Strašák GDPR? SERIÁL O GDPR KROK ZA KROKEM – díl II.
V druhém díle našeho seriálu o GDPR se podrobněji seznámíme se zásadami zpracování osobních údajů (dále jen „zpracování“), neboť se jedná o základní stavební prvky nového nařízení GDPR, které nás budou tímto seriálem více či méně provázet až do jeho konce, neboť zpracování osobních údajů musí být prováděno výhradně v souladu s těmito zásadami.
V čl. 5 nařízení GDPR je uvedeno sedm zásad, které budou předmětem našeho zkoumaní. Jelikož se však jedná o velmi obsáhlé téma, bude o zásadách GDPR pojednáno ve více dílech našeho seriálu. Dnes si tedy rozebereme první zásadu nařízení GDPR, kterou blíže vysvětlím tak, aby bylo patrné, jakým způsobem se s ní v běžném životě budeme setkávat. Jedná se o zásadu:
- zákonnosti, korektnosti a transparentnosti
První zásada nařízení GDPR cílí na zákonnost zpracování osobních údajů, kdy ty mohou být zpracovávány pouze tehdy, pokud bude splněna alespoň jedna z níže uvedených podmínek:
- Subjekt údajů (např. fyzická osoba kupující zboží či příjemce služeb) se zpracováním udělí souhlas, a to pro jeden či více konkrétních účelů.
Zde musí být správce schopen zpětně doložit, že jste např. při nákupu na
e-shopu se zpracováním souhlasili. Tento udělený souhlas musí být dostatečně svobodný, srozumitelný, snadno přístupný (bude se brát v potaz, zda bylo použito jasných a jednoduchých jazykových prostředků) a navíc odlišitelný od jiných skutečností. Zde je potřeba zmínit, že svobodné je pouze takové rozhodnutí, které nemá vliv na plnění smlouvy. Proto již nebude možné, aby různé e-shopy podmiňovaly dokončení objednávky povinností udělit váš souhlas se zpracováním. Jak známe z praxe, v případě jeho neudělení nešlo u některých e-shopů objednávku dokončit, a proto ve většině případů došlo nakonec k jeho udělení. Nově taktéž bude povinností každého zpracovatele zajistit, aby odvolání souhlasu bylo stejně snadné jako jeho udělení, což hodnotím jako velký přínos nařízení GDPR.
V případě služeb informační společnosti (mezi které si lze představit všechny služby uzavírané zpravidla za úplatu, na dálku, elektronicky a na žádost jejich příjemce) uzavíraných dětmi mladších 16-ti let bude zapotřebí souhlasu zákonného zástupce. V případě, že bude chtít malý třináctiletý Pepíček při online nákupu určitých vylepšení svých zbraňových systémů své virtuální postavičky v rámci své počítačové hry souhlasit se zpracováním svých osobních údajů, bude muset poprosit buď maminku, která za něj udělí souhlas, anebo se přestěhovat do jiné evropské země, která tuto hranici posune o tři roky níže, právě na 13 let, jak dle nařízení GDPR může. V případě souhlasu maminky je pak zapotřebí ověřit, zda její totožnost se shoduje s osobou, jež za dítě vykonává rodičovskou zodpovědnost.
- Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
Zde se jedná o typickou situaci při uzavírání smluv, při které má každá smluvní strana osobní informace o druhé smluvní straně, jež jsou ale nezbytné pro splnění závazku, jež mezi sebou strany uzavřeli. Např. zhotovitel kromě jména a příjmení musí znát i dodací adresu, popřípadě telefonní číslo či e-mail na objednatele, což je potřebné pro splnění smlouvy. Avšak v případě, že by chtěl objednateli na jeho telefonní číslo zaslat Vánoční přání, již se jedná o obchodní sdělení, na které musí mít konkrétní souhlas druhé strany.
Dále je zapotřebí si uvědomit, že zpracování je vázáno na existenci smlouvy, a proto je zapotřebí po ukončení smluvního vztahu mezi stranami zpracovávané údaje smazat. To však neplatí pro všechny údaje, ale jen pro ty, které již nejsou zapotřebí k plnění smlouvy.
- Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Na různé správce údajů spadají různé právní povinnosti, které samozřejmě není možné ignorovat. Jde např. o povinnosti vyplývající ze zákoníku práce, zákona o účetnictví, o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu aj. Zde je potřeba dodat, že osobní údaje musí být po splnění právní povinnosti opět vymazány.
- Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
Za životně důležitý zájem lze považovat ochranu života a zdraví, v krajním případě i ochranu majetku vysoké hodnoty. Avšak spíše se bude jednat o výjimečný postup, kdy nebude moci získat souhlas subjektu např. z důvodu jeho nepřítomnosti, a tak bude založen právě tento důvod.
- Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
Zde je možno zařadit zejména zpracování v oblasti pracovního práva a práva v oblasti sociální ochrany, včetně důchodů, a pro účely zdravotní bezpečnosti, monitorování a varování, předcházení přenosným chorobám a jiným závažným hrozbám pro zdraví nebo jejich kontroly. Tato možnost zpracování osobních údajů může být učiněna z důvodů zdraví, včetně veřejného zdraví a řízení zdravotnických služeb, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění, nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Samozřejmostí je i umožnění zpracování osobních údajů v případech, kdy je to nezbytné pro stanovení, výkon nebo ochranu právních nároků v soudním, správním či mimosoudním řízení.
- Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Tímto nařízení GDPR opravňuje správce ke zpracování údajů, jež jsou pro ně z nějakého důvodu důležité, avšak zároveň nejsou s to přihodit nadměrný zásah do základních lidských práv a svobod subjektů údajů. Typicky půjde o zpracování údajů v rámci podnikatelských uskupení, jež např. analyzují odbyt svých výrobků nebo u zaměstnavatelů. Jako příklad uvádím kamerový systém, kterým může zaměstnavatel chránit své zájmy, pokud tímto systémem výrazněji nezasahuje do základních práv a svobod svých zaměstnanců.
Co se transparentnosti týká, tak správce má povinnost přijmout vhodná opatření, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace a poučení, a to zejména o své osobě, osobě pověřence, účelům a právnímu základu zpracování, oprávněných zájmech, příjemci údajů a době zpracování. Informace poskytne písemně nebo jinými prostředky, ve vhodných případech i v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
Mgr. Vojtěch Strnka, advokátní koncipient