Časté dotazy

Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění  smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není  – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

Udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost

16. 3. 2018 - Úřad pro ochranu osobních údajů upozorňuje v souvislosti s přípravami na nový právní rámec ochrany osobních údajů (GDPR), že udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost.

Časté dotazy, které jsou adresovány Úřadu ohledně změn v některých tradičních institutech ochrany osobních údajů, se týkají situací, kdy je lidem při sjednávání služeb a podepisování smluv předkládána k podpisu papírová dokumentace, jejíž součástí byl vynucovaný souhlas se zpracováním osobních údajů.
Obecné nařízení ve svém čl. 7 podrobně stanovuje pravidla pro získání, udělení a využití souhlasu, zejména:
• srozumitelnost – vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné,
• dobrovolnost – každý poskytuje svůj souhlas dobrovolně a každý může svůj souhlas odvolat.
Právní úprava souhlasu tedy vylučuje praxi, kdy mnoho správců souhlas automaticky zahrnuje do smluvního ujednání, od kterého se fyzická osoba nemůže odchýlit. Souhlas se zpracováním osobních údajů nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží. Souhlas lze tedy využít pouze pro jiná, další zpracování, nad rámec poskytování služby či koupě zboží.
Z pohledu obecného nařízení bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách).
Pokud správci osobních údajů sbírají nové souhlasy ke zpracování osobních údajů, musí sběr provádět korektně a transparentně a sběr odůvodnit konkrétním účelem, pro který chtějí údaje zpracovat. V žádném případě nelze vyžadovat souhlas, coby nezbytnou podmínku pro další poskytování služby („pro potřeby smluvních partnerů“, udělení souhlasu „vyžaduje nová legislativa dle GDPR“). Stejně tak není možné vzbuzovat v subjektech údajů pocit, že souhlas musí udělit, resp. že jej musí dát někdy v budoucnu.
Úřad doporučuje každému, kdo je požádán o udělení souhlasu a o podpis příslušné listiny, aby se pečlivě seznámil s konkrétním účelem, pro který má souhlas poskytnout. Při sjednávání služby a podpisu listin pak v žádném případě není nutno se o udělení či odmítnutí souhlasu rozhodnout ihned, neboť se nejedná o formalitu nezbytnou k poskytnutí vlastní služby či plnění smlouvy.

Jaký je rozdíl mezi souhlasem “se zpracováním osobních údajů” a souhlasem “se zasíláním obchodního sdělení”?

Obchodní sdělení je možné zasílat podle stávající právní úpravy (zákon č. 480/2004 Sb.) pouze s aktivním svolením adresáta (souhlas s využitím elektronického kontaktu k rozesílání obchodních sdělení) nebo v případě, že se jedná o zákazníka. Svým zákazníkům je možné posílat obchodní sdělení pouze k propagaci svých obdobných výrobků a služeb. Zasílání obchodních sdělení tedy upravuje jiná právní norma než GDPR, přičemž v budoucnu to bude diskutované nařízení ePrivacy.

Na souhlas se zpracováním osobních údajů by tedy měl navazovat také na souhlas se zasíláním obchodních sdělení. Může docházet k situacím, kdy osoba sice souhlasí s tím, že bude zpracováván například její e-mail k jednorázovému zaslání e-booku, nebo k účasti v soutěži, avšak to neznamená, že je možné takto získaný kontakt bez dalšího dále zpracovávat (např. mít uložen v databázi po skočení soutěže) a užívat jej k zasílání obchodního sdělení.

Potřebuji od všech kontaktů v databázi “souhlas se zasíláním obchodního sdělení”?

Nepotřebuji. Nejprve stojí za to, zvážit, zda nemám jiný z nabízených právních titulů, na základě kterého mohu zpracovávat osobní údaje, které jsou obsahem databáze. Typicky, pokud se jedná o moje zákazníky, pak lze dále zpracovávat jejich osobní údaje, na základě právního titulu “oprávněný zájem” a tudíž další právní titul ke zpracování, tedy “souhlas”,  je nadbytečný. Obchodní sdělení však mohu této kategorii kontaktů (svým zákazníkům) posílat pouze s nabídkouobdobných výrobků a služeb. 

Stále však musí být dodržen předpoklad, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu.

Musím získat nové souhlasy se “zasíláním obchodního sdělení” podle nových pravidel?

Ve zkratce, ne. Souhlas je jeden ze šesti zákonných titulů pro zpracování a je naprosto rovnocenný ostatním. Je potřeba se zamyslet nad tím, které osobní údaje zpracovávám na základě dříve uděleného souhlasu. Pokud takové osobní údaje zpracovávám a neexistuje jiný titul pro jejich zpracování (např. plnění smlouvy, oprávněný zájem), pak v této kategorii bude pravděpodobně nutné získat souhlas se zpracováním osobních údajů znovu, v souladu s požadavky GDPR. Pokud totiž souhlas udělený podle starých pravidel nevyhovuje GDPR (což bude většina případů, kdy je osobní údaj zpracováván na základě souhlasu), pozbudou takto udělené souhlasy s účinností GDPR platnost. 

Tam, kde je možné zpracovávat na základě jiného právního titulu, by byl souhlas nadbytečný. Typicky na základě právního titulu “oprávněný zájem” pravděpodobně zpracováváte osobní údaje vašich zákazníků (i to má však svá specifika).

V případě, že se neobejdu bez souhlasu se zpracováním osobních údajů, jak by měl souhlas vypadat?

Souhlas není výhodný právní titul pro zpracování. Je snadno odvolatelný, současně obtížně získatelný a navíc není jednoduché jej prokázat. 

Souhlas musí být svobodný, konkrétní, informovaný, jednoznačný a hlavně doložitelný, ideálně strukturovaný k jednotlivým účelům zpracování. To mj. znamená, že souhlas nesmí být součástí jiných ujednání a nikdy ne ve formě opt-out. Souhlas nesmí být podmínkou pro poskytnutí služby, je možné se ale pokusit pozitivně motivovat. GDPR jde tedy oproti stávající právní úpravě dál hlavně v tom, že souhlas musí být jednoznačný a musí být udělen aktivním činem účastníka. 

Je potřeba, vést záznamy o tom, kdo souhlas udělil, kdy jej udělil, o čem všem byl subjekt údajů informován, případně zda a kdy byl souhlas odvolán. 

Tam, kde je to vhodné bude souhlas potřeba udělit k různým operacím zvlášť - tzv. členěný souhlas. Subjekt údajů by měl mít možnost souhlasit s jednotlivými činnostmi, kterými budou osobní údaje zpracovávány.

Mohu zpracovávat osobní údaje z veřejných rejstříků nebo z vizitek?

Obecně lze konstatovat, že údaje zveřejněné na internetu (např. rejstříky), jsou zveřejňovány za nějakým účelem. Může se jednat o splnění zákonné povinnosti nebo dobrovolné zveřejnění údajů k umožnění obchodního styku. Není možné bez dalšího tyto, jakkoli dobrovolně zveřejněné kontakty využívat za jinými účely, než za kterými byly zveřejněny. Pravděpodobně zde bude absentovat právní titul ke zpracování a bude se jednat o neoprávněné zpracování. 

K emailingu. Osobní údaje ve veřejných rejstřících jsou zveřejňovány za jiným účelem než pro účely šíření obchodního sdělení. Obchodní sdělení je možné posílat svým zákazníkům k propagaci   obdobných výrobků a služeb anebo  na základě předchozího souhlasu adresáta (zák. č. 480/2004 Sb.). Jakkoli byl kontakt získán z veřejně dostupného seznamu, nejedná se ani o jednu ze dvou zákonem předvídaných kategorií. Kontakty z veřejně dostupného seznamu by tedy k rozesílání obchodního sdělení neměly být používány.

Jak je to s trackováním uživatele na webu?

Zákazníky je možné rozdělovat do segmentů třeba podle toho, co u vás rádi nakupují. I při této činnosti jsou sbírány osobní údaje, pomocí nichž lze vytvořit profil sledované osoby (profilování). Pokud chcete monitorovat pohyb konkrétního zákazníka na webu tzv. zákazníka trackovat a na základě toho později poslat e-mail s personalizovaným obsahem, je většinou potřeba získat za tím účelem souhlas. 

Není pravdou, že každé profilování si žádá souhlas profilované osoby. Zejména tam, kde je možné použít jako právní titul ke zpracování “oprávněný zájem” správce. Kdy je souhlas potřeba a kdy by byl naopak nadbytečný je potřeba posoudit v ad hoc situaci, ovšem lze připustit, že základní profilování a segmenatce dle transakční historie zákazníka by mohlo být prováděno bez souhlasu (právní titul oprávněný zájem). Souhlas je bezpodmínečně nutný tam, kde jsou předmětem zpracování citlivé údaje nebo tam, kde se činí rozhodnutí automatizovaně právě na základě profilování.

Je konec s remarketingem/retargetingem?

GDPR stojí na zásadě odpovědnosti. To znamená, že správce je odpovědný za to, jakým způsobem zpracovává osobní údaje a současně musí být schopen prokázat, že tak činí v souladu s GDPR. V mnoha oblastech remarketingu se toto jeví jako přinejmenším nesnadný úkol. 

Správce není zodpovědný za způsob, jakým ostatní společnosti jako Google nebo Facebook  spravují svěřená data. Nicméně je plně v jeho kompetenci a na jeho odpovědnost jaké nástroje používá a musí o tom uživatele řádně informovat, někde bude potřeba i souhlas uživatele. Typicky půjde o používání sledovacích souborů cookies na webových stránkách. Do budoucna by měl mít návštěvník webu právo na výběr, zda a do jaké míry bude sledován. V této otázce je potřeba vzít na vědomí také připravované nařízení ePrivacy.

Potřebuji ve firmě DPO neboli pověřence pro ochranu osobních údajů?

Ustanovit pověřence na ochranu osobních údajů se zdaleka netýká všech, kteří zpracovávají osobní údaje. Povinnost pověřence jmenovat nastává ve třech případech, pokud:

•  zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
•  hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
•  hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Za jiných okolností správce ani zpracovatel DPO jmenovat nemusí, není však vyloučeno ustanovit takovou funkci dobrovolně.
Jedná se o odborníka, který dohlíží na soulad zpracování osobních údajů s povinnostmi vyplývajícími z GDPR. Pověřenec má na starosti celou agendu ochrany osobních údajů. Může se jednat o zaměstnance, advokáta nebo jinou externí osobu, důležité je, aby tato osoba disponovala dostatečnými odbornými znalostmi. V každé společnosti je pak na zvážení, jaká profese bude nejvhodnější (právník, IT specialista).