Ochrana osobních údajů dle GDPR

Kontrolní činnost

GDPR ukládá Úřadu povinnost monitorovat a vymáhat uplatňování nařízení a provádět potřebné šetření o uplatňování tohoto nařízení. Hlavním prostředkem těchto činností je kontrola.

Kontrola se řídí především zákonem č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, a zákonem č. 110/2019 Sb., o zpracování osobních údajů, subsidiárně se pak použije zákon č. 500/2004 Sb., správní řád.

Kontrolou jsou pověřeni zaměstnanci Úřadu. Kontrolovanému musí být oznámeno zahájení kontroly písemně nebo ústně na místě kontroly kontrolujícím, který se musí prokázat pověřením ke kontrole. Do nedávna prováděli kontrolu také inspektoři Úřadu, jimž dobíhalo jejich desetileté funkční období dle předchozí platné právní úpravy.

Povinnosti kontrolujících

Kontrolující jsou povinni zjistit stav věci v rozsahu nezbytném pro dosažení účelu kontroly a doložit kontrolní zjištění příslušnými podklady. Kontrolující jsou povinni šetřit práva a oprávněné zájmy kontrolované osoby, povinné osoby a třetí osoby a dále jsou povinni zachovávat mlčenlivost o skutečnostech, o kterých se dozvěděli v souvislosti s kontrolou, a těchto informací nezneužívat.

Tato povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu a mohou jí být zproštěni osobou, v jejímž zájmu tuto povinnost má, nebo ve veřejném zájmu osobou nadřízenou. Pokud došlo v souvislosti s kontrolou k zajištění originálních podkladů, a pominou-li důvody tohoto zajištění, kontrolující je povinen jej neprodleně vrátit kontrolované osobě. Po provedené kontrole jsou kontrolující povinni vyhotovit protokol o kontrole, jehož minimální obsah upravuje § 12 odst. 1 kontrolního řádu.

Práva kontrolujících

Kontrolující mohou nařídit správci a zpracovateli, aby mu poskytli veškeré potřebné informace k plnění svých úkolů. Mohou požadovat, aby jim správce či zpracovatel zajistil přístup ke všem osobním údajům a ke všem potřebným informacím. Kontrolujícím musí být umožněn přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů.

Při výkonu svých povinností se mohou seznamovat se všemi informacemi v rozsahu nezbytném k naplnění účelu kontroly. Kontrolující mohou požadovat od kontrolované a povinné osoby součinnost potřebnou k výkonu kontroly.

Předávání osobních údajů do jiných států

Obecně platnou premisou v souvislosti s ochranou osobních údajů je volný pohyb osobních údajů. K volnému pohybu však nelze přistupovat bezvýjimečně a neplatí tak, že lze osobní údaje předávat bez jakýchkoli omezení. Tento přístup má pouze naznačit, že ve všech zemích Evropské unie je při zpracování osobních údajů dodržován stejně vysoký standard a další opatření k zajištění institucionální bezpečnosti tedy nejsou nezbytně nutná.

Jiná situace nastává, jde-li o předávání osobních údajů mimo země Evropský hospodářský prostor. Tehdy musí být splněny podmínky pro předání i v rámci jejich institucionálního zabezpečení. Společným pravidlem pro unijní i mimounijní státy je právní důvod, kterým musí správce disponovat, aby mohly být osobní údaje jinému správci předány legálně.

Předávání osobních údajů mimo Evropskou unii lze provést vícero způsoby. Prvním z nich je předání založené na rozhodnutí o odpovídající ochraně. Jeho podstata spočívá v rozhodnutí Komise o tom, že daná země poskytuje dostatečnou úroveň ochrany osobních údajů, a další zvláštní povolení tedy není vyžadováno.

Druhým způsobem je předání založené na vhodných zárukách. Pokud neexistuje rozhodnutí Komise, musí přijímající správce poskytnout vhodné záruky, které mohou spočívat např. v přijetí závazných podnikových pravidel či standardních smluvních doložek.

Závazná podniková pravidla jsou užívána při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli usazeném v jedné nebo více třetích zemí v rámci uskupení podniků vykonávajících společnou hospodářskou činnost, je-li správce nebo zpracovatel předávající osobní údaje usazen na území členské státu.

Standardní smluvní doložky umožňují předání osobních údajů do třetích zemí, které, dle Evropské komise, poskytují dostatečnou ochranu osobních údajů. Jedná se o způsob založený na principu reciprocity, kdy se přijímající správce či zpracovatel zavazuje formou standardizovaného textu dodržovat pravidla odpovídající pravidlům platným v Evropské unii.

Poslední možností je sběrný způsob, pokud nelze na specifickou situaci uplatnit některý ze způsobů uvedených shora. V těchto případech lze údaje do třetí země předat tehdy, je-li splněna alespoň jedna z podmínek uvedených v čl. 49 odst. 1 GDPR. Takovou podmínkou je např. informovanost subjektu údajů o možných rizicích za současného udělení výslovného souhlasu, nebo nezbytnost takového předání z důvodů vyčtených v čl. 49 odst. 1 písm. b) až f) GDPR.

Zneužití osobních údajů

V minulosti upravoval sankce za přestupky a jiné správní delikty v oblasti ochrany osobních údajů zákon o ochraně osobních údajů. Po přijetí GDPR nalezneme právní úpravu přímo v něm.

Nařízení stanoví ve svém čl. 5 základní zásady pro výkon povinností v souvislosti se zpracováním osobních údajů správcům ale také zpracovatelům osobních údajů (viz výše). Tyto subjekty jsou pak při jejich porušení sankcionováni citelněji. Porušení projednává stále Úřad pro ochranu osobních údajů, a to dle zákona č. 250/2016 Sb., o odpovědnost za přestupky a řízení o nich, zákona č. 110/2019 Sb., o zpracování osobních údajů, a dále podle zákona č. 500/2004 Sb., správní řád. Dle zákona o přestupcích jsou níže uvedená porušení nařízení označena za přestupky.

Při ukládání pokuty přihlédne k povaze, závažnosti a době, po jakou porušení přetrvávalo, dále také k opatřením přijatým ke zmírnění následků, k formě zavinění a dalším v nařízení definovaným kritériím. Sankce musí splňovat základní vlastnosti – musí být účinné, přiměřené, odrazující a při jejich uložení musí být splněno pravidlo rovnosti.

Za porušení povinností správce a zpracovatele dle čl. 8, 11, 25 až 39, 42 a 43 může Úřad uložit pokutu až do výše 10 000 eur nebo až do výše 2 % celkového celosvětového ročního obratu za předchozí finanční rok. Za porušení základních zásad pro zpracování osobních údajů, a to včetně podmínek ohledně souhlasu, za porušení práv subjektů údajů, za porušení při předání osobních údajů do třetích zemí nebo mezinárodní organizaci, může Úřad uložit pokutu až do výše 20 000 000 eur nebo až do výše 4 % celkového celosvětového ročního obratu za předchozí finanční rok.

Tuto sankci může uložit také v případě nesplnění příkazu nebo omezení již dříve uloženého. Toto rozdělení do dvou skupin odráží dvojí intenzitu zásahu do práva na ochranu osobních údajů. Jsou-li tyto přestupky spáchány orgánem veřejné moci nebo veřejným subjektem, Úřad od uložení správního trestu upustí a uplatní jiný druh správního trestu resp. stanoví jiná nápravná opatření. Vybrané pokuty jsou příjmem státního rozpočtu. Pokud pokuta není uhrazena dobrovolně, Úřad jej předá k vymáhání celnímu úřadu.

Pokuty ale nejsou jedinou sankcí za porušení obecného nařízení. Správci či zpracovateli může mít také uděleno napomenutí nebo nařízeno, aby něco vykonal.

GDPR zavedlo nově na rozdíl od zákona na ochranu osobních údajů povinnost v případě porušení zabezpečení ochrany osobních údajů jej ohlásit Úřadu, popř. i přímo dotčeným subjektům. Této povinnosti se ale mohou správci zprostit v případě, kdy přijali dostatečná opatření ke zmírnění rizika pro práva a svobody fyzických osob.

GDPR samo intenzitu porušení nerozlišuje, výkladem příslušných ustanovení můžeme ale vyčíst tři úrovně porušení podle míry rizika, které s sebou toto porušení nese, a to od žádného rizika, přes prosté porušení zabezpečení až po vysoké riziko („kvalifikované porušení zabezpečení“). Taxativní výčet porušení zabezpečení, která jsou správci povinni hlásit, prozatím neexistuje. Úřad pro ochranu osobních údajů zveřejnil alespoň výčet demonstrativní, a to na svých webových stránkách. Jaká opatření jsou tedy pro zproštění dostatečná, ukáže až jeho rozhodovací praxe.

Ochraně osobních údajů se ale věnuje také zákon č. 40/2009 Sb., trestní zákoník. V ust. § 180 trestního zákoníku je vymezena skutková podstata trestného činu neoprávněného nakládání s osobními údaji. Trestného činu se dopustí ten, kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

Stejného trestného činu se dopustí i ten, kdo byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

Objektem tohoto trestného činu je zájem státu, resp. společnosti na dodržování zákonem stanovené povinnosti mlčenlivosti. Objektivní stránku naplňuje jednání spočívající v současném splnění několika výše uvedených podmínek.

Přehled všech témat Právního průvodce

• Oblasti podnikání: Právo, právní služby | Služby
• Teritorium: Česká republika