ROK PO GDPR

Obecné nařízení na ochranu osobních údajů známé pod zkratkou GDPR (General Data Protection Regulation) je účinné od 25.5.2018. Již dva roky před datem účinnosti bylo schváleno EU a bylo tedy dostatek prostoru pro jeho implementaci do praxe.

Jak už to bývá v Čechách zvykem, nová pravidla a omezení nás nechala chladným téměř do poslední chvíle… Pak si však pár chytrých hlav postavilo bussiness na děšení lidí, vyvolávání hromadné paniky a takzvané implementaci, která v sobě velmi často skýtala mnoho chyb a byla v rozporu s tímto nařízením.

To, že mohl takovýto obchod se strachem vzniknout, však není chyba pouze lidí co se s obecným nařízením blíže neseznámili a obrátili se na „odborníky“, i naši poslanci, jež měli přispět k jednoduššímu a smysluplnějšímu výkladu s adaptačním zákonem otáleli a tak jsme se jej dočkali až v prosinci 2018. Tímto jsme se stali jednou z posledních zemí Evropské Unie, která jej přijala.

 ADAPTAČNÍ ZÁKON

 Přes všechen čas, který poslanci měli „navíc“, najdeme v adaptačním zákoně jisté mezery. Je stále předmětem diskusí, jak mohli snížit hranici maximální výše pokuty na 10 milionů korun u soukromoprávních subjektů, když Obecné nařízení umožňuje variabilitu v pokutách pouze u veřejnoprávních subjektů. A tak jen můžeme doufat, že senát, který tento adaptační zákon v lednu tohoto roku zamítl, navrhl změny tak, aby odpovídaly legislativě EU.

Nicméně určité novinky lze ze stávajícího zákona přece jen vyčíst. Mezi nejvýznamnější jistě patří:

  Souhlas nezletilých

GDPR stanovilo rozsah v udávání souhlasu ke zpracování osobních údajů od 13 do 16 let. Každý členský stát si stanovuje vlastní hranici. Naši zákonodárci stanovili hranici spolu s přijetím občanského průkazu, tedy 15 let. Do této doby za udělení souhlasu nesou odpovědnost rodiče, případně jiní zákonní zástupci. Toto se dotkne především poskytovatelů sociálních sítí a komunikačních kanálů, které měly mnohdy sjednocenou věkovou hranici s nejznámějším facebookem a to tedy na 13 let. Jak se k tomuto například právě facebook postaví, když v celé Evropě není věková hranice sjednocena, je zatím nejasné

  Pokuty pro veřejnou správu

Sněmovna omezila pokuty pro veřejnoprávní subjekty obecně na maximální částku 10 milionů Kč, pro obce a jimi zřizované školy nebo příspěvkové organizace pak na maximální hranici 15 tis. korun. I přes tuto směšnou vrchní hranici pokut navrhl senát, aby například města a obce nebyly pokutovány vůbec.

  Mírnější pravidla pro vybrané skupiny

Mírnější pravidla při zpracování osobních údajů se dočkají například novináři, umělci nebo akademici. Budou-li osobní údaje zpracovávány přiměřeně k danému účelu, bude se jednat o zpracování ve veřejném zájmu. V případě, že subjekt údajů bude u výše jmenovaných skupin žádat o výmaz, opravu nebo pozastavení zpracování osobních údajů, bude se postupovat podle jiných zákonů a ,sice občanského zákoníku, zákona o právech a povinnostech při vydávání periodického tisku a zákona o provozování rozhlasového a televizního vysílání.

Kromě novinářů a vědců zákon taktéž upravuje zpracování osobních údajů při předcházení a vyšetřování trestné činnosti.

  Sankce nemusí být likvidační

Úřad pro ochranu osobních údajů „UOOU“, který je i nadále dozorovým orgánem pro GDPR, nemusí při porušení bezpečnosti pouze pokutovat. Po důkladném vyhodnocení více faktorů (zda došlo k porušení úmyslně či z nedbalosti, jaký je rozsah a povaha ztracených dat, atd) může uložit pouze tzv. Opatření, jež upozorní na nedostatky při zabezpečení a nesprávné zacházení s osobními údaji. Správce osobních údajů má pak možnost zajistit taková opatření, aby byla data nadále řádně zabezpečena.

Ve druhém pololetí roku 2018 proběhlo celkem 34 kontrol v rámci dozorové činnosti UOOU, některé byly hodnoceny dle GDPR. Z výstupů kontrol, které úřad pro kontrolu osobních údajů uveřejnil na svých webových stránkách a z informací ve výroční zprávě nelze usuzovat na přísnější pravidla při zpracování osobních údajů. Ani nejsou zatím rozdávány žádné likvidační pokuty. Celkem bylo uděleno 7 sankcí z nichž nejvyšší dosáhla částky 50.000Kč. Stejně jako tomu bylo za účinnosti zákona č. 101/2000 Sb. o ochraně osobních údajů, i dnes jsou některé společnosti a organizace vyhodnoceny jako správci u kterých nebylo zjištěno porušení právních předpisů, některým byl zaslán vytýkací dopis, s jinými bylo zahájeno řízení o uložení nápravných opatřeních, s dalšími i řízení o přestupku.

ČASTO ŘEŠENÍ PROBLEMATIKA PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Nadbytečné vyžadování souhlasů

Jednou z nejčastějších chyb, které se správci osobních údajů dopouštějí, bývá nadbytečné vyžadování souhlasů ke zpracování. Ve většině případů, kdy správce osobní údaje zpracovává, souhlas od subjektu údajů vůbec nepotřebuje a dokonce jej ani vyžadovat nesmí. Subjekt údajů dostává mylnou představu, že svůj souhlas může odvolat, což často právě není možné, neboť na osobní údaje je vázáno například poskytování služby nebo archivace dat v účetnictví, v různých projektových zprávách nebo ve výroční zprávě. Správci také velice často získávají souhlasy pod tlakem a agresivním způsobem, což samo o sobě je v rozporu s obecným nařízením.

Pořizování a zveřejňování fotografií

Dalším velice diskutovaným tématem jsou fotografie. Pořizování a zveřejňování fotografií a dalších audio či videozáznamů se stále často jeví správcům osobních údajů jako nejasné. Nelze však jednoznačně říci, že pořizování fotografií spadá pod regulaci Obecným nařízením. Rozhodující je kdo, jak a proč fotografie pořizuje a uveřejňuje.

Důležitý je pojem systematického zpracování, protože pouze tehdy se jedná o zpracování osobních údajů dle GDPR. I při systematickém zpracování existuje však výjimka, jedná-li se o zpracování osobních údajů výlučně osobní povahy. Fotografujete-li tedy rodinné příslušníky, přátelé, na soukromých akcích pro soukromé potřeby, pak se nejedná o zpracování dle GDPR.

Při fotografování za účelem prezentace činnosti organizací na facebooku, webových stránkách a jiných marketingových materiálech je třeba souhlas subjektu údajů. V určitých případech, kdy právním titulem pro zpracování osobních údajů je oprávněný zájem správce, je třeba aby souhlas splňoval parametry dle občanského zákoníku. Ten neklade formální nároky stejně jako GDPR a tak postačí ústní souhlas nebo i konkludentní svolení. Tímto svolením dává člověk souhlas i k jejich šíření obvyklým způsobem, do čehož lze v dnešní době jistě započítat i sociální sítě. V případě, že právního titulu oprávněného zájmu správce využít nelze, je třeba splňovat podmínky souhlasu dle obecného nařízení. V tomto případě je vhodná písemná forma souhlasu, kde bude zřetelné proč jsou fotografie pořizovány, k čemu budou využívány a jak může subjekt údajů dostát svých práv.

Závěr

Závěrem lze tedy shrnout, že přesto, že GDPR je v účinnosti již téměř celý rok, v praxi se zatím neudály žádné zvláštní novinky. Nejasnosti ve zpracování jsou stále na podobná témata a úřad pro ochranu osobních údajů vykonává stále stejnou činnost jako tomu bylo za platnosti zákona č. 101/2000 Sb. o ochraně osobních údajů.

V případě dotazů k tomuto článku prosím kontaktuje jeho autora (Jana Pavlovičová).

Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty.