Koho se GDPR týká?
Nařízení se týká všech fyzických i právnických osob, orgánů veřejné moci a institucí, které shromažďují nebo zpracovávají osobní údaje. Jedná se například o zpracovávání údajů o klientech, využívání osobních údajů pro marketingové účely, monitorování chování zákazníků, provozování kamerového systému nebo e-shopu. Jde o všechny organizace, které mají docházkový systém zaměstnanců, databázi zákazníků či uchazečů o zaměstnání, zálohují a archivují údaje, smlouvy nebo šifrují data. Charakteristická pro GDPR je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a tudíž má sjednocující účinek pro právní úpravu ochrany údajů. Velikost subjektu zde nehraje žádnou roli. Jaké jsou příklady osobních údajů? Jméno, adresa, datum narození, kontaktní údaje (např. e-mailová adresa, číslo telefonu), data z monitorovacích zařízení (bezpečnostní kamery, biometrická data), karty (vstupní, věrnostní), údaje související s monitoringem životního stylu (ankety na výživové návyky a využívání služeb, tělesné míry), počet osob při rezervaci v restauraci, datumy příjezdů a odjezdů hotelových hostů, soubory cookies, údaje z docházkových systémů, databáze zákazníků či uchazečů o zaměstnání, údaje o zaměstnancích, údaje na smlouvách, hesla apod. Pokud využiji své právo subjektu údajů na přístup k osobním údajům podle GDPR, do jaké lhůty mi správce bude muset zaslat informace? Ve smyslu ustanovení čl. 12 odst. 3 Obecného nařízení o ochraně osobních údajů je správce povinen poskytnout na žádost subjektu údajů dle článků 15 až 22 citovaného nařízení informace o přijatých opatřeních bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správci je uložena povinnost subjekt údajů o takovémto prodloužení informovat, a to do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Na základě čl. 13 odst. 4 GDPR nemusí správce poskytovat subjektu údajů informace o jeho zpracovávaných osobních údajích za situace, že subjekt už tuto informaci má. Je platný a účinný právní předpis, na jehož základě jsou osobní údaje subjektu zpracovávány, dostatečnou informací pro tento subjekt a je tedy možné za této situace využít znění čl. 13 odst. 4 GDPR? V daném případě může záležet na kontextu, ale obecně nelze považovat platný a účinný právní předpis za a priori zprošťující okolnost pro správce z povinnosti informovat subjekt údajů dle článku 13, resp. 14 Obecného nařízení. V jakém rozsahu musí správce poskytnout údaje na základě žádosti subjektu dle č. 15 GDPR za situace, kdy je tato žádost bez specifikace a je pojata obecně? Bude muset odpověď správce obsahovat i všechny osobní údaje z minulosti subjektu, které již správce nezpracovává? Správce by měl vždy řádně posoudit přijatou žádost dle článku 15 Obecného nařízení. Podotýkám, že v současné době zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 12 obsahuje ekvivalent tohoto práva. Pokud má správce pochybnosti o totožnosti osoby, která žádá o informace, může postupovat dle článku 12 odst. 6 Obecného nařízení, tj. může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů (který podává žádost). Jsme nezisková organizace – domov pro seniory s počtem 133 zaměstnanců. Musíme jmenovat pověřence pro ochranu osobních údajů? Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které zavádí Obecné nařízení (GDPR) k datu své účinnosti od 25. května 2018. Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný, jmenuje ho správce pouze za splnění jedné ze tří podmínek. Těmi jsou: § zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; § hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; § hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Dle Vašeho popisu organizace se na Vás nevztahuje ani jedna ze tří podmínek, tedy pověřence pro ochranu osobních údajů mít nemusíte. Můžete si ho však zřídit dobrovolně, pokud uznáte, že zřízení pověřence pro Vás bude užitečné, v takovém případě by pověřenec měl mít odpovídající odborné znalosti práva v oblasti ochrany osobních údajů a schopnosti plnit úkoly stanovené v čl. 39 Obecného nařízení. I v případě, že pověřence jmenovat nebudete, je vítané mít v organizaci určenou osobu, která se bude ochraně osobních údajů věnovat. Musí mít pověřenec pro ochranu osobních údajů nějakou certifikaci? Spousta firem certifikaci na DPO nabízí. Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i „necertifikovanou“ osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a citovaném obecném nařízení. Není vyloučeno, že některé firmy „certifikaci“ pověřenců nabízejí, nicméně využití certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak ze strany správce, který nemá povinnost vybírat certifikovaného pověřence. Budou muset společenství vlastníků jednotek jmenovat pověřence pro ochranu osobních údajů? Společenství vlastníků jednotek, jestliže provádějí pouze zpracování osobních údajů v souvislosti s činnostmi spočívajícími v zajišťování výkonu bytových spoluvlastnických práv a povinností tak, jak je upravuje zákon č. 89/2012 Sb., občanský zákoník (viz § 1158 a násl. občanského zákoníku), pověřence jmenovat nemusejí. Co se rozumí pod pojmem „rozsáhlé zpracování a rozsáhlé systematické monitorování“? Je možno tyto pojmy vyjádřit nějak kvantitativně? K výkladu pojmu „rozsáhlé zpracování a rozsáhlé systematické monitorování“, nejspíše myšleno ve vztahu k povinnosti jmenovat pověřence pro ochranu osobních údajů, doporučuji vycházet z vodítek pracovní skupiny WP29 k pověřencům. Vodítka jsou k dispozici na stránce https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750. Ve zmíněných vodítkách jsou tyto pojmy rozebrány. Co je to „veřejně přístupný prostor“ definovaný v čl. 35 odst. odst. 3 písm. c) GDPR? Je to pouze místo, kde může v určitém okamžiku vstoupit neomezený počet osob, a nebo jsou to i učebny ve školách a zkušebny v budovách orgánů veřejné správy? Co se týče výkladu pojmu „veřejně přístupný prostor“ ve vztahu k článku 35 odst. 3 písm. c) Obecného nařízení, lze odkázat na vodítka pracovní skupiny WP29 k posouzení vlivu na ochranu osobních údajů, ve kterých je na straně 9 v poznámce pod čarou čl. 15 k tomuto pojmu uvedeno: The WP29 interprets “publicly accessible area” as being any place open to any member of the public, for example a piazza, a shopping centre, a street, a market place, a train station or a public library. Lze se tak přiklonit k názoru, že to budou jiné prostory než učebny či školy, ty zpravidla nebudou splňovat definici pojmu veřejně přístupný prostor. Veřejně přístupným prostorem je typicky např. nákupní obchodní centrum, ulice, vlaková stanice nebo veřejná knihovna. Tato vodítka je možné stáhnout na odkazu http://ec.europa.eu/newsroom/document.cfm?doc_id=47711. Při zpracování osobních údajů, které jsou upraveny právním předpisem, není nutno provádět posouzení vlivu takového zpracování (viz čl. 35 odst. 10 GDPR a § 9 návrhu nového zákona). Vztahuje se toto zproštění povinnosti i na všechny zákony, u kterých nebylo v minulosti v rámci legislativního procesu provedeno posouzení vlivu na ochranu osobních údajů, tedy byly uvedeny v platnost a účinnost už před vydáním RIA? Návrh adaptačního zákona, který je v současné době v legislativním procesu s pracovním názvem zákon o zpracování osobních údajů, obsahuje ustanovení, že před zahájením zpracování osobních údajů, které je upravené právním předpisem, není nutno provádět posouzení vlivu zpracování na ochranu osobních údajů. Jakým způsobem má správce oznámit subjektu porušení zabezpečení osobních údajů dle čl. 34 odst. 1 GDPR? Stačí uveřejnit tuto informaci na svých webových stránkách? V případě správního obvodu obce III. typu, jež může zahrnovat statisíce občanů, je poskytnutí jiného druhu informace technicky velmi obtížné a finančně náročné. Doporučuji pozornosti článek 34 odst. 3 Obecného nařízení, případně vyčkat vodítek pracovní skupiny WP29 k tomuto tématu (porušení zabezpečení ochrany osobních údajů a souvisejících povinností). Jaký je vztah terminologie nařízení 2016/679 ke stávající terminologii v oblasti akreditace? V rámci českého překladu nařízení byla použita poněkud odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.). Níže jsou uvedeny některé ekvivalenty: Osvědčení = certifikát. Subjekt pro vydávání osvědčení = certifikační orgán. Kritéria pro vydávání osvědčení = certifikační požadavky. Kritéria pro akreditaci subjektů = akreditační požadavky. Co je osvědčení? Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky nařízení 2016/679. Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s nařízením 2016/679 podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů). Je získání osvědčení povinné? Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant (viz předchozí odstavec). K čemu mi bude osvědčení? Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s nařízením 2016/679. Osvědčení (certifikát) vydané v souladu s nařízením 2016/679 může usnadnit nákup produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením. Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se přejímající osoba (zpracovávající osobní údaje v zemi s nezajištěnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Co je předmětem hodnocení? Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných jedním nebo více informačními systémy), produkty (SW a HW) nebo služby. V současné době není součástí připravovaného schématu vydávání osvědčení (certifikátu) osobám (například pověřencům pro ochranu osobních údajů). Kdo může osvědčení vydávat? Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. Návrh zákona o zpracování osobních údajů aktuálně počítá s variantou, že akreditaci subjektů pro vydávání osvědčení bude provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o.p.s., se kterým již nyní Úřad úzce spolupracuje. Kdo akredituje subjekty pro vydávání osvědčení? Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka). Jaký je časový harmonogram přípravy certifikačních a akreditačních kritérií? V současné době Úřad pracuje na přípravě kritérií pro vydávání osvědčení a kritérií pro akreditaci subjektů pro vydávání osvědčení. Dokumenty budou po dokončení dány k veřejné diskusi prostřednictvím rozeslání a vyvěšení na webu Úřadu. Významná úloha při tvorbě kritérií připadá podle GDPR Evropskému sboru pro ochranu osobních údajů (současná WP29), který v současné době připravuje dva dokumenty:
Jaký je časový harmonogram zahájení vydávání osvědčení (certifikací)? Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, až WP29 vydá svá vodítka a Úřad je zohlední ve svém materiálu. V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována. Jak je to se souhlasy, resp. potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu? Bod 171 preambule Obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti Obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít Obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 Obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu). Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018. Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji? Po obsahové stránce dosavadní definici zpracování osobních údajů Obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji. Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů? Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 Obecného nařízení. Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)? Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. Obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 Obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů). V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu? Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti. GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu? Z Obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit. Jak podle Obecného nařízení postupovat při zapisování osobních údajů hostů ubytovacího zařízení do ubytovací knihy a ubytovací knihy cizinců pro účely cizinecké policie? Pokud budete provádět zpracování, které Vám jako ubytovacímu zařízení ukládá zákon nebo jiná právní norma, bude se jednat o zpracování prováděné na základě právního důvodu uvedeného v čl. 6 odst. 1 písm. c) Obecného nařízení (GDPR), tj. zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Připojuji odkaz na stanovisko Úřadu k této věci, obsahově by se na něm nemělo nic zásadního měnit ani po nabytí účinnosti Obecného nařízení: https://www.uoou.cz/stanovisko-c-7-2012-evidence-ubytovanych-osob/d-1543/p1=1099 Doporučuji Vám prostudovat čl. 13 a 14 Obecného nařízení týkající se povinnosti správce poskytovat subjektu údajů informace o prováděném zpracování. Dalším důležitým ustanovením je čl. 24 o odpovědnosti správce při zajištění bezpečnosti osobních údajů: s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Upozornit je třeba i na článek 32 Zabezpečení zpracování, hlavně z důvodu, že ve svém dotazu uvádíte, že někteří provozovatelé ubytovacích zařízení nechávají knihy hostů volně dostupné, aby se tam hosté sami zapisovali. To je z pohledu dnes platné právní úpravy i z pohledu Obecného nařízení zcela nezodpovědné nakládání s osobními údaji hostů (subjektů údajů). Ještě upozorním na čl. 30, kde je upraveno vedení záznamů o činnostech zpracování, sice se toto ustanovení netýká podniků či organizací, které zaměstnávají méně než 250 zaměstnanců, ledaže by zpracování, které provádí, představovalo riziko pro práva a svobody subjektů údajů (tím by v případě lázeňského zařízení bylo zpracovávání údajů o zdravotním stavu klientů, které by nebylo nahodilé, tj. jednalo by se o běžnou součást poskytované péče). Co nového bude GDPR znamenat pro nestátní neziskovou organizaci poskytující sociální služby podle zákona o sociálních službách? Nařízení Evropského parlamentu a Rady 2016/679 (tzv. GDPR) zavedlo některé nové instituty, například institut tzv. pověřence. V oddílu 4 je stanoveno, v kterých případech správce a zpracovatel jmenují pověřence, jeho postavení a úkoly. Dalšími novými instituty jsou například:
Úřad nezná podrobnosti, ale o radu či pomoc při uvádění do souladu Vašeho zpracovávání osobních údajů fyzických osob s GDPR můžete také požádat Ministerstvo práce a sociálních věcí, které má povinnost od 25. května 2018 pověřence mít podle čl. 37 odst. 1 písm. a) GDPR, když se jedná o zpracovávání osobních údajů orgánem veřejné moci. Pokud v současné době zpracováváte osobní údaje na základě právního důvodu uvedeného v § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (to znamená, že zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje, a je uvedena ve zvláštním zákoně, kterým může být i zákon o sociálních službách), právní důvod zpracování a základní povinnosti správce zůstávají ve své podstatě stejné i po nabytí účinnosti GDPR. |