31. 3. 2017
ID: 105575upozornění pro uživatele

Výkladová stanoviska k obecnému nařízení o ochraně osobních údajů (GDPR)

Zdroj: shutterstock.com

Dne 25. 5. 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“), které nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů. Správci a zpracovatelé osobních údajů se začínají na nová pravidla připravovat, často se ovšem potýkají s poměrně vágními ustanoveními GDPR. Jejich zraky se tak často upínají na Pracovní skupinu pro ochranu osobních údajů zřízené podle článku 29 směrnice 95/46/ES („WP 29“) a její výkladová stanoviska k nařízení GDPR. Tato expertní skupina dosud vydala tři výkladová stanoviska k GDPR – k (i) právu na přenositelnost údajů podle čl. 20 GDPR, (ii) pověřenci pro ochranu osobních údajů podle čl. 37 a násl. GDPR a (iii) určení příslušnosti vedoucího dozorového úřadu správce nebo zpracovatele osobních údajů v případech přeshraničního zpracování osobních údajů.

 
 Bříza & Trubač, s.r.o., advokátní kancelář
 
Právo na přenositelnost osobních údajů

Právo na přenositelnost osobních údajů ve smyslu čl. 20 GDPR zahrnuje právo subjektu údajů získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, pokud je zpracování založeno na souhlasu subjektu údajů se zpracováním svých osobních údajů a zároveň pokud se zpracování provádí automaticky. Pokud je to technicky proveditelné, právo na přenositelnost dále zahrnuje právo, aby osobní údaje byly předány přímo jedním správcem správci druhému.

Pracovní skupina WP 29 se vyjádřila k jednotlivým elementům práva na přenositelnost:

  • Právo na přenositelnost zahrnuje (i) právo získat osobní údaje zpracované správcem a ponechat si je pro další osobní užití, aniž by byly poskytovány dalšímu správci (například právo získat seznam kontaktů ze své web-mailové aplikace za účelem sestavení seznamu hostů pro oslavu narozenin) a (ii) právo na předání osobních údajů mezi správci, jehož účelem je podpora inovací v užití údajů a nových obchodních modelů spojených se sdílením osobních údajů pod kontrolou subjektu údajů, což by mělo přinést obohacení v nabídce služeb.
  • Pokud jde o prostředky přenosu údajů, Pracovní skupina WP 29 uvádí, že správci by měli právo na přenositelnost realizovat tak, aby subjekt údajů měl nejenom možnost si své údaje napřímo stáhnout, ale i napřímo přenést dalšímu správci. Jako příklad vhodného technického řešení uvádí rozhraní API nebo úložiště osobních údajů.
  • Správci nejsou odpovědni za další zpracování osobních údajů prováděné správci, kterým osobní údaje na žádost subjektu údajů poskytnou. Na nové správce přechází povinnost zajistit, aby přenášená data byla relevantní a nebyla nadbytečná s ohledem na účel zpracování.
  • Právo na přenositelnost se vztahuje na údaje (i) které se týkají subjektu údajů a (ii) které byly jím poskytnuty. Správce by podle názoru Pracovní skupiny WP 29 při výkonu práva na přenositelnost měl subjektu údajů poskytnout nejenom data například vepsaná do online formuláře (jako na příklad jméno, věk, emailovou adresu), ale zároveň i údaje nashromážděné správcem z aktivit subjektu údajů (jako na příklad historii hledání nebo lokalizační údaje).
Pro řádný výkon práva na přenositelnost osobních údajů Pracovní skupina WP 29 doporučuje správcům podniknout následující kroky:

  • Řádně informovat subjekt údajů o jejich právu na přenositelnost osobních údajů. Pracovní skupina WP 29 doporučuje, aby správci subjektům údajů srozumitelně vysvětlili rozdíl mezi právem na přenositelnost a právem přístupu k osobním údajům.
  • Správce údajů by měl implementovat autentizační proceduru za účelem zjištění totožnosti subjektu údajů žádající o výkon práva na přenositelnost údajů. Jako příklad vhodné autentizace subjektu údajů Pracovní skupina WP 29 uvádí uživatelské účty chráněné uživatelským jménem a heslem nebo přihlašování prostřednictvím účtu sociálních sítí.
  • Správci by měli osobní údaje poskytovat ve formátu, který umožňuje opakované užití, přičemž by to měl být formát, který zachovává všechna meta data. Například tedy formát .pdf není pro daný účel vhodný. Pracovní skupina WP 29 vyzývá ke spolupráci mezi zainteresovanými stranami a obchodními sdruženími, aby společně vypracovali soubor interoperabilních standardů a formátů, které by splňovaly požadavky na výkon práva na přenositelnost údajů.
Pověřenec pro ochranu osobních údajů

Správce nebo zpracovatel osobních údajů je povinen jmenovat ve smyslu 37 odst. 1GDPR pověřence pro ochranu osobních údajů v případě, že:

  • (i) zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí),
  • (ii) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
  • (iii) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Pověřence pro ochranu osobních údajů lze jmenovat i dobrovolně.

Vzhledem k tomu, že úkoly veřejné moci mohou být vykonávány nejen orgány veřejné moci, ale i osobami soukromého práva (například v oblasti veřejné hromadné dopravy, dodávky vody a energie, silniční infrastruktura, veřejnoprávní vysílání), Pracovní skupina WP 29 doporučuje, aby osoby soukromého práva vykonávající veřejné úkoly jmenovaly pověřence pro ochranu osobních údajů, i když ve smyslu č. 37 odst. 1 GDPR takovou povinnost nemají.

Hlavní činnost ve smyslu čl. 37 odst. 1 písm. b) GDPR Pracovní skupina WP 29 definuje jako klíčové operace k dosažení cílů správce nebo zpracovatele. Jako příklad hlavní činnosti nemocnice uvádí poskytování zdravotní péče, když nemocnice by nemohla poskytovat zdravotní péči bezpečně a efektivně, pokud by nezpracovávala zdravotní údaje pacientů. Dalším příkladem může být soukromá bezpečnostní agentura, která zabezpečuje obchodní centra nebo veřejné prostory. Naproti tomu zpracování osobních údajů spočívající ve zpracování mzdové agendy není považováno jako hlavní činnost ve smyslu čl. 37 odst. 1 písm. b) GDPR.

Ani Pracovní skupina WP 29 nedefinuje a přesně nekvantifikuje požadavek „rozsáhlosti“ ve smyslu čl. 37 odst. 1 písm. b) a c) GDPR. Pracovní skupina WP 29 pouze doporučuje při výkladu tohoto pojmu zohlednit následující faktory:

  • počet subjektů údajů, kterých se zpracování údajů týká,
  • objem zpracovávaných údajů,
  • doba nebo permanence aktivit zpracování údajů,
  • geografický rozsah aktivit zpracování údajů.
Jako příklady rozsáhlosti zpracování údajů Pracovní skupina WP 29 uvádí:

  • zpracování osobních údajů pacientů v nemocnici,
  • zpracování cestovních údajů uživatele veřejné hromadné dopravy,
  • zpracování geo-lokačních dat zákazníků mezinárodního fast food řetězce v reálném čase pro statistické účely,
  • zpracování osobních údajů zákazníků pojišťovací společností nebo bankou,
  • zpracování osobních údajů (obsah, traffic, lokace) poskytovatelem internetových nebo mobilních služeb.
Jako příklady, které nepředstavují „rozsáhlost“ ve smyslu čl. 37 odst. 1 GDPR Pracovní skupina WP 29 uvádí:

  • zpracování osobních údajů samostatným lékařem,
  • zpracování osobních údajů týkajících se trestněprávních rozsudků samostatným advokátem.
Pracovní skupina WP 29 se vyjádřila i k interpretaci pojmů „pravidelné“ a „systematické“ používaných v čl. 37 odst. 1 písm. b) GDPR. Požadavek „pravidelnosti“ je splněn, pokud jsou osobní údaje zpracovávány:

  • v určitých intervalech po určitou dobu,
  • opakovaně ve stanovených časech,
  • konstantně nebo periodicky.
Požadavek „systematičnosti“ je splněn, pokud jsou osobní údaje zpracovávány:

  • podle určitého systému,
  • předpřipraveně, organizovaně nebo metodicky,
  • jako součást obecného plánu pro sběr osobních údajů,
  • jako součást strategie.
Příslušnost vedoucího dozorového orgánu při přeshraničním zpracování

Podle čl. 4 odst. 23 GDPR se přeshraničním zpracováním osobních údajů rozumí (i) zpracování, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v EU, pokud je tento správce či zpracovatel usazen ve více než jednom členském státě, nebo (ii) zpracování, které probíhá v souvislosti s činností jediné provozovny správce či zpracovatele v EU, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě. Zatímco s interpretací první z uvedených možností přeshraničního zpracování nejsou problémy, v případě druhé možnosti vyvstává interpretační otázka, co se rozumí pod „podstatným dotčením“.

Pracovní skupina WP 29 uvádí, že tento pojem bude vykládán dozorovými orgány podle okolností každého jednotlivého případu. Měl by být brán zřetel ke kontextu zpracování, kategoriím osobních údajů, účelu zpracování a dále k tomu, zda zpracování osobních údajů:

  • působí nebo může způsobit škodu nebo jinou újmu jednotlivci,
  • má nebo je způsobilé mít efekt na omezování práv nebo odpírání možností,
  • má nebo může mít vliv na zdraví, blahobyt nebo klid jednotlivce,
  • má nebo může mít vliv na finanční nebo ekonomický statut jednotlivce,
  • dává možnosti k diskriminaci jednotlivce nebo nespravedlivému zacházení,
  • zahrnuje analýzu zvláštních kategorií osobních nebo dalších údajů jako na příklad osobních údajů dětí,
  • ovlivňuje nebo může ovlivňovat chování jednotlivců podstatným způsobem,
  • má nepravděpodobné, neočekáváné nebo nechtěné důsledky na jednotlivce,
  • působí rozpaky nebo další negativní výsledky, včetně reputační újmy,
  • zahrnuje zpracování širokého rozsahu osobních údajů.
Pokud je určeno, že konkrétním zpracováním osobních údajů budou podstatně dotčeny subjekty údajů ve více než jednom členském státě, je třeba vyřešit otázku, který vedoucí dozorový úřad bude pro daný subjekt příslušný.

Ve smyslu čl. 56 GDPR je příslušný dozorový úřad země, ve které se nachází hlavní provozovna. I v případě, kdy má subjekt jedinou provozovnu v EU, nicméně zpracování osobních údajů se značně dotýká subjektů údajů ve více členských zemích, vedoucím dozorovým úřadem je stále úřad v zemi, kde se nachází provozovna.

Pokud má subjekt více provozoven v EU, platí pravidlo, že hlavní provozovna je místo centrální administrativy subjektu. Pokud ovšem jiná provozovna přijme rozhodnutí o účelu a způsobu zpracování osobních údajů, stává se hlavní provozovnou. Je tedy na správcích, aby jasně určili, v jaké provozovně se rozhodnutí o účelu a způsobu zpracování osobních údajů přijalo.


Markéta Kořínková

Mgr. Markéta Kořínková
,
advokátka


Bříza & Trubač, s.r.o., advokátní kancelář

Jánský Vršek 311/6
118 00 Praha 1

Tel.:    +420 777 60 11 14
e-mail:    info@brizatrubac.cz


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz