GDPR, kterým se správci a zpracovatelé osobních údajů budou muset řídit nejpozději od 25. května 2018, stále obsahuje řadu nejasností.
Mnoho otazníků se vznáší například nad povinností vyplývající z článku 30 evropského nařízení o ochraně osobních ůdajů. Ten pojednává o povinnosti vést záznamy o činnostech zpracování. V podstatě jde o náhradu zrušené oznamovací povinnosti Úřadu pro ochranu osobních údajů, která byla považována především za formalitu přinášející zbytečnou administrativní zátěž nejen správcům údajů, ale i dozorovému orgánu. Záznamy o činnostech zpracování mají být naopak základní oporou při řešení problémů a poslouží jako praktické rozcestníky, které mají ve firmách pomoci zpřehlednit a posléze i eliminovat procesy.
Záznamy o činnostech zpracování musí obsahovat tyto informace:
a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
Nepřesně definovaná výjimka
Takový podrobný seznam může být velmi praktický, ale ne všichni budou mít prostor a čas tyto záznamy vypracovat a průběžně aktualizovat. Nařízení proto počítá s možností převést tuto agendu na zpracovatele a dále povoluje menším podnikům do 250 zaměstnanců se jí vůbec nezabývat. Tato výjimka se ale týká pouze takových zpracování, která není možné kvalifikovat jako riziková, respektive nezasahující závažným způsobem do práv a svobod jednotlivců, nebo zpracování, která nebudou zahrnovat citlivé údaje. Tento výklad bohužel není jednoznačný. Návrh textu nařízení doznal v průběhu přípravy GDPR zásadních změn, zjevně šlo o snahu pomoci malým a středním podnikům. Výsledek je ovšem dost rozpačitý a výklad rozsahu výjimky problematický.
Kdo tedy musí a kdo nemusí vést záznamy o činnostech zpracování? Koho se výjimka týká a koho ne? Zde jsou názory několika odborníků:
Výjimka se mimo jiné neuplatní, pokud zpracování není příležitostné. To může být vykládáno i tak, že výjimka se neuplatní na zcela běžné – ale soustavné, opakující se a tedy nikoli příležitostné – zpracování osobních údajů. Jde například o zpracování dat zaměstnanců pro účely HR a mzdové agendy nebo zákazníků pro účely plnění smluvních vztahů. Takový výklad též znamená, že výjimka žádnou zásadní úlevu pro malé a střední podniky nepřináší, komentuje Matyáš Kužela, společník advokátní kanceláře ŘANDA HAVEL LEGAL.
V současnosti ještě nemáme přesné definice toho, co se rozumí občasným či rizikovým zpracováním. Nařízení říká, že občasným zpracováním je míněno zpracování jednorázové či ad hoc nebo je v malém rozsahu a nepravidelně. Rizikovým je zpracování, pokud jím může být způsobena nezanedbatelná újma dotčeným osobám. Jedná se tedy o pojmy velmi vágní. K problematice záznamů o činnostech zpracování existuje stanovisko německého dozorového úřadu. To zjednodušeně říká, že povinnost vést záznamy o činnostech zpracování se dotkne téměř všech firem nezávisle na tom, zda se jedná o firmy výrobní, poskytující služby a mající 5 nebo 50 zaměstnanců, uvádí právnička Alice Frýbová ze společnosti Holubová advokáti. Jako výjimku těch, kdo záznamy vést nemusí, uvádí některé spolky, které nemají zaměstnance.
Zpracování je rizikové, pokud jím může být způsobena nikoliv zanedbatelná újma dotčeným osobám. Například únik osobních údajů by vedl k tomu, že si někdo pomocí těchto údaje sjedná v bance úvěr. U osobních údajů zpracovávaných třeba e-shopy je toto riziko značné. E-shopy navíc osobní údaje zpracovávají pravidelně, takže by se na ně povinnost vést záznamy o zpracování vztahovat měla. Riziko zde může být i pro práva každého jedince na ochranu jeho soukromí, komentuje poradkyně pro IT bezpečnost a ochranu osobních údajů Hana Šipošová s tím, že u této výjimky je třeba velké opatrnosti. Výjimka se určitě nemůže týkat společností, které zpracovávají takzvané zvláštní kategorie osobních údajů. Jedná se zejména o genetické a biometrické údaje, údaje o zdravotním stavu či sexuálním životě a orientaci, ale i údaje o politickém, náboženském či filosofické vyznání nebo rasovém či etnickém původu. V této oblasti se povinnost bude týkat zejména společností poskytujících zdravotnické služby. Dále pak například společností provozující kamerové systémy ve větším měřítku nebo finančních institucí.
Povinnost vést záznamy se bude týkat 95 % podnikatelů, protože už jen v případě, že vaše společnost disponuje marketingovým oddělením nebo pro vás na marketingu pracuje někdo další, znamená, že nezpracováváte osobní údaje nahodile a příležitostně, dodává advokátka advokátní kanceláře eLegal Petra Dolejšová. Stejně tak podle ní zpracování osobních údajů podle praxe Úřadu pro ochranu osobních údajů představuje vždy určité riziko, tedy je velmi nepravděpodobné, že by se například našel e-shop, na který by se tato povinnost nevztahovala.
Psali jsme: Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte
Nejasnosti neumožňují vyhýbat se povinnostem
Právníci se v zásadě také shodují, že nová povinnost vést záznamy o činnostech zpracování je efektivnější než dosavadní oznamovací povinnost správců údajů. Tyto záznamy přispějí k tomu, že bude mít firma nebo organizace přehled o rozsahu a druzích zpracování osobních údajů, které provádí, a může to využít k efektivnímu managementu procesů v oblasti řízení rizik a plnění povinností v oblasti ochrany osobních údajů. Hlavní výhodu spatřuji v tom, že formát a způsob vedení záznamů je na rozhodnutí organizace. Ta může rozšířit záznamy o činnostech zpracování nad rámec požadavků GDPR. Management má pak potřebné informace koncentrovány na jednom místě, rychle dostupné a přehledné, říká Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha.
Bude tedy lépe nepřemýšlet nad uplatněním výjimky, ale spíše pozitiv, která nová povinnost přinese. V žádném případě nebude možné se povinnosti vyhýbat a odkazovat na dosud nepřijatou národní legislativu, která GDPR doplní, případně výkladové stanovisko evropské skupiny WP29.
Obecné nařízení GDPR je komplexním právním předpisem, který nahradí český zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a podle Úřadu pro ochranu osobních údajů za podstatnou část pro podnikání na internetu je třeba považovat stanovení věkové hranice pro udělení souhlasu a není třeba čekat na adaptační legislativu. GDPR předpokládá, že kodexy chování vytvoří asociace nebo sdružení zastupující správce údajů ze stejné oblasti, například bankovnictví, telekomunikace, cestovní kanceláře a další. Zároveň ale vytváření těchto kodexů není povinné.