Ochrana osobních údajů aneb GDPR
Novinka, která není úplně nová
Není příliš mnoho právních přepisů, které by vzbudily v posledních letech takový zájem a rozruch, jako se to podařilo regulaci ochrany osobních údajů. Zvláštní na tom je, že je to téma sice opravdu žhavé (a proto nám je v různých souvislostech sdělovací prostředky předkládají ve svých programech a na stránkách den co den), ale přitom pro většinu z nás ne tak problematické, jak by se mohlo na první pohled zdát. Ve skutečnosti to ani není úplná novinka, nebo – jak se dokonce někdy uvádí – revoluce. Už od přelomu tisíciletí tu existovala evropská úprava, z níž vychází dosud platný a účinný zákon č. 101/2000 Sb., o ochraně osobních údajů. Právníci, kteří se touto problematikou zabývají, se celkem shodují v tom, že revoluční není změna obsahu, významně se však mění přístup k ochraně.
Popravdě řečeno: stalo se to, co se v České republice občas stává (aniž bych tím chtěl naznačovat, že v jiných státech tomu tak není). Nová úprava v evropském právu (pověstné obecné nařízení, zvané GDPR) platí už dva roky, přičemž Evropská komise jeho návrh představila již v roce 2012, takže času na přípravu bylo dost a dost. Problém je v tom, že jsme se – či alespoň někteří z nás – příliš nepřipravovali.
Obecné nařízení bude účinkovat od 25. května 2018. Na řadě míst obsahuje možnost, aby jednotlivé členské státy stanovily vlastní pravidla nebo zpřesnily některé podmínky, jenže český zákonodárce ještě nový právní předpis nevyhlásil a nařízení je v unijních zemích přímo použitelné. Zjednodušeně řečeno – pokud by náš parlament nepřijal (nebo včas nepřijal) tuzemskou zákonnou úpravu, nezbude nic jiného než postupovat podle přímo závazných ustanovení evropských. To je jedna stránka věci. Ta druhá jde bezprostředně na náš vlastní vrub, protože mnozí z adresátů pravidel ochrany osobních údajů začali brát v potaz, že „se něco chystá“, v době, kdy už to bylo dávno přichystáno. Historie se zkrátka opakuje. Vzpomeňme si na vášnivé diskuze nad novým občanským zákoníkem, které se rovněž odehrávaly na poslední chvíli.
Stalo se – stalo, už se neodestane, teď je potřeba podívat se prakticky na to, co nás čeká a na co se soustředit, abychom nepřišli do problémů.
Důležité je správně číst
Když jsme před nedávnem debatovali o ochraně osobních údajů na jednom sympoziu Stálé konference českého práva, přišel odborník Jan Sůra se zajímavě zpracovaným „desaterem“ přípravy na GDPR. První zásadou, kterou stanovil, je: „Naučte se GDPR číst!“ To není žádná myslivecká latina. Vzpomeňte si, jak nám ve škole dobří kantoři před neoblíbenými písemkami neustále opakovali: „Soustřeďte se na zadání. Přečtěte si je pomalu, slovo od slova, ať něco nepřehlédnete.“ To je nepochybně jeden z předpokladů. Ale „Sůrovo desatero“ míní tuto zásadu ještě trochu jinak. Není důležité jen doslovné čtení (také to není žádná zvláštní zábava – jde o desítky stránek „právnické češtiny“, která, uznávám, příliš stravitelná není), ale pochopení smyslu a významu jednotlivých ustanovení.
Možná pomohou drobná doporučení, která jsou míněna především pro živnostníky a malé podniky.
- Když si obecné nařízení otevřete (najdete je třeba na webových stránkách Úřadu pro ochranu osobních údajů), nezačínejte od prvních slov. Najděte si (po preambuli a 173 číslovaných odstavcích) návětí „přijaly toto nařízení“ a pusťte se do toho od kapitoly I. K tomu, co předchází, se v případě potřeby můžete vrátit později.
- Pokuste se prostudovat si jednotlivé články první kapitoly a soustřeďte se především na článek 4, kde jsou uvedeny definice. Vskutku to nebude čtení atraktivní, ale brzy zjistíte, co se vás týká, ale zejména to, co se vás asi týkat nebude. Například nemáte-li provozovny ve více než v jednom členském státě Unie, odstavec 16 článku 4 si hned vyškrtněte, ať se už k němu nevracíte. Totéž se týká namátkou třeba hesel „skupina podniků“ (odst. 19), „přeshraniční zpracování“ (odst. 23) apod. Poté se vraťte k článkům 1 až 3 a ještě jednou si je v klidu přečtěte. Zjistíte, že některá jejich ustanovení vnímáte jako samozřejmá, kdežto jiná už nikdy nebudete potřebovat. Praktické je třeba poznání, že se nařízení nevztahuje na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností (přitom vás možná napadne lakonické: zaplať pánbůh), zatímco na to, že se nevztahuje ani na zpracování osobních údajů prováděné členskými státy při výkonu určitých činností, s největší pravděpodobností můžete rovnou klidně zapomenout – přinejmenším v této chvíli to téměř zaručeně není váš problém.
- Vyzbrojte se trpělivostí. I když zjistíte, že si zatím s některými pojmy nejste jisti, dejte se do dalších kapitol. Leccos se vám určitě objasní v průběhu dalšího čtení. V případě potřeby se zkuste zeptat svých poradců – účetních, daňových poradců, personalistů, podnikových právníků, případně i u svých kolegů z oboru. Nezapomeňte, že platí zásada: „Jedeme v tom všichni!“ (jen mezi osobami samostatně výdělečně činnými se GDPR týká v České republice téměř miliónu lidí!) – a v takových chvílích se kolegialita obzvlášť oceňuje. A v nouzi vám jistě také v některých případech pomůže váš profesní časopis.
- Jak uvádí „Sůrovo desatero“, máte-li tu možnost, zvažte jmenování pověřence pro ochranu osobních údajů, i když to obecné nařízení ve vašem případě třeba přímo neukládá, a pověřte vhodnou osobu, či v podniku útvar, touto agendou.
- Pokud ani to nebude stačit, budete bohužel možná muset na začátku investovat do placené pomoci odborných subjektů.
Nejvýznamnější pravidla GDPR pro živnostníky a malé podniky
Především si musíme ujasnit, co to jsou osobní údaje. Nejde o nic speciálního, nehledejte v tom nějaké skulinky – prostě tam nejsou. Osobním údajem je totiž v tomto směru jakákoliv informace o konkrétní fyzické osobě, z níž ji lze identifikovat. Máte-li např. zákazníka Josefa Nováka, je jeho jméno a příjmení osobním údajem, i když Josefů Nováků bývalo vždy v českých zemích velké množství. Když si zaznamenáte „Novák, zahradník“, opět jste ve sféře osobních údajů, ze kterých lze identitu člověka s větší či menší námahou zjistit. Ať to budeme obracet z kterékoliv stránky, narazíme totiž na tzv. identifikátor, jenž má podobu jména, identifikačního čísla (např. rodného, čísla občanského průkazu apod.), adresy nebo její části, ale také třeba, jak uvádí obecné nařízení, „jednoho nebo více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“. Bez osobních údajů se život člověka odedávna neobejde, natož pak dnes, v moderní době informační.
Jestliže takové informace nějakým způsobem zpracováváme – například si je uložíme do zákaznické databáze, která je nějakým (třeba i velmi jednoduchým) způsobem strukturována (dejme tomu podle abecedy, podle adres nebo podle typu zařízení, jehož se týká poskytovaná služba, apod.), dostáváme se do režimu ochrany osobních údajů. Přitom je třeba uvědomit si, že nerozhoduje, zda způsob zpracování je automatický, nebo jsou informace zapisovány třeba do nějaké knihy zakázek.
Nikdo nám přitom nebrání (ani nemůže – kdyby se o to úspěšně pokusil, společnost by přestala fungovat), abychom osobní údaje zpracovávali. Právo ale stanoví určité zásady, které je nutno při zpracování dodržet. Vypadají možná na první pohled složitě, ale když si je pečlivě přečtete, zjistíte, že jsou ve většině případů spíše samozřejmé – pokud podnikáme poctivě, dodržujeme je i bez tohoto nařízení:
- Je třeba dodržovat zákonnost, korektnost a transparentnost ve vztahům k subjektům, jejichž údaje zpracováváme. Znamená to, že je nutno postupovat vždy v souladu s právními předpisy, smlouvami, pravidly poctivého obchodního styku, dobrými mravy, a tedy též obecně s morálkou. Musí být dodržována rovněž legitimita, což se odráží zejména v tom, že nelze shromažďovat a jinak zpracovávat osobní údaje z relevantních důvodů, které odpovídají regulérním potřebám. K tomu, jak je obecným nařízením vnímána zákonnost, si velmi podrobně pročtěte článek 6 a povšimněte si, že k dosažení správného stavu postačí, je-li splněna jedna ze stanovených podmínek.
- Významnou roli hraje princip účelnosti. Je zcela pochopitelný, vychází z legitimity a lze jej také označit jako zásadu minimalizace údajů, jež jsou zpracovávány. Jde-li tedy např. o vašeho zákazníka, zvažujte vždy, co je přiměřené a pro vaši praxi skutečně důležité. Sotva by asi bylo topenáři k užitku, kdyby ve své evidenci o zákazníkovi vedl třeba informace o tom, jaké známky nosí domů jeho dítě. Je tedy nutno přesně si vymezit okruh údajů, které potřebujete skutečně znát, abyste mohli plnit své pracovní a podnikatelské úkoly; informace, které evidentně o zákazníkovi znát a evidovat nemusíte, nesbírejte, neuchovávejte, vymažte. Přijde-li k vám kontrola, budete muset být schopni jasně vysvětlit, že údaje, jimiž disponujete, jsou skutečně nezbytné.
- S tím jsou spojeny i další požadavky. Dbejte především na přesnost (tedy aktualizujte, neplatné či nepřesné údaje likvidujte), časovou přiměřenost (jakmile zjistíte, že určité údaje již nepotřebujete a ani právo vám nestanoví podmínky k jejich delšímu uchování, odstraňte je ze svých evidencí), integritu a důvěrnost (vaše soubory osobních dat mají sloužit vám a vašemu podniku, nejsou tu od toho, aby se s nimi seznamovaly další osoby – musíte tedy dbát na to, aby byly přiměřeně technicky a organizačně zabezpečeny).
Pro doplnění lze doporučit stručnou metodiku, která je obsažena v návodu nazvaném „Desatero zpracování pro správce“ a umístěna na webových stránkách Úřadu pro ochranu osobních údajů.
Jak se připravovat
Odborníci obecně radí racionalizovat přípravu na GDPR tak, abyste pokud možno neměli pocit marně a zbytečně vynakládané energie, peněz a starostí. Jde sice samozřejmě primárně o to, aby se snížila rizika, která jsou se zpracováním osobních údajů spojena, ale aby zároveň přínosným efektem přijetí potřebných opatření bylo zvýšení kvality fungování vaší živnosti či podniku. Budete-li k problému přistupovat takto pozitivně, objevíte možná zbytečné zastaralé archivy, zjistíte, že mnohé informace, které jste kdysi třeba od zákazníků vyžadovali, nemají pro vás ve skutečnosti žádný smysl, ale není ani vyloučeno, že narazíte na dávné dokumenty, které jste postrádali anebo už snad i zapomněli, že se povalují někde v letitých šanonech.
Nikdo není nadšen, když po něm právo vyžaduje další a další povinnosti, ale toto je i příležitost udělat si „generální úklid“, pořádně vysmýčit (nejen ve skříních a krabicích, ale samozřejmě i v počítačích, na přenosných discích a dalších nosičích) a možná přitom i zpružnit, zkvalitnit a zjednodušit nezbytnou administrativu, což může značně ovlivnit i efektivnost a produktivitu práce.
„Sůrovo desatero“ doporučuje začít u souhrnného přehledu všech operací, které provádíte. Udělejte to. Jak říká jedno asijské přísloví, první krok je polovina cesty. Jako vhodný se může jevit například takovýto postup:
- Shromážděte si do přehledného souboru základní právní předpisy, které se na vaši práci a podnikání vztahují – především živnostenské, pracovní a podnikatelské právo, právní úpravu nejdůležitějších smluv, které uzavíráte, předpisy týkající se bezpečnosti práce, hygieny atd.; to vše je dobré mít vždy po ruce, pokud nemáte právníka, který s vámi průběžně spolupracuje (někdy se ovšem bez odborné právní pomoci stejně neobejdete).
- Zrevidujte a co nejracionálněji si sestavte soubor interních předpisů, řádů a pravidel upravujících činnost vašeho podniku.
- Vytvořte si složky či soubory hlavních dokumentů, pracovních smluv a dohod, obchodních smluv, objednávek vlastních i přijatých, obchodních případů a dalších materiálů.
Já vím, že to všechno v drtivé většině případů máte. Inu – o to bude váš postup jednodušší. Jen tvrdím, že jistota je jistota a život přeje připraveným, takže je vhodné i existující složky projít a zkontrolovat.
Jakmile toto učiníte, jste vlastně už jen krok od vyřešení problému GDPR. Zbývá vám posoudit, jaká opatření je případně potřeba přijmout. Možná dojdete k závěru, že by neškodilo absolvovat nějaké školení nebo seminář v problematice, v níž si nejste úplně jisti v kramflecích. Možná přijdete na to, jak zlepšit systém porad a další komunikační systémy, aby informace proudily rychle, přesně a efektivně. Možná zjistíte, že některé procesy jsou příliš byrokratické, že se vám denně ve firmě hromadí papíry, do kterých se nikdo nedívá, nebo že po ní kolují e-mailové zprávy, které nikdo nečte. Ačkoliv vám to třeba tak nepřipadá, každý účinný krok tímto směrem je zároveň krokem k tomu, abyste zvládli GDPR. Je samozřejmě potřeba podívat se i na to, zda a jak využíváte kódování, anonymizaci, pseudonymizaci, šifrování a další moderní metody, jak jsou zabezpečeny vaše databáze, adresáře, IT systémy a další prvky. Zjednodušeně řečeno: sestavte si soubor technických a organizačních opatření a pusťte se do jejich realizace.
Riziko a proporcionalita
Významný právní znalec problematiky GDPR M. Nulíček zdůrazňuje zásadu proporcionality. Jde o výkladový princip, který je při přípravě nového systému ochrany osobních údajů mimořádně významný. Radil-li jsem vám, abyste při čtení obecného nařízení začali vlastním textem jeho jednotlivých ustanovení, teď vám doporučuji, abyste se na tomto místě vrátili ke čtvrtému číslovanému odstavci preambule. Toto ustanovení totiž vysvětluje, že zpracování osobních údajů by mělo sloužit lidem. Tato jeho první věta možná není „marketingově“ nejšťastnější, mnozí si řeknou, že jde jen o nějakou obecnou proklamaci. Ale je třeba číst dále. Zdůrazňuje se zde totiž, že právo na ochranu osobních údajů není právem absolutním, že musí být posuzováno v souvislosti se svou funkcí ve společnosti a musí být v rovnováze s dalšími základními právy. V těchto slovech je skryt důležitý klíč: výzva k rozumnému přístupu. Nejde – nemá jít – o nějakou knutu, která vnucuje těm, kdo pracují s osobními údaji, jakési stanné právo, nýbrž usiluje o racionální a odpovědná řešení. Nejde – a nesmí jít – o omezení takových základních práv, jako jsou svoboda projevu, vědeckého bádání, novinářské práce apod.
Při kritickém pohledu, který je samozřejmě nezbytný, je obecnému nařízení vytýkáno (a nepochybuji o tom, že značná část těchto výtek je rozumná, sám je v řadě ohledů sdílím) mnoho problematických bodů, k nimž patří například v tuzemských poměrech obtížně představitelná výše sankcí. Je ale (jako řada dalších záležitostí) v rukou národních zákonodárců jednotlivých členských států Evropské unie přijmout v tomto směru vlastní úpravu, pro kterou obecné nařízení stanoví jen zásadu, že sankce musejí být účinné, přiměřené a odrazující.
Jednou z dalších pochybností, které jsou v odborných kruzích diskutovány, je použití značného množství neurčitých právních pojmů. Ty totiž vždy mohou vést ke vzniku problémů a sporů. M. Nulíček připomíná např. formulaci článku 32 obecného nařízení: „s přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu zpracování a různě pravděpodobným a různě závažným rizikům provede správce vhodná technická a organizační opatření.“
Jde o důsledek normativní povahy právní regulace, na kterou si budeme muset do budoucna zvykat. Jistěže pojmy jako „přihlédnutí ke stavu“, „povaha“, „kontext zpracování“ (natož potom spojení typu „různě pravděpodobný“ či „různě závažný“) přináší určitou nejistotu, co že se tím či oním termínem vlastně má na mysli.
Žádný jednoznačný výčtový recept (typu: těchto padesát postupů použít můžete, ale těchto třicet nikoliv) neexistuje. Budeme se muset s novou úpravou naučit žít a jediné, co lze doporučit, je – postupovat podle nejlepšího vědomí a svědomí, na základě odborných znalostí a při respektování etických zásad moderní společnosti. Jak zdůrazňují i ti nejlepší znalci, je třeba pracovat s rizikem. „Sůrovo desatero“ to vyjadřuje slovy: „Posouzení rizika zpracování osobních údajů je určujícím prvkem při provádění povinností podle GDPR a kritériem pro míru uplatnění řady institutů.“
Mnoha z nich (např. souhlas se zpracováním osobních údajů, tzv. právo být zapomenut, právo na přenositelnost údajů a řada dalších) jsme se v tomto článku ani dotknout nemohli, protože rozsah materie GDPR je příliš velký. S částí dalších se s největší pravděpodobností čtenář tohoto příspěvku ani do budoucna nesetká (například s praktickým dopadem úpravy předávání osobních údajů do třetích zemí nebo mezinárodním organizacím). Smyslem tohoto článku není (a domnívám se, že ani nemůže být) více než seznámení se základními informacemi, upozornění na některá úskalí a snaha poskytnout alespoň jednoduchá doporučení, která mohou především živnostníkům a malým podnikům usnadnit orientaci.
- Příběhy bez konce
- Potíže s fotovoltaikou
- Takové obyčejné příběhy
- Jak se nestát vlastníkem aneb o rozvodném tepelném zařízení
- Nekonečný příběh? Aneb kauza revize spalinových cest