V květnu tomu bude rok, co se evropská společnost více či méně ochotně přizpůsobila nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (GDPR).1 💬 Ačkoliv toto nařízení ve většině případů pouze navázalo na dosavadní evropská pravidla pro ochranu osobních údajů, některé nové povinnosti a přísnější sankce vyvolaly bez nadsázky celosvětový rozruch.

Důvodem je v první řadě široká působnost nařízení. Vztahuje se totiž i na subjekty mimo Evropskou unii za předpokladu, že v EU působí nebo zpracovávají údaje občanů členských států. Totéž platí i pro ustanovení upravující výše sankcí za porušení. Dnem účinnosti nařízení tak například přestaly být pro Evropany dočasně dostupné některé americké webové stránky, a v Austrálii se dokonce začalo debatovat, zda by i tam nemělo dojít k rozšíření ochrany osobních údajů po vzoru GDPR.

V evropských zemích pak po celý minulý rok probíhala informační smršť. Pořádalo se nesčetně školení, publikovalo tisíce článků a e-mailové schránky nás všech se plnily žádostmi o udělení nových souhlasů.

Celá oblast ochrany osobních údajů i profese, které se jí věnují, zažily nevídaný rozmach. I přes tuto pozornost, které se nařízení dostalo, však v praxi stále přetrvává řada výkladových nejasností. V tomto článku přinášíme jedinečné shrnutí zkušeností a postřehů právních poradců Deloitte Legal nejen v České republice, ale také z Pobaltí či regionu středovýchodní Evropy, které Deloitte Legal již dříve vydal formou reportu pod názvem The GDPR: Six Months After Implementation.2 💬

Úskalí dobrovolnosti

Jedním z nejčastějších problémů je přílišné nadužívání souhlasů ke zpracování osobních údajů. Příčinou tohoto problému je pravděpodobně nepochopení základních konceptů GDPR. Pokud existuje jiný právní důvod pro zpracování osobních údajů, jako například plnění smlouvy, oprávněný zájem správce nebo zákonná povinnost, není vyžádání souhlasu tím správným postupem.

Podmiňuje-li navíc obchodník poskytnutí služby či zboží udělením souhlasu k takovému zpracování osobních údajů, které jinak není pro poskytnutí dané služby nebo zboží nutné, svědčí to o tom, že souhlas nebyl udělen dobrovolně. Jenže podmínku dobrovolnosti právě nařízení vyžaduje.

Každý má přitom právo udělený souhlas odvolat. Pokud o to dotyčný požádá, musí být správce schopen rozlišit, jaké údaje zpracovával na základě ostatních právních důvodů a jaké na základě souhlasu. Následně by měl svého zákazníka či klienta informovat o tom, jaké údaje bude i nadále zpracovávat. Například odvolání souhlasu k zasílání nejrůznějších informací nezbavuje správce povinnosti dodávat zboží podle smlouvy, a to bez zpracování některých údajů nejde.

Pokud také správce informuje subjekt, že údaje zpracovává na základě souhlasu, ačkoliv mu taková povinnost už plyne ze zákona, neplní řádně svou informační povinnost.

Nadužívání souhlasů uvádí i český Úřad pro ochranu osobních údajů jako jeden z deseti nejčasnějších omylů při výkladu GDPR.3 💬 Zároveň je tento problém ukázkou toho, že určité výkladové nejasnosti existovaly i před účinností nařízení. Nadužíváním souhlasů se totiž úřad zabýval i před platností nařízení.4 💬

Společnosti také často bojují s vymezením pojmů jako "správce", "společný správce" a "zpracovatel". Řada správců se na zpracovatele snaží přenést nadmíru povinností a ti tak raději usilují o to, aby byli rovnou považováni za samostatné správce. Například bulharský úřad v tomto ohledu vydal stanovisko, že banky, pojišťovny a přepravní společnosti by měly být považovány za správce, jelikož často poskytují přísně regulované služby na základě licence získané od státu. Obdobná stanoviska vydávají i v českém prostředí komory či sdružení společností vykonávajících regulovanou činnost.

Infografika: GDPR v praxi. Aneb Téměř rok zkušeností napříč regionem

Dalším problémem je nedostatečná vzdělanost a přehled o základních principech ochrany osobních údajů. Správcům se často stává, že pravidla, jimiž se zpracování má řídit, jsou roztříštěna v několika dokumentech, což způsobuje nedostatek transparentnosti. Absence vhodných technologických řešení brání zase tomu, aby byla dodržována pravidla pro minimalizaci údajů, výmaz dat a dodržování doby uchovávání. Problém v praxi představuje i samotné vymezení přípustné doby uchování. V některých státech, jako třeba v Rumunsku či Maďarsku, se navíc potýkají s nedostatkem výkladových stanovisek a jiných forem šíření osvěty ze strany dozorových úřadů.

Jak zapojit zaměstnance

V praxi se zejména větším společnostem nejlépe osvědčil komplexní přístup k problematice GDPR, který zahrnuje a sjednocuje právní, informačně­-technologické i obchodní aspekty. Progresivní jsou řešení, která se neomezují jen na splnění minimálních požadavků, ale zavádí moderní systémy, jež umožňují i vyhodnocování rizik a jiné funkcionality.

Jak se zdá, nejefektivnější je nejen zaměstnance školit, ale také je přímo zapojit do implementace nových pravidel v rámci jejich každodenních pracovních úkonů. Většina společností aktualizovala dokumentaci související se zpracováním osobních údajů nebo si vyžádaly souhlasy v nové podobě. Řada podnikatelů na svých stránkách zveřejnila jednotný formulář pro jednotlivé požadavky vznesené subjekty údajů. To jim umožňuje tyto podněty zpracovávat ve standardizované podobě a šetřit čas. Zaměstnavatelé také umisťují na webové stránky informace o zpracování osobních údajů pro uchazeče o práci či pro své zaměstnance vypracovávají interní pravidla.

Osvěta přechází v kontrolu

V souvislosti se zavedením GDPR národní úřady zaznamenaly značný nárůst stížností. Úřady jednotlivých zemí se dlouhou dobu zaměřovaly především na vzdělávání veřejnosti, ovšem jejich pozornost se čím dál více upírá i na kontrolní činnost a v Polsku už nedávno dokonce padla i první větší pokuta ve výši 220 tisíc eur. Ostatně řada zemí plánuje významné rozpočtové, potažmo personální posílení příslušných institucí.

Tuzemský Úřad pro ochranu osobních údajů už avizoval, že kontroly budou zaměřeny spíše na celkové pochopení nároků GDPR a řešení odpovědnosti společností nežli na nedostatky v jednotlivých procesech zpracování.

Na osvětovou činnost úřadů pak navazuje řada zájmových a profesních organizací ve formě vydávání kodexů chování podle článku 40 nařízení, vzorových dokumentů a průvodců nebo odpovědí na nejčastější otázky. V České republice jsou v této oblasti aktivní například Asociace pro elektronickou komerci, Asociace malých a středních podniků a živnostníků ČR, Česká advokátní komora, Komora auditorů ČR nebo Česká lékařská komora a některá ministerstva.

Většina předmětných států již přijala předpisy, které reflektují GDPR. Některé země se rozhodly pouze doplnit a upřesnit pravidla nastolená nařízením, jinde − jako například na Slovensku − zákonodárci přijali komplexní zákon zrcadlící systém GDPR. V Polsku v souvislosti se změnou legislativy došlo i k přesunu kompetencí na jiný orgán a k vytvoření nových poradních orgánů. Těmto orgánům také přibylo do kompetence schvalování kodexů chování.

Nejčastější národní odchylkou od GDPR je stanovení přísnějších pravidel pro zpracování rodných čísel nebo jejich ekvivalentů a údajů o zaměstnancích. V Lotyšsku také byla stanovena promlčecí doba pro uplatnění nároků z nezákonného zpracování (pět let od spáchání nebo od ukončení protiprávního stavu, pokud stav trval déle) a výjimky pro novinářské, vzdělávací nebo umělecké účely. V České republice prozatím formálně zůstává účinný zákon o ochraně osobních údajů, avšak ustanovení GDPR mají před ním přednost. Nový zákon by měl vejít v účinnost v nejbližších dnech, avšak pro soukromý sektor by neměl oproti původnímu nařízení představovat žádnou zásadnější odchylku.

GDPR jako příležitost

Jak již bylo zmíněno v úvodu, ve všech analyzovaných zemích byl v loňském roce zaznamenán masivní nárůst požadavků o znovuudělení souhlasu ke zpracování osobních údajů nebo k udělení souhlasu v novém znění. Hojně se také zasílaly nové informace o zásadách zpracování osobních údajů. Podle jednotlivých odvětví a vztahu správce k subjektu údajů byly souhlasy vyžadovány buďto rovnou, nebo postupně prostřednictvím budoucí komunikace s klienty. Nejčastější formou byl email, ale využívaly se i webové stránky, SMS, telefonické hovory, nebo klasické dopisy. Vyžadování nového souhlasu nebylo nutné, pokud způsob udělení původního souhlasu za předešlé úpravy byl v souladu s podmínkami GDPR.5 💬

Jelikož GDPR je stále relativně novým předpisem, jehož míra obecnosti je obrovská a šíře působnosti enormní, budou problémy spojené s jeho výkladem a aplikací přetrvávat i v nejbližší budoucnosti. Pochopením základních principů evropského pojetí ochrany osobních údajů a šířením osvěty však lze předcházet těm nejrozšířenějším omylům, jako je například nadužívání souhlasů.

Velkou výzvu představuje pro správce a zpracovatele nejen jednorázové přizpůsobení se GDPR, ale především průběžné plnění jeho požadavků a zajištění průběžného souladu. To je podle našeho názoru úkol, kterým se nyní bude zabývat značná část odborníků v oblasti ochrany osobních údajů, ale také technologií a compliance obecně.

Podle našich dosavadních zkušeností mají společnosti největší rezervy v oblastech, jako jsou zpřesňování interních pokynů, vytváření srozumitelnějších metodik, zavádění opatření k vytvoření efektivního compliance programu v oblasti ochrany osobních údajů a vzdělávání pověřenců či interních odborníků.

Nejvhodnějším řešením je jistě komplexní přístup k ochraně osobních údajů, který nebude nová opatření brát jen jako nutné "regulatorní zlo", ale jako příležitost, jak lépe budovat důvěru u klientů, jak využít pořádek v datech v rámci nových byznysových příležitostí a jak se otevřít technologickému pokroku.

 

Článek byl poublikovám v měsíčníku Právní rádce.


zpět🡹 1) Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

zpět🡹 2) Celé znění dostupné na stránkách www.deloitte.com.

zpět🡹 3) Desatero omylů. Dostupné na stránkách Úřadu pro ochranu osobních údajů.

zpět🡹 4) Stanovisko č. 3/2014 K nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti. Dostupné na stránkách Úřadu pro ochranu osobních údajů.

zpět🡹 5) Důvod č. 171 GDPR.

Infografika: GDPR v praxi. Aneb Téměř rok zkušeností napříč regionem