GDPR a TOPO a jejich význam pro obchodní společnosti

Vedle pokuty ve výši až do 4% celkového obratu společnosti, kterou po 25.5. 2018 bude moct jako správní sankci pro porušení povinností vyplývajících z nařízení GDPR udělit společnosti Úřad pro ochranu osobních údajů, může nesprávné nakládání s osobními údaji založit vznik trestní odpovědnosti právnické osoby dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob (dále jen „TOPO“)[1]. Trestný čin dle § 180 zákona č. 40/2009 Sb., trestního zákoníku (dále jen „trestní zákoník“) – neoprávněné nakládání s osobními údaji - není mezi vyloučenými trestnými činy vypočtenými v § 7 zákona TOPO a každá společnost tak musí počítat s aktivací trestní odpovědnosti a nastoupení hrozící sankce.

Trestní odpovědnosti se společnost zprostí dle § 8 odst. 5 TOPO v těch případech, kdy prokáže, že vynaložila veškeré úsilí, které na ní bylo možno spravedlivě požadovat, aby spáchání protiprávního činu zabránila. Osobou, která aktivuje odpovědnost společnosti v rámci TOPO, je vždy fyzická osoba, jejíž protiprávní jednání lze přičítat právnické osobě - společnosti. Uvažovanými osobami jsou všichni zaměstnanci, kteří přicházejí do styku s osobními údaji. Za osobní údaj pak považujme vše, co člověka může identifikovat.

Ustanovení § 180 trestního zákoníku obsahuje dvě skutkové podstaty. První skutkovou podstatou (odstavec 1) je ochrana osobních údajů v souvislosti s výkonem veřejné moci. Druhou skutkovou podstatou (odstavec 2), které se dále v textu věnuji, je ochrana osobních údajů v souvislosti s výkonem povolání, zaměstnání nebo funkce fyzické osoby - pachatele, jestliže tím (jednáním, opomenutím) došlo k porušení státem uložené nebo uznané povinnosti mlčenlivosti. Esenciálním prvkem k naplnění druhé skutkové podstaty je porušení státem uložené povinnosti mlčenlivosti, kterou bych v souvislosti s nařízením GDPR interpretoval jako povinnost správce osobních údajů (zde obchodní společnost) zamezit svévolnému a nekontrolovatelnému zpřístupnění osobních údajů neomezenému počtu osob. Jedním dechem dodávám, že ne všechny osobní údaje budou natolik významné, aby je zákon měl chránit přiznáním stejného statusu „zpovědního tajemství“ jako údaje sdělované např. lékaři, advokátovi nebo jiné důvěrné straně. Spousta našich osobních údajů je volně přístupná ve veřejných rejstřících nebo na internetu s naším vědomím a souhlasem. Na takové se povinnost mlčenlivosti vztahovat nebude. Osobní údaje týkající se citlivých údajů o naší osobě (rasový či etnický původ, politické názory, náboženské vyznání, filozofické přesvědčení, genetické údaje, biometrické údaje, údaje o zdravotním stavu či sexuálním životě) však mlčenlivosti podléhají, tedy nechceme je automaticky zpřístupnit neomezenému okruhu adresátů bez našeho souhlasu. Zneužití citlivých údajů je nejen závažným zásahem do soukromí osob, ale může i způsobit diskriminaci a veřejným zájmem je takovému stavu předcházet.

Pro všechny společnosti bez rozdílu plyne z GDPR povinnost vědět, jaké osobní údaje (včetně citlivých údajů) jsou zpracovávány, tedy jaké osobní údaje do společnosti přichází, jak se s nimi nakládá uvnitř a jaké údaje vychází ze společnosti. Další povinností společnosti je uvést zpracování osobních údajů do souladu s GDPR, tedy zpracovávat jen osobní údaje na základě podmínek a v rozsahu uvedených dle čl.6, resp. čl. 9 pro kategorie citlivých údajů. Nejčastějším důvodem zpracování osobních údajů v praxi bude pro účely plnění smlouvy, plnění právní povinnosti, ochrany životně důležitých zájmů nebo s kvalifikovaným souhlasem subjektu, jehož se zpracovávané údaje týkají. Ke zpracovávaným osobním údajům musí společnost přistupovat jednak respektujíce hrozící rizika a pravděpodobnost jejich vzniku, a dále s ohledem na důsledek, který se projeví v újmě subjektu. Vytváří se tak koncept odpovědné společnosti, která šetrně a v souladu se zásadami čl. 5, tedy zpracovává jen nejnutnější osobní údaje, tyto údaje má pod kontrolou a adekvátně je i zabezpečuje prostředky charakteru technického (např. dostatečné zaheslování přístupů k databázím obsahující osobní údaje), organizačního (např. autorizace a omezení přístupu k databázím jen určitým osobám, jmenování pověřence pro ochranu osobních údajů dle čl. 37) nebo právního (např. úpravou smluv se zaměstnanci a dodavateli a inkorporací klauzulí o NDA). Nezajištění dostatečné ochrany bezpečnosti osobních údajů, jež v důsledku povede k neomezenému šíření bez možnosti naší účinné kontroly, je prohřešek, za který bude odpovědná společnost.

Osobní údaje poskytujeme s důvěrou, že s nimi bude nakládáno dle zákona a nebude ohrožena naše svoboda. Zpracovávat osobní údaje, a zejména citlivé údaje, je volbou společnosti a v mnoha případech se zpracovávají pro obchodní a provozní činnost společnosti zcela nepotřebné osobní údaje bez našeho vědomí. Trestného činu neoprávněného nakládání s osobními údaji se může společnost dopustit i z nedbalosti, což znamená, že i Vaše společnost v tomto okamžiku možná porušuje zákon.

Mgr. Libor Pavlíček,
advokátní koncipient

MORENO VLK & ASOCIADOS
advokátní kancelář

Sokolovská 32/22
186 00 Praha 8

Tel.:   +420 224 818 736
Fax:   +420 224 818 736
e-mail:   praha@moreno-vlk.eu

__________________________________
[1] Třetím typem sankce (vedle správní a trestní) je pak sankce civilní jako náhrada škody.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Libor Pavlíček (MORENO VLK & ASOCIADOS)

17. 10. 2017