebezpečných provozech apod.).8)
K zásadám, na nichž je GDPR postaveno, lze uvést, že zásada zákonnosti je v rámci veřejné správy aplikována vcelku bezproblémově, protože velkou většinu agendy tyto subjekty vykonávají na základě povinností uložených právními předpisy, navíc se mohou opřít o právní titul plnění úkolu ve veřejném zájmu.
V tomto případě lze dobře ilustrovat snahu GDPR, aby nedocházelo k nadužívání souhlasu se zpracováním osobních údajů. Tento právní titul by měl v oblasti veřejné správy být použit opravdu jen výjimečně. Z ostatních zásad je nutné upozornit zejména na zásadu minimalizace údajů, např. je běžnou praxí u kontrolních orgánů, že si při kontrolách vyžádají např. kompletní osobní spis zaměstnance, který obsahuje řadu osobních údajů, které kontrolní orgán pro samotný výkon kontroly vůbec nepotřebuje. Kontrolovaný subjekt spíše ze strachu a respektu z kontroly osobní spis předá kontrolnímu orgánu – v této oblasti je nepochybně ještě velký prostor pro metodickou činnost jednotlivých ministerstev, které kontrolní orgány dozorují.
Na tomto místě je vhodné zmínit též zásadu omezení uložení. Většina subjektů veřejné sféry se pro tuto oblast řídí zákonem č. 499/2004 Sb., o archivnictví a spisové službě, ve znění pozdějších předpisů. Pokud tedy daný správce osobních údajů dodržuje důsledně tento právní předpis, neměl by se v zásadě dostávat do problémů. Je však nutné zmínit, že elektronická verze dokumentu, který je evidován ve spisové službě, by vždy měla následovat životní cyklus dokumentu ve formě písemné. Pokud dojde k uplynutí skartační lhůty u dokumentu, je nutné skartovat jeho fyzickou podobu, jeho elektronickou podobu uloženou ve spisové službě a taktéž by měla být odstraněna či upravena verze dokumentu, která může být uložena např. v počítači úředníka, který daný dokument vytvořil a uložil si jej pro inspiraci či jiné použití do budoucna. Takový postup spočívající v kumulaci uložení vícero forem dokumentu je ovšem třeba považovat za nežádoucí (je zde porušována i zásada účelového omezení). Pokud je snaha vést archiv např. správních rozhodnutí, která byla v minulosti vydána, za účelem využití odůvodnění v budoucích případech, je takový postup možný v případě provedení anonymizace osobních údajů v těchto rozhodnutích.
Tím se již dotýkáme i poslední zásady, tj. integrity a důvěrnosti, kdy je správce povinen zajistit zabezpečení osobních údajů. Anonymizace osobních údajů je jedním z prostředků této ochrany, který je zcela běžný např. u smluv podléhajících povinnosti uveřejnění v registru smluv. Dalšími prostředky jsou pak organizační a technická opatření, např. ukládání osobních údajů na fyzických nosičích v uzamykatelném prostoru anebo u osobních údajů v elektronické podobě zajištění jejich zálohování atd. Naplnění této zásady se pochopitelně významně odvíjí od finančních možností daného správce – logicky budou obcí I. typu přijata jiná opatření k ochraně osobních údajů než např. u kraje, který disponuje mnohonásobně vyšším rozpočtem i personálními kapacitami.
Funkce pověřence pro ochranu osobních údajů musí být zřízena u všech územních samosprávných celků, u všech školských zařízení i u zařízení ze sociální oblasti. Vzhledem k požadavkům, které GDPR na pověřence klade, si může správce vybrat ze tří možností způsobu zabezpečení výkonu této funkce:
1.
Externí subjekt – výhodné řešení z pohledu nestrannosti pověřence, nevýhodou jsou pak náklady, které je nutné vynaložit na úhradu odměny pro pověřence. Externí pověřenci jsou často sdíleni vícero subjekty, např. členy dobrovolného svazku obcí.
2.
Interní pověřenec na plný úvazek – u správce je zaměstnána osoba, která vykonává funkci pověřence a nemá v rámci své funkční náplně jinou agendu. Jedná se dobré řešení v době, kdy je prováděna implementace požadavků obecného nařízení či dochází k realizaci mnoha nových zpracování anebo se jedná o velkého správce osobních údajů (např. nemocnice či dopravní podnik). Pokud je však ochrana osobních údajů nastavena u správce v souladu s GDPR a nečiní tato
agenda
potíže, nemusí správce pro pověřence na plný úvazek najít zcela plné využití.3.
Interní pověřenec, který vykonává ještě další činnost – jedná se o poměrně běžnou variantu výkonu funkce pověřence. Má výhodu v tom, že pověřenec má dobrou znalost prostředí u správce (organizační struktura, informační systémy, vnitřní předpisy) a může tak své konzultace více „šít na míru“. Velkým rizikem u této varianty však je potenciální střet zájmů ve smyslu čl. 38 odst. 6 GDPR – pověřencem nesmí být zároveň osoba, která u správce určuje, jaká zpracování osobních údajů jsou u správce prováděna. Střet zájmů by např. nastal v případě, kdy by pověřenec zároveň mohl rozhodovat o nákupu IT techniky (tedy jako pověřenec by správci doporučil nákup nového softwaru z důvodu nutnosti zvýšení zabezpečení osobních údajů a jako ředitel IT odboru by podepsal objednávku). Jinými slovy pověřenec nesmí být současně osobou, která by za správce či zpracovatele rozhodovala o účelech a prostředcích zpracování, tj., musí být dodržena informační a konzultační funkce pověřence.9)
Praktická aplikace a použití GDPR
Nabytí účinnosti GDPR provázelo velké očekávání a nejistota v řadách správců, a to zejména z toho důvodu, že nikdo nebyl schopen předpovědět, k čemu reálně od 25. 5. 2019 dojde. Po prvním roce účinnosti GDPR, alespoň v oblasti samosprávy, lze zhodnotit, že k zásadním změnám v oblasti ochrany osobních údajů, např. co se týče uplatňování práv subjektů údajů, nedošlo. Jak již bylo několikrát zmíněno, pokud správci dodržovali dosavadní právní úpravu, nenastaly žádné větší problémy.
Dobrým příkladem je anonymizace osobních údajů. V praxi před účinností GDPR i po ní správci osobních údajů prováděli anonymizaci osobních údajů např. při zveřejňování dokumentů na úřední desce či v zápisech ze zasedání zastupitelstva územního samosprávného celku. V této oblasti tak vůbec nemuselo docházet ke změnám, za předpokladu, že celý proces anonymizace byl již dříve systematicky zvládnut.
Rovněž lze pozorovat, že si již správci navykli v případě akcí, kde jsou pořizovány fotografie, upozorňovat na jejich pořizování. Děje se tak např. obyčejnou cedulkou u vstupu do kulturního domu či označení fotografa prostřednictvím reflexní vesty zase u akcí odehrávajících se venku.
Za pozitivní lze považovat také to, že účinnost GDPR přinesla obecně u správců větší důraz na ochranu osobních údajů. Za utěšený stav lze považovat, když při realizaci nových činností, které mohou mít vliv na ochranu osobních údajů, si odpovědný pracovník uvědomí, že by takovou činnost měl zkonzultovat s pověřencem pro ochranu osobních údajů. To je důležité zejména z pohledu dnes velmi žádaných aktivit v oblasti smart cities apod. Při těchto aktivitách může docházet i k rizikovým zpracováním osobních údajů – např. skenování poznávacích značek motorových vozidel či zpracovávání osobních údajů o platebních kartách, které mohou být velmi dobře použitelné pro sledování efektivity různých aplikací či četnosti používání nových platebních metod např. při platbě jízdného v prostředcích hromadné dopravy platební kartou. Správce, který se pustí do takových zpracování, musí mít otázku ochrany osobních údajů zvládnutou naprosto perfektně (i s ohledem na zásadu odpovědnosti).
Po roce účinnosti obecného nařízení lze rovněž říci, že v tomto období nedošlo k významnému zvýšení uplatnění práv subjektu údajů. Například Moravskoslezský kraj v tomto období neobdržel žádnou takovou žádost. Taktéž ani u zřízených (cca 200) příspěvkových organizací nebylo zjištěno uplatnění práv ve větší míře než v jednotkách žádostí.
Určitým evergreenem, který první rok účinnosti GDPR provázel, bylo přijímání doprovodné národní legisla-tivy. To bylo završeno nabytím účinnosti zákona č. 110/2019 Sb., o zpracování osobních údajů, a zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Oba zmíněné zákony nabyly účinnosti dne 24. 4. 2019, tedy téměř rok od nabytí účinnosti GDPR.
Jedná se však opravdu jen o doplňující zákony, které v mantinelech nastavených obecným nařízením pouze upravily některé záležitosti. Za nejpodstatnější změnu (a rozhodně ji lze považovat za velmi pozitivní) je upuštění od finančních sankcí za porušení GDPR pro subjekty veřejné sféry.10) To lze kvitovat s velkým povděkem, protože zejména menší obce a jejich příspěvkové organizace se vysloveně děsily obřích pokut, které GDPR umožňuje uložit. Je pochopitelné, že v souladu se zásadami správního trestání by nebylo možné např. obec I. či II. typu potrestat pokutou, která by měla likvidační charakter, nicméně výslovné zakotvení v zákoně rozhodně přidá na klidu představitelům obcí, příspěvkových organizací a dalších subjektů veřejného sektoru.
Nelze nezmínit také úpravu zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, která byla provedena zákonem č. 111/2019 Sb. jedná se o zavedení tzv. informačního příkazu11) a rovněž úpravu nových pravomocí Úřadu pro ochranu osobních údajů.12) Pro úplnost je nutné dodat, že popisované změny nastanou s odloženou účinností, a to k 1. 1. 2020.
Výhled do budoucna
V současné době lze GDPR považovat za již stabilní součást českého právního řádu. Po prvním roce jeho účinnosti už jistě nemá takovou pověst strašáka jako před 1–2 lety. Přesto však GDPR zůstává pro svou už z názvu plynoucí obecnost a abstraktnost nadále svým způsobem neoblíbeným a hůře uchopitelným tématem.
V oblasti veřejné sféry a speciálně samosprávy lze hovořit o ustálení agendy ochrany osobních údajů v oblasti požadavků, které GDPR přineslo. Nyní by již všichni správci osobních údajů měli být v
post
implementační fázi, tj. všechny významné povinnosti stanovené obecným nařízením by měli plnit (např. plnění informační povinnosti na webu, jmenování pověřence, uzavření zpracovatelských smluv apod.) a své procesy již jen slaďovat a upravovat dle aktuální situace a potřeby.GDPR přechází do praxe, a tak je nutné do budoucna zejména pozorně sledovat činnost Úřadu pro ochranu osobních údajů nebo Ministerstva vnitra. V nadcházejících letech zajisté dojde k vytvoření doporučení a stanovisek Úřadu pro ochranu osobních údajů i judikatury české i evropské.
Na činnosti Úřadu pro ochranu osobních údajů lze uvedený trend „usazování GDPR“ vypozorovat, kdy v prvním roce účinnosti GDPR působil úřad spíše jako rádce a konzultant a nyní ve svém postupu přitvrzuje adekvátně k době, která od účinnosti uplynula. Konzultační činnost úřadu zajisté ani do budoucna nebude upozaděna, nicméně lze na pokutách udělených v posledním zhruba půl roce pozorovat, že Úřad již přistupuje i k udělování pokut ve významnějších částkách.13)
Platí, že ten, kdo přípravu na příchod obecného nařízení nepodcenil, může dnes jen monitorovat situaci a upravovat své vnitřní procesy a předpisy dle potřeby. Kdo však v oblasti plnění povinností dle GDPR nemá zcela čistý štít, ten by měl tuto situaci urychleně dát do pořádku. Zdůrazňujeme však, že zákonem zakotvená „beztrestnost“ veřejné sféry v případě porušování obecného nařízení nijak nezbavuje správce a zpracovatele povinnosti plnit požadavky obecného nařízení!
Závěr
První rok účinnosti GDPR pro oblast samosprávy lze zhodnotit veskrze pozitivně. Nevyplnily se katastrofické scénáře, které předpovídaly zahlcení úřadů žádostmi subjektů údajů a paralýzu jejich činnosti. Oblast ochrany osobních údajů zcela přirozeně nabývá na stále větší důležitosti i vzhledem k tomu, že digitalizace a elektronizace se nevyhýbá ani veřejné správě, ba právě naopak.
Na druhou stranu, u mnohých občanů si GDPR vybudovalo svou nesrozumitelností (vyvolanou do jisté míry absencí jakékoliv systematické informační kampaně pro občany) přesně opačnou pověst, než bylo jeho záměrem. Nelze se tedy divit, že běžného občana může oblast ochrany osobních údajů znechutit a občan pak může GDPR vnímat jako něco, co jej v zásadě jen obtěžuje a nutí jej neustále odklikávat a podepisovat nějaké obtěžující formuláře.
I přes výše uvedené nedostatky je potřeba jednotné evropské legislativy upravující zpracování osobních údajů nezpochybnitelná. Obecné nařízení je v těžké pozici, snaží se regulovat oblast, jejíž technologický vývoj bude vždy rychlejší než vývoj legislativy, navíc svým zněním musí pokrýt úpravu širokého spektra zpracování osobních údajů, a ještě se územní působností vztahuje na celou Evropskou unii i za její hranice, pokud např. správce osobních údajů usazený mimo unii provádí zpracování na území členských států. O to důležitější je výklad obecného nařízení v souladu se zásadami, na němž stojí, s rozhodovací praxí, která se začíná utvářet, a pokud je to aspoň trochu možné, tak zejména se zdravým selským rozumem.
1) Rok od posílení ochrany osobních údajů. Oficiální webové stránky Úřadu pro ochranu osobních údajů [online]. Praha, 2019 [cit. 2019-06-16]. Dostupné z: https://www.uoou.cz/rok-od-nbsp-posileni-ochrany-osobnich-udaju/d-34227.
2) Tento akcent lze vyčíst z recitálů 6 a 7 obecného nařízení:
„(6) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. … (7) Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu. Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje. Měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci.“
3) KOUKAL, Lukáš a Michal ZAHRADNÍK. Ochrana osobních údajů ve světle obecného nařízení GDPR. In: Právní prostor [online]. 2017 [cit. 2019-06-16]. Dostupné z: https://www.pravniprostor.cz/clanky/ostatni-pravo/ochrana-osobnich-udaju-ve-svetle-obecneho-narizeni-gdpr.
4) Již v minulosti Nejvyšší správní soud poukázal na nutnost vykládat pojem osobní údaj šířeji -– k tomu viz Rozsudek Nejvyššího správního soudu, čj. 9 As 34/2008-68:
„Plná identita fyzické osoby v současných podmínkách technologicky vyspělé společnosti, tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace snadno dostupná, ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto se výklad pojmu ‚osobní údaj‘ nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“
5) V některých případech žádost směřovala k tomu, zda má správce provádět posouzení vlivu na ochranu osobních údajů podle článku 35. V této souvislosti bylo upozorňováno, že rozhodnutí vypracovat posouzení vlivu je na správci, který má s Úřadem konzultovat až případná zbytková vysoká rizika podle článku 36 obecného nařízení. Kvalifikovanou žádost o předchozí konzultaci podle tohoto článku však Úřad v roce 2018 neobdržel. Viz str. 38 Výroční zprávy Úřadu pro ochranu osobních údajů za rok 2018. In: Oficiální webové stránky Úřadu pro ochranu osobních údajů [online]. 2019 [cit. 2019-06-16]. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=33526.
6) NULÍČEK, M., DONÁT, J., NONNEMAN, F., LICHNOVSKÝ, B., TOMÍŠEK, J. GDPR.
Obecné nařízení o ochraně osobních údajů. Praktický komentář.
Praha: Wolters Kluwer ČR, 2017, s. 332: „Funkce pověřence není zcela nový koncept, v různých podobách se objevuje v právních řádech některých zemí EU již řadu let. V současnosti tak pověřenec pro ochranu osobních údajů existuje např. v legislativě Německa, Francie, Maďarska, Slovinska či Polska.“
7) K tomu viz tento závěr z kontroly provedené Úřadem pro ochranu osobních údajů v mateřské škole – Kontrola zpracování osobních údajů pro účely vstupu do mateřské školy (Mateřská škola Hellichova). Oficiální webové stránky Úřadu pro ochranu osobních údajů [online]. 2018 [cit. 2019-06-16]. Dostupné z: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=4949&n=kontrola%2Dzpracovani%2Dosobnich%2Dudaju%2Dpro%2Ducely%2Dvstupu%2Ddo%2Dmaterske%2Dskoly%2Dmaterska%2Dskola%2Dhellichova.
8) V současné době chybí stanovisko Úřadu pro ochranu osobních údajů k této problematice, které by reflektovalo současnou právní úpravu. Nicméně obdobné závěry lze najít zde: Upozornění na změnu v posuzování systémů využívajících biometrické údaje (dříve „Stanovisko č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců“). Oficiální webové stránky Úřadu pro ochranu osobních údajů [online]. 2018 [cit. 2019-06-16]. Dostupné z: https://www.uoou.cz/upozorneni-na-zmenu-v-nbsp-posuzovani-systemu-vyuzivajicich-biometricke-udaje-drive-quot-stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizace-zamestnancu-quot/d-29048/p1=1099.
9) ŽŮREK, J.
Praktický průvodce GDPR.
Olomouc: Anag, 2017., s. 112.11) Viz nové znění § 16 odst. 4 zákona č. 106/1999 Sb.: „
Neshledá-li nadřízený orgán důvody pro odmítnutí žádosti, zruší rozhodnutí povinného subjektu o odmítnutí žádosti nebo jeho část a řízení v tomto rozsahu zastaví. Současně rozhodnutím přikáže povinnému subjektu požadovanou informaci žadateli poskytnout ve lhůtě, která nesmí být delší než 15 dnů ode dne oznámení rozhodnutí o odvolání povinnému subjektu. Proti rozhodnutí nadřízeného orgánu podle věty první se nelze odvolat. Poskytnutí informace povinným subjektem lze exekučně vykonat.“
12) Viz nové znění § 16b zákona č. 106/1999 Sb.: „
(1) Rozhodnutí nadřízeného orgánu lze přezkoumat v přezkumném řízení, pro jehož vedení podle zvláštního právního předpisu je příslušný Úřad pro ochranu osobních údajů.(2) Dospěje-li správní orgán při přezkumu k závěru, že informace byly odepřeny nezákonně, a dostupné informace o právním a skutkovém stavu nevyvolávají důvodné pochybnosti, postupuje obdobně podle § 16 odst. 4. (3) K opatřením proti nečinnosti nadřízeného orgánu podle zvláštního právního předpisu je příslušný Úřad pro ochranu osobních údajů.“
13)
Od účinnosti GDPR, tedy od 25. května 2018, bylo uskutečněno 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů. Dalších 23 kontrol probíhá. V souvislosti s GDPR Úřad k dnešnímu dni udělil osm pravomocných pokut v celkové výši 370 000 Kč. Mezi pokutovanými subjekty jsou marketingová a zprostředkovatelská firma, banka, podnikatelský subjekt, nezisková organizace, otevřený webový registr nebo půjčovna aut.
Viz: Rok od posílení ochrany osobních údajů. Oficiální webové stránky Úřadu pro ochranu osobních údajů [online]. Praha, 2019 [cit. 2019-06-16]. Dostupné z: https://www.uoou.cz/rok-od-nbsp-posileni-ochrany-osobnich-udaju/d-34227.