Jiný pohled na GDPR, aneb o čem to vlastně je

Dne 25. května 2018 vstoupilo v účinnost (v terminologii EU "použitelnost") nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů) - toto nařízení je známé spíše pod zkratkou GDPR (z anglického General Data Protection Regulation).

Pojďme se nyní na GDPR podívat poněkud jinou optikou. Na čem GDPR vlastně stojí? Co bude správce a zpracovatele - přímo či nepřímo - nutit tento právní kodex dodržovat? Mám za to, že se jedná zejména o aktivitu subjektů údajů. Dále o dobrovolnou odpovědnost správců a zpracovatelů osobních údajů a vynutitelnou konformitu.

Aktivita subjektů údajů

GDPR dává subjektům údajů poměrně široká (a v některých aspektech snad i dosud neobjevená) práva. Tato práva jsou kodifikována zejména v článcích 12 až 22 a v čl. 34, ale i v čl. 82. Kromě obecně známých práv jako je právo na výmaz (čl. 17), právo na opravu nepřesných údajů (čl. 16) či právo na přenositelnost údajů (čl. 20) má subjekt údajů i jiná poměrně zajímá a v praxi dobře využitelná práva.

Jedná se například o právo na poměrně rozsáhlé informace uvedené v čl. 14, na jejichž poskytnutí má subjekt údajů právo v přiměřené lhůtě, nejpozději však do jednoho měsíce, po té co správce získal osobní údaje dotčené fyzické osoby kupř. ze základních registrů. Nebo o právo subjektu údajů požadovat po správci, aby mu sdělil zda osobní údaje, které se ho týkají zpracovává či nikoliv a zároveň získat o tomto potvrzení. V kladném případě má rovněž právo získat přístup k těmto osobním údajům a informacím uvedeným v čl. 15.

Posledním právem, které okrajově zmíním je právo uvedené v čl. 18 a tím je právo na omezení zpracování. Subjekt údajů má právo na to, aby správce omezil zpracování, když správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků [čl. 18 odst. 1 písm. c)]. Cílem tohoto omezení je, aby správce nemohl údaje vymazat (vymazání = zpracování) a subjekt je mohl použít ve své právní věci. Naproti tomu však ani správce, přes oprávněnou žádost subjektu údajů, jeho osobní údaje vymazat nemusí, je-li zpracování nezbytné je pro určení, výkon nebo obhajobu právních nároků v jiné právní věci [čl. 17 odst. 3 písm. e)].

Dobrovolná odpovědnost

Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování, a to s cílem upřesnit uplatňování jednotlivých ustanovení GDPR (čl. 40). Kodexy se uplatní v rámci určitého odvětví při zpracování osobních údajů. Přihlášení se ke kodexu je dobrovolné. Pokud se správce či zpracovatel ke kodexu přihlásí - bude ho, kromě dozorového úřadu, kontrolovat (slovy GDPR "monitorovat") i akreditovaný subjekt (čl. 41).

Vedle kodexů chování GDPR hovoří i o osvědčení o ochraně údajů a o zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s GDPR (čl. 42). Jedná se tedy o další systém samoregulace, který má dokladovat soulad s GDPR. Osvědčení může mít - pro snadnou orientaci - formu známky nebo pečetě a může býti konkurenční výhodou. V podmínkách České republiky bude Český institut pro akreditaci, o.p.s. akreditovat subjekty, které následně budou vydávat osvědčení pro správce a zpracovatele - toto osvědčení lze vydat na dobu nejvýše tří let, může být obnoveno a lze je odebrat. I zde se správce a zpracovatel dobrovolně podřizuje dozoru dalšího subjektu.

Vynutitelná konformita

GDPR není normou imperfektní.

Proti právu stojí povinnosti, má-li tedy - na straně jedné - subjekt údajů svá práva, potom má - na straně druhé - správce a zpracovatel povinnosti, které mohou být - nejsou-li (s)plněny dobrovolně - (sankčně) vynucovány.

Maximální výše správních pokut uvedené v čl. 83 odst. 4 a 5 [až do výše 10 000 000 EUR 
(20 000 000 EUR), nebo jedná-li se o podnik, až do výše 2 % (4 %) celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší] jsou obecně známy. Nezbývá tedy než dodat, že uložené pokuty musí být v každém případě účinné, přiměřené a odrazující, nikoliv však likvidační.

A podotknout, že správní pokuty se ukládají - správci nebo zpracovateli - podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Tato opatření jsou, ze své povahy, mírnější jedná se kupř. o upozornění a napomenutí; o nařízení něco učinit; o uložení omezení zpracování a o odebrání osvědčení.

Do množiny "vynutitelná konformita" si dovolím zařadit i právo na náhradu újmy uvedené v čl. 82. Kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly (recitál 146). GDPR rovněž, v čl. 80, počítá se zastupováním subjektu údajů ve věci odškodnění.

Na to co GDPR do české kotliny vlastně přinese či jak bude vypadat GDPR po Česku si musíme počkat. Již dnes však lze konstatovat, že téma ochrana osobních údajů, které se nás týká už i v období prenatálním[1], resp. od kolébky až po hrob bylo zvednuto a lze očekávat, že mu bude věnována podstatně větší pozornost, než tomu bylo dosud.

29. května 2018


[1] Srov. § 25 zákona č. 89/2012 Sb., občanský zákoník.