Rok s GDPR fakta a omyly
S ohledem na skutečnost, že tomu je více než rok, co vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob a v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů… (dále jen také jako „ Nařízení GDPR“) považujeme za nutné stručně zhodnotit jeho dosavadní přínos a snahy zákonodárců o promítnutí problematiky GDPR do našeho vnitrostátního právního řádu.
Jednou z nejdiskutovanějších oblastí nové úpravy ochrany osobní údajů tak byla (stále je…) povinnost jmenování pověřence pro ochranu osobních údajů tzv. DPO („Data Protection Officer“). Jmenování resp. ustanovení této nové funkce povolané k výkonu správy ochrany osobních údajů tak postihuje de facto:
- veškeré orgány veřejné moci, jakož i dle návrhu nového zákona o zpracování osobních údajů orgány zřízené zákonem, které plní zákonem stanovené úkoly;
- správce či zpracovatele, jejichž hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu/svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů (např. mobilní operátoři, poskytovatelé finančních služeb apod.),
- hlavní činnosti správce či zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů (např. poskytovatelé zdravotních služeb).
V současné době však není žádnou výjimkou, že pozici DPO zřizují i jiné podnikatelské subjekty k podpoře vlastní tzv. Corporate Governance (či jako součást stávajícího Compliance programu), což odráží i stanovisko Úřadu pro ochranu osobních údajů, které do druhé poloviny roku 2018 obdrželo téměř 16 500 oznámení o jmenování DPO. Avšak i v těchto případech dochází ze strany správců/zpracovatelů k častým pochybením, kdy např. DPO oznamuje své jmenování úřadu sám, ačkoliv tuto oznamovací povinnost GDPR stanovuje přímo správci či zpracovateli, které v mnoha případech zastupují převážně jejich statutární zástupci (jednateli či členy představenstva). V mnoha případech pak také dochází k ustanovení DPO v podobě externě působících odborníků, kterými mohou být mimo jiné i advokáti, kteří se problematice ochrany osobních údajů ve své praxi věnují. Tato varianta pak pro správce a zpracovatele představuje nejen ušetření vlastních personálních nákladů, ale i záruku kvalitní služby a celkového ulehčení administrativy spojené s touto problematikou.
Dalším nepřesným pochopením problematiky GDPR v běžné obchodní praxi bývá i neustále se opakující vyžadování souhlasu se zpracováním osobních údajů v případech, kdy je pro zpracování osobních údajů dán jiný právní důvod (např. oprávněný zájem správce, plnění právní (smluvní) povinnosti či veřejný zájem), což ve svém důsledku může vést k porušení jedné ze základních zásad GDPR v podobě transparentnosti poskytovaných informací, jakožto jednoho z elementárních práv subjektů údajů. V každém sběru či samotném zpracování osobních údajů je tak potřeb pečlivě zvážit jaký právní titul (důvod) se k té dané operaci vztahuje a subjekty údajů řádně informovat a poučit o jejich právech. Porušení těchto zásad pak může vést k samotnému postihu správce/zpracovatele ze strany dozorujícího Úřadu pro ochranu osobních údajů.
V naší advokátní praxi jsme se pak rovněž velmi často setkávali i s problémy souvisejícími se zpracovatelskými smlouvami uzavíranými mezi správci a zpracovateli dle čl. 28 Nařízení GDPR, jejichž hlavním nedostatkem bylo nesprávné vymezení pozice správce a zpracovatele a z toho plynoucích práv a povinností zaměřených na náležité technicko-organizační opatření pro ochranu osobních údajů zpracováním dotčených subjektů údajů. Mnoho podnikatelských subjektů si i v tuto chvíli neuvědomuje, že v případě kdy pro ně jakožto správce zpracovává či jinak obstarává osobní údaje jiný subjekt, je potřeba mít s takovýmto zpracovatelem uzavřenou písemnou smlouvu o zpracování osobních údajů, která bude splňovat Nařízením stanovené náležitosti, což má ve své podstatě pro správce enormní význam i ve vztahu k případným regresním nárokům za pochybení způsobená samotného zpracovatele.
Dalšími „omyly“ o GDPR, jenž jsou zveřejněny i na webových stránkách samotného Úřadu pro ochranu osobních údajů je např. to, že nově hrozím správcům a zpracovatelům pokuty dle jejich obraty až co do výše 4 % z ročního obratu či do výše 20.000.000 EUR. Tyto sankce sice Nařízení GDPR připouští, ale rovněž i dává členským státům možnost tyto správní pokuty (sankce) regulovat. V našem právním prostředí je tato problematika nově upravena zákonem č. 110/2019 Sb., o zpracování osobních údajů, který počítá s pokutami max. do výše 10.000.000,- Kč, když rekordní pokuta udělená Úřadem pro ochranu osobních údajů činila částku ve výši 4.250.000,- Kč, kterou byla postižena obchodní společnost X. Y. za šíření nevyžádaných obchodních sdělení. Tato skutečnost však nemění nic na tom, že ÚOOÚ praktikuje rozsáhlou kontrolní činnost zaměřenou na dodržování pravidel stanovených Nařízením GDPR a zákonem na ochranu osobních údajů, kdy nepříznivým výstupem této kontrolní činnosti může být nejen uložení správní sankce, ale riziko pro správce či zpracovatele v podobě narušení jejich dobré reputace, která je v současném konkurenčním obchodním prostředí velice ceněným atributem.
Vzhledem ke všem shora uvedeným skutečnostem je tak zcela zřejmé, že konsekvence a aplikace samotného Nařízení GDPR v kooperaci s novým zákonem č. 110/2019 Sb., o zpracování osobních údajů (který v mnoha případech kopíruje samotnou dikci Nařízení GDPR) činí mnoho správcům a zpracovatelům osobních údajů stále nemalé potíže, které ve svém důsledku mohou zapříčinit nejen jejich správněprávní postih, ale v nejkrajnějších případech i postih trestněprávní, neboť neoprávněné nakládání s osobními údaji může naplnit i skutkovou podstatu trestného činu dle ust. § 180 TZ – právě v podobě neoprávněného nakládání s osobními údaji. Pro mnoho moderně smýšlejících podnikatelských subjektů tak zůstává stále velkou výzvou propojení ochrany osobních údajů dle současného Nařízení GDPR a zákona o zpracování osobních údajů s ostatními prostředky tzv. Compliance programů za účelem jejich robustnosti proti neustále narůstajícímu administrativněprávnímu zatížení jejich podnikatelské činnosti, neboť jen tak bude možné dostát bezbřehým nástrahám pravidel ochrany osobních údajů a potencionální trestní odpovědnosti a to i dle dikce zákona č. 418/2012 Sb., o trestní odpovědnosti právnických osob a řízení proti nim.
Naše Advokátní kancelář Pečený, Fučík, Langer se tak dlouhodobě problematikou ochrany osobních údajů jakož i tvorbou proporcionálních Compliance programů zabývá a náš tým erudovaných odborníků je plně ochoten a připraven poskytnout Vám v těchto oblastech právní služby na co možná nejvyšší úrovni.
V Praze dne 9. září 2019 Advokátní kancelář Pečený, Fučík, Langer
Mgr. Adam Silovský, advokát
{{ 'Comments (%count%)' | trans {count:count} }}
{{ 'Comments are closed.' | trans }}