GDPR v českém prostředí

Tomáš Nielsen Ivana Nemčeková, cloudprivacycheck.com

Od května 2018 bude oblast ochrany osobních údajů napříč Evropou upravovat obecné nařízení o ochraně osobních údajů (GDPR). Ačkoliv nařízení stanovuje pro všechny členské státy stejná pravidla, umožňuje jednotlivým zemím přijmout v určitých oblastech pravidla vlastní. V České republice vláda připravila návrh novely stávajícího zákona o ochraně osobních údajů (č. 101/2000 Sb.) a tento postoupila dále v legislativním procesu k projednání.

V souvislosti s tímto vzniká několik otázek. Předně pak zda Parlament stihne přijmout návrh dostatečně včas, aby nabyl účinnosti ještě před GDPR (25. 5. 2018). S ohledem na nedávno uskutečněné parlamentní volby a rychlost legislativního procesu je toto téma vskutku zajímavé. Zároveň je téměř zcela jisté, že i kdyby byla novela přijata včas, totéž nebude platit pro všechny ostatní nezbytné prováděcí předpisy.

Druhá otázka se týká specifik, které by v České republice měly platit po účinnosti novelizovaného zákona.

Návrh počítá s možností snížit věk dítěte pro souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti na minimální věkovou hranici přípustnou GDPR, tj. 13 let, oproti 16 letům obecně stanoveným GDPR.

Návrh obsahuje i ustanovení týkající se informační povinnosti správce údajů. Správcům, kteří provádějí zpracování nezbytné pro splnění své právní povinnosti nebo svého úkolu prováděného ve veřejném zájmu nebo při výkonu své pravomoci, umožňuje poskytnout informace subjektu údajů o takovémto zpracování způsobem umožňujícím dálkový přístup. Zda toto znamená, že uvedený způsob poskytnutí informací je v případě jiných správců nedostatečný, anebo se tím pouze poukazuje na skutečnost, že vybraní správci nemusejí subjekty údajů informovat o místě, kde jsou takovéto informace dostupné, zůstává skryto a s největší pravděpodobností vyplyne až z praxe.

Návrh rovněž specifikuje povinnost zachovávat tajemství a důvěrnost informací pověřence pro ochranu osobních údajů, jakož i osob podílejících se na plnění úkolů pověřence dle čl. 38 odst. 5 GDPR. Pověřenec a tyto osoby jsou povinni zachovávat mlčenlivost o osobních údajích a bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, se kterými se seznámili při plnění úkolů pověřence nebo v souvislosti s nimi. Tato povinnost však neplatí pro správce či zpracovatele, který pověřence jmenoval, orgán činný v trestním řízení, soud nebo úřad. Výjimky z povinnosti zachovávat tajemství se zdají být poněkud rozsáhlé, zejména pokud se použije pro všechny úřady. Zda formulace cílila pouze na regulátora (Úřad pro ochranu osobních údajů) není jasné, nicméně v současné době rozhodně umožňuje získat od pověřence přístup k informacím všem úřadům.

Návrh definuje „veřejný subjekt“ obsažený v čl. 37 odst. 1 písm. a) GDPR, který však v GDPR není nijak definován. Dle návrhu se za veřejný subjekt považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Toto může být vítaným krokem zejména od organizací plně či částečně financovaných ze státního rozpočtu (ministerstva, orgány státní správy, resp. univerzity, vysoké školy) a městských úřadů k vyhodnocení povinnosti mít pověřence a možnosti určit jednoho pověřence pro několik subjektů/úřadů.

Novela zákona mimo to obsahuje návrh výjimky z povinnosti provádět posouzení vlivu na ochranu osobních údajů. Čl. 35 odst. 10 GDPR stanoví, že pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné. Zdá se, že čeští zákonodárci toto nepovažují za důležité, ba naopak. Návrh zavádí výjimku pro zpracování osobních údajů, které je upravené právním předpisem, kdy není nutno posouzení vlivu takového zpracování na ochranu osobních údajů provádět.

Návrh rovněž zavádí výjimku pro zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu. Pro tyto účely dokonce připouští zpracování zvláštních kategorií osobních údajů, je-li to nezbytné k dosažení oprávněného cíle a převažuje-li tento zájem (na zpracování osobních údajů) nad oprávněnými zájmy subjektu údajů. Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů je však pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu přípustné jen v záležitostech veřejného zájmu.

Omezení se rozšiřuje i na povinnost informovat subjekt údajů dle čl. 14 GDPR. Při zpracování osobních údajů, které nebyly získány od subjektu údajů pro výše uvedené účely, může správce odložit nebo odepřít subjektu údajů sdělení zdroje, ze kterého osobní údaje pocházejí, je-li to potřebné k ochraně zdroje a obsahu informací. V souvislosti se zpracováním osobních údajů pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu návrh stanovuje i další výjimky z práv subjektů údajů, které byly evidentně navrženy hlavně s cílem ochránit novináře a vyvážit ochranu osobních údajů se svobodou slova a právem na informace.

Návrh také obsahuje několik výjimek a zvláštních pravidel upravujících zpracování údajů úřady. Jedním z nejvíce diskutovaných opatření je pak omezení výše maximální pokuty, která může být za porušení pravidel na ochranu osobních údajů uložena, a to až 10 mil. Kč. (cca 390 tis. EUR).

Ať již bude návrh novely zákona o ochraně osobních údajů přijat ve stávajícím znění beze změny, anebo bude zásahy do textu ze strany Parlamentu (jak je již v České republice nechvalně známo) do určité míry pozměněn, tak jako tak poskytuje obecný pohled na rozsah územně odlišných pravidel, která budou v České republice uplatňována. S ohledem na zachování právní jistoty, která je pro podnikatelský i soukromý sektor obecně tak důležitá, alespoň doufejme, že finální pravidla budou přijata a vstoupí v účinnost včas na to, aby dotčené subjekty měly dostatek času na sladění svých činností v souladu nejen s GDPR, ale i s místními předpisy.

 

Tomáš Nielsen

Ivana Nemčeková