General Data Protection Regulation not only in terms of the legal regulation of labor law relationship*

JUDr. Jakub Morávek, Ph. D.*

Annotation

The paper focuses primarily on changes resulting not only from the legal provisions of the labor-law relations it brings EGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation),

I. Úvod

Jedním ze znaků postmoderní společnosti západní civilizace je nadbytek. Nadbytek s sebou nese marnotratnost, zhýralost, touhu po exkluzivitě, jedinečnosti, vyvolává zájem o exkluzivitu, jedinečnost a výjimečnost. Není-li možné jich dosáhnout vlastními silami, vede k touze si je koupit, směnit je (ideálně) za nadbytek prostředků a zdrojů. Jinak řečeno, typickým projevem postmoderní společnosti je opak toho, o čem hovořil ve 30. letech minulého století Tomáš Baťa: „Potřebujeme mravní stanoviska k lidem, k práci a veřejnému majetku. Nepodporovat bankrotáře, nedělat dluhy, nevyhazovat hodnoty za nic….“[1]

Nejúspěšnějšími, nejžádanějšími a nejexkluzivnějšími statky, věcmi a produkty bývají ty, které vzbuzují emoce. Ty bývají nejprodávanější a nejdražší. Byť nejsou bez významu, v tomto kontextu je potlačován význam původních primárních znaků a předpokladů úspěchu, jako jsou funkčnost, trvalost či odolnost.

Emoce mohou být vyvolány různým způsobem a mohou být různého charakteru, od bezpečí a jistoty přes vzrušení až po strach. Exkluzivitu může statek nabýt různými způsoby, stejně tak lze probudit i potřebné emoce – oboje může navodit jedinečný tvar či barva, někdy, zejména je-li zde nedostatečná znalost poměrů na straně adresátů sdělení a potenciálních příjemců a kupujících, stačí chytlavý název. Emoce, zpravidla uměle vyvolané a podporované marketingem, jsou základním cestou k úspěchu. Značka, která budí emoce, nebo se ve vztahu k ní daří emoce prostřednictvím marketingu uměle vyvolávat, je terno, terno pro výrobce, pro prodejce. Dává jim možnost od těch, kteří touží po exkluzivitě (a nebývá jich málo), vybírat a shromažďovat hospodářské přebytky.

Každý tvor má tendence usilovat o exkluzivitu. Ta má příčinu v základním živočišném pudu rozmnožování – nejbarevnější sameček či samička, krom toho, že zvyšují pravděpodobnost, že je něco sežere, získávají zpravidla větší pravděpodobnost, že svou genetickou informaci předají dál a zachovají a budou dále šířit svou genetickou linii. Člověk v tomto není výjimkou. Avšak v postmoderní společnosti tato tendence získala zcela jinou kvalitu a obsah, když se minimálně částečně zakládá i na jiných motivech. Jinak si lze jen těžko vysvětlit, že by bylo možné zbohatnout prodejem nakousnutých jablek či vyšíváním jména řecké bohyně vítězství na boty.

Občasně se vyskytne produkt či značka, která (předpokládejme, že primárně nechtěně) v mnohém právě popsaným znakům odpovídá, v několika podstatných aspektech se však liší. Tyto odlišnosti lze shrnout zjednodušeně tak, byť účelem a primární funkcí není, aby jejím prostřednictvím bylo možné od ostatních vybírat hospodářské přebytky. Má sice takový potenciál, jde však o sekundární projev. Vedle toho, a to je podstatnější, nemá (tento sekundární projev) privátní charakter, nýbrž jde spíše o „veřejný statek“, tedy o statek způsobilý k obecnému žití, jímž může za určitých podmínek a za určitých okolností hospodářské přebytky od ostatních, využívajíce jejich důvěry a strachu, což jsou emoce, které v těchto případech převažují, vybírat de facto kdokoli, kdo je dostatečně smělý.

Vedle toho je jejich typickým znakem, což celý problém umocňuje, že tyto instituty působí ve veřejném prostoru a nelze se jim pro jejich obecnou platnost vyhnout. Významnou část společnosti v nějaké poloze zatěžují z hlediska časového a finančního, příp. jinak omezují jejich svobodu.

V posledních dvou letech můžeme identifikovat dva takové „produkty“, které měly vhodný emoční potenciál. Dva „produkty“, které byly patřičně „marketingově“ podpořeny, což umocnilo jejich emoční efekt (zde zejména nejistotu, obavy a strach) a umožnilo „těžbu“ hospodářských přebytků.

Prvním z nich byl nový občanský zákoník a rekodifikace soukromého práva; nutno nicméně říci, že v této souvislosti neplatí níže konkretizované připomínky a výtky, zejména kvůli tomu, že ministerstvo spravedlnosti minimálně projevilo snahu poskytnout metodickou podporu, k čemuž vytvořilo i expertní orgán. Druhým „produktem“, který je aktuálně „v prodeji“, je obecné nařízení o ochraně osobních údajů;[2] v tomto příspěvku bude záměrně používáno české označení zavedené přímo v evropském věstníku, tedy obecné nařízení o ochraně osobních údajů, příp. obecné nařízení, a nikoli anglický zkratka a „prodejní název“ GDPR.

V této poloze, pokud bychom měli obecné nařízení charakterizovat, zřejmě nejvíce připomíná Yettiho. Proč Yettiho? Protože s ohledem na (minimální) metodickou podporu ze strany zodpovědných orgánů a institucí (viz níže) nikdo nemůže přesně tušit, jak budou jednotlivé (zejména nové) instituty vykládány a jaká pravidla tedy obecné nařízení nese, natož (jelikož se nařízení prozatím neuplatňuje v praxi) jaká daná pravidla skutečně jsou a jaký budou mít aplikační dopad. Jinak řečeno, nikdo jej pořádně neviděl, ale šíří se o něm bájné a fantastické historky. Vypravěči[3] se v základu dělí do dvou skupin, kdy linie je vedena mírou povědomí o stávajícím stavu a o historii právní úpravy a dalších významných souvislostech, zejména judikatuře a rozhodovací praxi dozorových orgánů.

První skupinou jsou ti, kteří mají větší či menší zejména praktickou zkušenost se stávající právní úpravou na ochranu osobních údajů a její aplikací a problematice se věnují. Zde nebývají příhody zdaleka tak fantaskního rázu a u těchto vypravěčů zpravidla převažuje i tendence tlumit emoce a obavy z nové právní úpravy, neboť zástupci této skupiny poměrně snadno poměří rozdíly dřívější a nové právní úpravy.

Druhou skupinou jsou ti, kteří se problematice v minulosti nikdy (nebo jen zcela minimálně a okrajově) nevěnovali. Vydání obecného nařízení pro ně byl de facto bod 0, ze kterého startují ve svém poznání materie ochrany osobních údajů, což je však neruší v tom, aby se osmělili a ujali se o ní vyprávět, a že to občas jsou příběhy. Z naznačených důvodů jsou jejich příběhy mnohdy mnohem odvážnější, strašnější a strašidelnější než u zástupců prvé skupiny, nebo naopak, jedná se o příběhy mnohem smířlivější a konejšivější, v nichž neexistují problémy a vše je křišťálově čisté a jasné (náležitosti souhlasu, určení společného správce, oznámení porušení zabezpečení, pověřenec pro ochranu osobních údajů jeho funkce a uplatnění atd.).[4]

Právě od zástupců této druhé, a z povahy věci, neboť dosavad byl okruh osob, které se věnovaly ochraně osobních údajů relativně úzký, početnější skupiny, se nejčastěji ozývá, že obecné nařízení přináší revoluci v ochraně osobních údajů.

Takové tvrzení, je-li myšleno vážně a nikoli jako marketingové heslo, je však nepřesné, či snad lépe dokonce nesprávné a vypovídá pouze o nedostatečné znalosti věci; praktiku, kdy je takové heslo, zejména ve spojení s odkazováním se na maximální výši sankce podle obecného nařízení, vše s cílem maximalizovat emoci/strach a obavy na straně adresátů s jasným cílem v podobě shora popsaného sekundárního efektu institutu obecného nařízení, nelze označit jinak, než za (nejméně) neetickou.

Obecné nařízení nelze titulovat jako revoluční. Základní struktura pravidel pro legální zpracování osobních údajů zůstává de facto nezměněna. Stejné platí i o základních povinnostech správce osobních údajů. Obecné nařízení, v částech, kde se (zdánlivě) odchyluje od stávající právní úpravy, ve většině případů pouze rozvádí či upřesňuje (mnohdy dosti kazuisticky) dosavadní instituty, a to zejména v návaznosti na doporučení a stanoviska WP 29 a judikaturu SDEU, či ESLP. Kdo byl seznámen s těmito stanovisky a se související judikaturou, nemůže být příliš překvapen. Překvapit snad může jen několik (pro některé státy, včetně České republiky) nově formulovaných a zaváděných institutů, jako je pověřenec pro ochranu osobních údajů či oznamování případů porušení zabezpečení osobních údajů dozorovému úřadu a subjektům údajů (to je však nové jen pro některé subjekty, neboť v oblasti elektronických komunikací je tento institut znám).

Je nicméně pravda, že řada adresátů stávající právní úpravy, kteří budou adresáty i obecného nařízení, vnímá obecné nařízení jako revoluční. Důvod je prostý. Tyto subjekty zpravidla právní úpravě stávající nevěnovaly prakticky vůbec žádnou pozornost, případně jen pozornost dílčí (plnilo své povinnosti pouze částečně). Nachází se tedy (více méně) v bodě 0. Posun z bodu 0 do stavu 120% oproti stávající legislativě, jímž lze demonstrovat posun v právní úpravě mezi stávající právní úpravou a obecným nařízením, pak přirozeně může vzbudit dojem, že nastává revoluce.

Pokud bychom měli obecné nařízení nějak seriózně titulovat, pak ze shora uvedených důvodů jako předpis evoluční.

Stávající situace okolo obecného nařízení, kdy lze na hesla jako revoluce, stomilionové sankce, povinné šifrování, každý podnikatel bude muset vynaložit desetitisíce na úpravu softwaru a podobné zavádějící teze, narazit téměř denně, a to nejen na internetu, ale i v tradičních médiích, jako jsou televize nebo rozhlas, vyvolává otázku o odpovědnosti za takové dezinformace a šíření občas téměř poplašných zpráv. Otázku odpovědnosti za (můžeme říci) až hysterii spojenou s obecným nařízením, která je živnou půdou pro záplavu školení a pro produkci manuálů a jiných pomůcek, včetně publikací vydaných v době notně předcházející účinnosti předpisu, kdy nejsou k dispozici ani žádná metodická vodítka, jejichž efektivita a přidaná hodnota je k diskusi.[5]

Z principů demokratického právního státu, mezi něž spadá mj. i princip právní jistoty, lze poměrně jednoznačně dovozovat, že orgány veřejné moci, jde-li o orgány moci výkonné, mají sloužit veřejnosti, poskytovat jí podporu a konzultace (viz § 4 s.ř., § 29 OchOúZ, čl. 58 obecného nařízení). To ostatně například Úřad pro ochranu osobních údajů[6] historicky v určité (byť nedostatečně viditelné a mediálně prezentované) formě činil, když vydával stanoviska a doporučení v oblastech, v nichž mu náleží správní dozor a související pravomoci.

V případě obecného nařízení o ochraně osobních údajů však metodická podpora ze strany ÚOOÚ, ale i evropských orgánů, s ohledem na dosavadní institucionalizaci metodické podpory k obecnému nařízení ze strany WP 29, selhává.

Obecné nařízení krom jiného přináší i nároky ve směru k technicko-organizační stránce zpracování osobních údajů, doplnění zpracovatelských smluv, příp. úpravu vnitřních předpisů, nebo zpracování nových dohod vůči vlastním zaměstnancům. Každé z těchto opatření může být finančně značně náročné – při široké síti dodavatelů, či větším počtu zaměstnanců, anebo třeba členů věrnostního klubu příprava a šíření jakéhokoli dokumentu či informace, počítáme-li položky na tisíce, statisíce či dokonce miliony, s sebou zpravidla nese minimálně shodný ekvivalent finančního nákladu, tedy nutnost vynaložit tisíce, statisíce až miliony korun. V návaznosti na princip právní jistoty, ale i v návaznosti na čl. 11 LZPS, je povinností orgánů veřejné moci poskytnout takovou metodickou podporu, aby měl povinný subjekt jistotu, že finanční prostředky vynaložil efektivně a nehrozí mu následný postih; slovy obecného nařízení, měly by být v dostatečném předstihu zpracovány podrobné metodiky, vydány standardní smluvní doložky, kodexy chování atp. (nebo alespoň označena stanoviska, judikatura či dosavadní rozhodnutí dozorového úřadu, která budou i nadále použitelná) Více méně půl roku před nabytím účinnosti, kdy se ze všech stran ozývá, že je již pozdě se připravit, však z právě uvedeného jsou k dispozici pouze střípky – neboť mají být v několika případech vymezeny obsahy institutů těmito nástroji, lze k této takové tezi vznést otázku, na co přesně je třeba být připraven, pokud ještě není zřejmé, jakým obsahem bude ten který institut naplněn.

Přístup, který zvolily zodpovědné orgány, který opisuje schéma čokoládového vejce skrývajícího překvapení produkovaného našimi západními sousedy, tedy schéma „něco si kupte, pak to spolu při kontrole rozbalíme a my Vám řekneme, jestli je Vaše překvapení dobré nebo špatné“, s principem právní jistoty nekoresponduje.

Obecné nařízení bylo vydáno v dubnu 2016, účinnosti má nabýt v květnu 2018. Bez nadsázky lze konstatovat, že v říjnu 2017, tedy více jak rok a půl po nabytí platnosti (navíc řadu let po-té, co se již text diskutoval v orgánech EU), není k dispozici z hlediska metodické podpory téměř nic. Pokud tedy někdo zaspal, rozhodně nelze hovořit o vše možně se snažících správcích, kteří se pohybují v poli značné nejistoty. Zaspal ÚOOÚ, zaspala WP 29, zaspala Komise, zapsala EU.

K tomu jedna poznámka, pokud platí, že Česká republika je suverénní demokratický právní stát, pokud platí, že EU je sdružení států, které mají vlastní suverenitu, a které si v rámci své suverenity drží jako jeden z jejích znaků vlastní jazyk, a pokud platí, že jednotlivé státní jazyky jsou si rovny, pak není metodickou podporou, stanoviskem, vodítkem nebo čímkoli, vydání textu v jiném než v českém jazyce. V této souvislosti nelze mít žádné pochopení pro praxi ÚOOÚ spočívající ve zveřejňování anglických textů bez současného překladu do českého jazyka. Obecné nařízení zavazuje všechny správce, má-li zavazovat všechny, musí mít všichni rovné možnosti se seznámit s vodítky a dokumenty, které jsou k němu vydány, a to za stejných podmínek, tedy zdarma.

Nabízí se otázka, proč je situace taková, jaká je, proč ÚOOÚ nevěnuje své personální zdroje metodické a podpůrné činnosti, proč neorganizuje veřejné debaty a diskuse k problematice, na kterých by sděloval své názory a postoje atp.

To nás přivádí k poslednímu bodu tohoto trochu netypicky dlouhého úvodu.

Metodická podpora ze stany ÚOOÚ, jako odpovědného a příslušného orgánu veřejné moci, jeho konzultační a jiná osvětová činnost, musí být z povahy věci vykonávána bezplatně. Orgán veřejné moci by taktéž neměl nikomu stranit, nikoho by neměl při své činnosti zvýhodňovat. V kontextu těchto výchozích momentů lze jen těžko rozumět projektu tzv. GDPR Akademie (viz [7] Přednáší v kurzech a pro agentury, které sice nemají oficiální podporu ÚOOÚ jako shora uvedená akademie, avšak hojným odkazováním se na to, že jsou zaměstnanci ÚOOÚ (uváděním se mezi garanty kurzu atp.), se snaží působit de facto obdobně, tedy podpořit důvěryhodnost a prodejnost kurzu, a tedy i navýšit jeho cenu.

Za jiných okolností lze mít k takovému přivydělávání si ze strany státních zaměstnanců pochopení, avšak v této situaci lze poukázat na § 81 zákona 234/2014 Sb. s tím, že komerční přednáška, kde se navíc přednášející legitimizuje (byť třeba nepřímo) ve svých názorech odkazem na instituci, kde jinak vykonává státní službu, není pedagogická činnost (ani při nejlepší vůli pak nebude výkon žádného přednášejícího k problematice obecného nařízení uměleckou činností). Otázka zní, byly na ÚOOÚ rozdány souhlasy ke komerčním přednáškám místo toho, aby se personální zdroje využily pro metodickou a konzultační činnosti? Pokud ano, proč? Pokud ne, pak si lze položit otázku, na základě jakého institutu, který zákon o státní službě předvídá, zaměstnanci ÚOOÚ přednášky a školení realizují? Odpověď je víc než jasná.

Souhrnně a krátce řečeno, ÚOOÚ zatím zklamává. Jeho metodická a osvětová činnost by měla být mnohem intenzivnější, rozhodně měla být včasnější, a hlavně by měla být poskytována zdarma. ÚOOÚ by měl aktivně čelit dezinformacím, které se k obecnému nařízení šíří veřejným prostorem. Měl by aktivovat a soustředit své personální zdroje na úkoly, které má a musí plnit.

II. Obecné nařízení – smysl a účel

Z hlediska účelu právní regulace lze ve vztahu ke stávajícímu právnímu rámci na ochranu osobních údajů vymezit zjednodušeně řečeno tyto účely a cíle (viz zejména recitál č. 2 a 3 a čl. 1 směrnice 95/46/ES): ochrana soukromí (a osobních údajů) v souvislosti se zpracováním osobních údajů a volný pohyb osobních údajů přes hranice bezpečných států jako součást volného pohybu zboží, služeb, kapitálu a pracovních sil.

Tyto účely zůstávají i v případě obecného nařízení o ochraně osobních údajů. Nabízí se nicméně poukázat na to, že (pravděpodobně) v návaznosti na dikci čl. 8 Listiny základních práv EU a čl. 16 Smlouvy o fungování EU, které hovoří o právu na ochranu osobních údajů bez přímého zmiňování práva na soukromí, tak činí i obecné nařízení, tedy nezmiňuje výslovně právo na soukromí.

Tato zdánlivá samostatnost práva na ochranu osobních údajů může vést k iracionálním aplikačním důsledkům. Osobním údajům člověka je třeba poskytovat ochranu právě proto, že navazují na právo na ochranu soukromí a lidské důstojnosti, neboť osobní údaje jsou informace vypovídající o osobním a soukromém životě člověka; tento závěr není v rozporu s tím, aby byla poskytována ochrana i informacím o pracovním a profesním uplatnění člověka, nesou-li v sobě aspekt soukromí. Právě míra soukromí, která je s osobním údajem spojena, je jedním z rozhodných aspektů určujících zda má být informaci poskytnuta ochrana a v jaké míře.[8]

Jinak a krátce řečeno, předmětem ochrany právní úpravy na ochranu osobních údajů by neměly být nutně všechny osobní údaje, nýbrž pouze ty, u nichž je dána dostatečná míra chráněného zájmu.

Je zjevné, že z hlediska principu proporcionality a subsidiarity, které je třeba naplnit v patřičné míře, aby bylo možné zvolit ze strany Evropské unie formu nařízení, by právě uvedené účely nedostačovaly. Mělo-li by se jednat pouze o tyto účely, jistě by měly navrch dvě alternativní možnosti, které se mezi lety 2010 – 2012 diskutovaly, tedy novela směrnice 95/46/ES, nebo zrušení jmenované směrnice a přijetí zcela nové směrnice o ochraně osobních údajů.

Právní úprava zaváděná obecným nařízením tak má aspirovat o naplnění ještě dalších cílů.

Jednak má být novou právní úpravou reagováno na prostředky moderní techniky a posun v technologiích, který nastal od doby přijetí směrnice 95/46/ES. Jednak má být poskytována větší ochrana dětem, zejména v prostředí moderních technologií.[9] I obou těchto účelů by bylo možné dle všeho ve shodné kvalitě dosáhnout právní úpravou ve formě směrnice transponované do národních právních řádů; k tomu se nabízí podotknout, že obecnost stávající směrnice umožňovala v aplikační praxi reagovat i na moderní technologie.

Účely, které mají legitimizovat přijetí nařízení namísto směrnice, které mají především vést k závěru, že jsou naplněny principy subsidiarity a proporcionality, jsou jednotná aplikace právní úpravy napříč členskými státy a jednotné trestání za porušování právní úpravy. Zejména v jejich kontextu bylo nařízení prosazeno i přes většinový odpor národních států, které v průběhu jeho přijímání pravidelně poukazovaly na to, že nejsou přesvědčeny o naplnění předpokladů pro právní regulaci prostřednictvím nařízení.

Oba posledně jmenované cíle právní úpravy jsou (minimálně z části) reakcí na (nutno říci, že v zásadě legitimní) volání zejména nadnárodních korporací a koncernů, které působí ve více členských státech Evropské unie. Tyto povinné subjekty pravidelně poukazovaly na rozdílnost transpozice směrnice 95/46/ES a na nestejnou aplikaci právní úpravy napříč členskými státy. Uvedené platí obdobně, byť pochopitelně v menší míře, i ve vztahu k postihování porušování právní úpravy v rámci členských států a k nejednotnému trestání.

Byť obecné nařízení předpokládá (čl. 60 an. obecného nařízení) určitý mechanismus spolupráce a jednotnosti mezi dozorovými úřady, lze být k oběma účelům, mj. i s přihlédnutím k dosavadní aktivitě ÚOOÚ v oblasti metodické podpory atp., skeptický.

Jednotná aplikace právního řádu a předvídatelnost postupu orgánů veřejné moci (předvídatelné rozhodnutí) je jednou z podstatných součástí hodnoty, kterou označujeme jako právní jistota. Je povinností státu o její naplnění usilovat. Ukazuje se však, že to je problematický úkol, minimálně v případě České republiky, i jen na úrovni jednoho národního státu – kupříkladu v případě 86 okresních a obvodních soudů v České republice se ukazuje jako naivní představa, že na každém jednom soudě bude mít soudní pře za jinak stejných okolností shodný výsledek, když podstatným faktorem, který podstatně určuje a ovlivňuje výsledek, je osoba soudce, přičemž v kontextu této proměnné dokonce neplatí ani to, že lze shodné rozhodnutí očekávat u různých senátů/soudů téhož soudu.

V tomto kontextu si lze položit otázku, jak efektivně, byť zde bude Evropský sbor pro ochranu osobních údajů a související mechanismy, lze dosáhnout jednotnosti postupu a trestání podle principu v obdobných případech obdobně, přičteme-li k osobnímu faktoru zaměstnance, který kontrolu či správní řízení vykonává, a k dojmu, který bylo možné nabýt z dosavadního postupu ÚOOÚ a WP 29 ve vztahu k metodické podpoře v přípravě na nabytí účinnosti obecného nařízení, geografickou vzdálenost a jazykovou rozdílnost.

Uvedené jak v úvodní pasáži, tak v rámci tohoto bodu nemá vyznít tak, že obecné nařízení je třeba hodnotit negativně. Byť lze být skeptický k některým vytyčeným cílům a kritický k některým z jeho institutů (zejména viz bod 4), jsou zde i pozitivní aspekty. Ať již se jedná o institucionalizaci závazných podnikových pravidel (BCR) jako standardního nástroje pro poskytování ochrany osobním údajům předávaným do třetích zemí, které nemají statut bezpečné země, nebo o zavedení pojmu skupina podniků a posunu právní úpravy blíže stávající podobě korporátního světa.[10]

I přes pozitivní aspekty je zde však jedno velké ale. Obecné nařízení, jak se nabízí z posledně charakterizovaných účelů, bylo formulováno (minimálně částečně) na základě podnětů, ale i stavu a procesů v nadnárodních korporacích, nikoli výjimečně pohybujících se v oblasti služeb moderních technologií. A to se ukazuje jako jeden ze základních problémů. Byť totiž má nařízení jisté kritérium určování „malého správce osobních údajů“ a „velkého správce osobních údajů“, primárně jde o počet zaměstnanců, nelze se vyhnout úvaze, zda je rozumné provozovatele řezbářské dílny v Krkonoších, která má dva zaměstnance, pár zákazníků, o nichž si vede záznamy, a značně omezené jak časové možnosti, tak finanční prostředky, podrobit v základu shodné právní regulaci jako nadnárodní koncerty typu Google, T-Mobile nebo General Electric; byť s výhradou, že obsah jednotlivých povinností a nároky na jejich plnění budou mít různou kvalitu, základní struktura povinností totožná pro obě skupiny zůstává.

V tomto lze souhlasit ze Zdeňkem Kühnem[11] v závěrech ohledně (ne)splnění předpokladů pro přijetí obecného nařízení. Více by odpovídalo aktuální hospodářské a sociální realitě, bylo by obecně vhodnější a správnější, byl-li by s ohledem na potenciální reálná rizika vymezen okruh subjektů (subjekty, které ve značné míře disponují s osobními údaji, příp. nakládají ve větším rozsahu s citlivými údaji, jejichž dispozice s osobními nebo citlivými údaji, s ohledem na rozsah a povahu údajů, by mohly představovat značné riziko pro práva a svobody subjekty údajů, příp. subjekty, které poskytují své služby prostřednictvím internetu ve více členských státech a zpracovávají osobní údaje občanů více členských států atp.), na které by dopadalo obecné nařízení v plném rozsahu; kritérium počtu zaměstnanců se ukazuje jako nevhodné, dřevařská společnost, která prodává své produkty pouze dalším právnickým osobám, může mít celkem snadno přes 250, a její zpracování osobních údajů bude spočívat primárně ve standardním zpracování za účelem personální a mzdové agendy, které ve srovnání s jinými možnými případy zpracování osobních údajů nelze hodnotit jako rizikové a tudíž vyžadující vyšší míru ochrany. V dalších případech by měla být právní regulace přenechána, byť třeba pod základním rámcem vyplývajícím z evropské směrnice, národnímu právu. Tuzemský zákonodárce bude lépe umět postihnout všechna specifika. V této souvislosti se nabízí poukázat ještě na jeden praktický aspekt, ve většině případů lze u malého podnikatele považovat za úspěch, zjistí-li si prováděcí právní předpis (vyhlášku nebo nařízení) regulující jeho činnost, příp. seznámí-li se alespoň v základu se základní zákonnou právní úpravou. Evropské předpisy, zejména přímá aplikovatelnost evropského předpisu, je pro drtivou většinu takovýchto subjektů něco cizorodého a neuchopitelného, neboť z hlediska jejich vnímání je zákonodárcem Parlament České republiky, příp. konkrétněji Poslanecká sněmovna Parlamentu České republiky.

III. Obecné nařízení – základní vymezení působnosti

Základní přestavení obecného nařízení si vedle účelového schématu právní úpravy žádá několik krátkých poznámek k vymezení působnosti; představení se bude vztahovat pouze k základnímu vymezení působnosti právní úpravy, stranou budou ponechány specifické situace a účely jako prevence, odhalování či stíhání trestných činů atp.

Obecné nařízení, stejně jako stávající právní úprava, se vztahuje na (zjednodušeně řečeno) veškeré zpracování (čl. 4 odst. 2) osobních údajů (čl. 4 odst. 1), ať již je zpracování osobních údajů realizováno automatizovaně nebo jinak, které jsou obsaženy v evidenci (čl. 4 odst. 6) nebo do ní mají být zařazeny; stávající terminologií se obecné nařízení vztahuje na veškeré systematické dispozice s osobními údaji (dle určitých kritérií a do určitých evidencí rozdělené).

Z hlediska vymezení věcné a osobní působnosti je podstatné, že:

• definice osobního údaje se de facto nemění, když se jím míní jakákoli informace o identifikovaném nebo indentifikovatelném člověku, přičemž (recitál č. 26) „při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji.“
• podle obecného nařízení (recitál č. 27) se neposkytuje ochrana informacím (osobním údajům) o zesnulých osobách, nicméně členské státy mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob. Informace o zesnulé osobě však může být osobním údajem o žijícím člověku.
• podle obecného nařízení se neposkytuje ochrana (recitál č. 14) informacím o právnických osobách. Avšak i informace o právnické osobě může být osobním údajem o fyzické osobě. Z dikce obecného nařízení se v tuto chvíli podává, že fyzická osoba podnikající by neměla mít statut právnické osoby z hlediska ochrany poskytované prostřednictvím nařízení, tzn. fyzická osoba podnikající a její osobní údaje by měly být pod ochranou obecného nařízení. K tomuto řešení se lze stavět kriticky a lze poukázat na, dle mého mínění správnou (byť ÚOOÚ, NSS, ale i evropskými institucemi odmítnutou), argumentaci Ústavního soudu České republiky ve věci sp. zn. Pl. ÚS 38/02 „Uvedený zákon totiž vymezuje v § 1 (předmět úpravy) svoji osobní působnost tak, že se vztahuje na ochranu osobních údajů fyzických osob. Nechrání tedy osoby právnické. Pokud jde o fyzické osoby, které jsou podnikateli - a na něž se vztahuje § 11 zákona o krajích, jehož část je napadena - lze usuzovat stejně, neboť z hlediska jejich statusu je nutno za rozlišovací kritérium považovat jejich činnost podnikatelskou. Údaje o této činnosti (stejně jako v případě právnických osob) tedy - podle mínění Ústavního soudu - ochrany podle zákona č. 101/2000 Sb. nepožívají“.
• se obecné nařízení nevztahuje na zpracování osobních údajů pro výlučně osobní či domácí činnosti (čl. 2 odst. 2 písm. c), slovy stávající právní úpravy na zpracování osobních údajů pro osobní potřebu (k této výjimce viz mj. recitál č. 18 obecného nařízení) s tím, že pod tuto výluku z povahy věci nespadají platformy, jejichž prostřednictvím se zpracování osobních údajů realizuje (činnost rodinného příslušníka a umísťování rodinných fotografií do uzavřené aplikace pro ostatní rodinné příslušníky a pro rodinné přátelé, jejich třídění a indexování v rámci aplikace, nebude podléhat pravidlům obecného nařízení, obecnému nařízení však již mohou podléhat dispozice, které s fotografiemi bude realizovat provozovatel předmětné aplikace, kdy tento již může být za určitých okolností povinným subjektem podle obecného nařízení). S ohledem na dnešní postmoderní společnost, v níž v řadě případů padá časové a prostorové omezení pracovního a osobního života, se okruh těchto případů poměrně zužuje.

Zvláštní pozornost a několik poznámek si zaslouží taktéž vymezení místní působnosti obecného nařízení v čl. 3:

• Obecné nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Evropské unii bez ohledu na to, zda zpracování probíhá v Evropské unii či mimo ni, tedy zda reálné zpracovatelské operace probíhají v rámci Evropské unie na serveru umístěním v sídle správce, nebo na on-line platformě, kdy příslušní server a disková pole jsou umístěna mimo území Evropské unie. V této souvislosti si právní úprava žádá odpovídající zabezpečení zpracování, včetně případného uzavření zpracovatelské smlouvy a poskytnutí garancí v souvislosti s předáváním osobních údajů do třetích zemí, není-li země, kde zpracování (za účasti zpracovatele) probíhá, bezpečnou zemí ve smyslu právní úpravy na ochranu osobních údajů.
• Podobně bezproblémové je vymezení místní působnost podle čl. 3 odst. 3 obecného nařízení, dle kterého se nařízení vztahuje na zpracování osobních údajů správcem, který není usazen v unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného. Takovými místy jsou například diplomatické mise.
• Oproti předchozím dvěma případům vyvolává řadu otázek vymezení místní působnosti obecného nařízení, jak je provedeno v čl. 3 odst. 2.

Dle odkazovaného ustanovení se nařízení vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo s monitorováním jejich chování, pokud k němu dochází v rámci unie. Řečeno prostřednictvím příkladu, podle obecného nařízení se mají řídit zpracovatelské procesy s osobními údaji osob usazených v EU realizované např. e-shopem thajského obchodníka, který je usazen v Thajsku, pakliže bude jeho zboží a služby nabízeny v jazyce členského státu Evropské unie osobám usazeným na území Evropské unie a bude-li tento obchodník nabízet dodání zboží do členského státu Evropské unie.

Podobně jako v případě účelů jednotné aplikace a jednotného trestání i v tomto případě lze hodnotit ambice Evropské unie jako, řekněme, neskromné. Takové místně-osobní vymezení působnosti naráží na problematiku suverenity a geografické teritoriality právních řádů, tedy na kategorie, které moderní technologie neznají. Z tohoto hlediska se zdá záměr Unie ambiciózní. Je však třeba přiznat, že v kontextu fenoménu, který aktuálně označujeme jako sdílená ekonomika, či služby sdílené ekonomiky, z hlediska problematiky práva v kontextu moderních technologií, se jedná o aspekt, který bude v brzké době třeba řešit nejen z hlediska právní úpravy na ochranu osobních údajů, nýbrž i z hlediska řady jiných právních odvětví, zejména pak těch, v nichž se vyskytuje větší množství veřejnoprávních norem, ve vztahu k nimž vykonává orgán veřejné moci správní dozor. Jinak řečeno, celou tuto oblast je de facto již nyní třeba řešit z hlediska mechanismů uplatňovaní a prosazování právních pravidel, vše s cílem zajistit reálnou platnost právního řádu.[12]

 

Bod věnovaný působnosti obecného nařízení lze uzavřít poukázáním na časové vymezení působnosti. Jak je obecně známo, obecné nařízení o ochraně osobních údajů nabude účinnosti 25. května 2018. V kontextu shora připojených podmínek ke stávající metodické podpoře ze strany jak evropských struktur, tak z hlediska zdejšího úřadu pro ochranu dat si lze legitimně položit otázku, zda lze od okamžiku nabytí působnosti v plném rozsahu požadovat řádné plnění všech povinností podle právní úpravy, když obsah některých má být mj. určován i metodickými či jinými, v tomto případě dokonce závaznými, akty buďto evropských institucí nebo národních úřadů pro ochranu dat.

Vedle toho, a to působí značně znepokojivě a vyvolává otázky stran retroaktivity právní úpravy (zejména jde-li o tituly pro zpracování osobních údajů, konkrétně o souhlas se zpracováním osobních údajů a jeho dikci), lze poukázat na recitál č. 171, dle kterého „Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost. Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení. Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena.“

Obdobné ustanovení by bylo možné dohledat i v rámci stávající právní úpravy, když ust. § 47 odst. 1 zákona č. 101/2000 Sb. v původním znění stanovil „Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 1 roku od účinnosti tohoto zákona“. I v tomto případě vyvstávají stejné pochybnosti o retroaktivitě právní úpravy. Z hlediska aplikačního lze ve vztahu k citovanému ustanovení zákona o ochraně osobních údajů vnímat jako podstatný odpovědnost limitující aspekt ust. § 46 odst. 1 stejného zákona ve znění zákona č. 281/2009 Sb., resp. aktuálně § 21 zákona č. 250/2016 Sb., dle kterého „právnická osoba za přestupek neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila“; pokud správce shromáždil a zpracovával osobní údaje ještě před nabytím účinnosti zákon o ochraně osobních údajů, měl po nabytí účinnosti uvést zpracování osobních údajů do souladu se jmenovaným zákonem, včetně souhlasu se zpracováním osobních údajů, nestalo-li se tak, pokud se o to pokusil, pokud vyvinul veškeré úsilí, které po něm lze spravedlivě požadovat, aby porušení právní povinnosti zabránil, nemůže/nemohl být veřejnoprávně odpovědný.

Stejný problém s sebou nese i shora odkazovaný recitál nařízení. Ten je nicméně rozšířen o fakt, že se nejedná o normativní část právní úpravy, a že odpovídající normativní text v nařízení schází. Jinak řečeno, není vyloučeno, a z hlediska právní jistoty, ale i nákladů na straně správců osobních údajů, by to bylo vhodnější, kdyby nejméně z hlediska relevance právního titulu, znění souhlasu atp., se dosavadní zpracování osobních údajů posuzovala podle podle podoby právní úpravy v době, kdy byl souhlas udělován; zcela by principu právní úpravy odpovídalo, pokud by se nahlíželo na předmětná zpracování a plnění povinností správce nikoli jen z hlediska dikce tehdejší právní úpravy, nýbrž i z hlediska jejího tehdejšího výkladu a aplikace, neboť při shodné dikci právního předpisu se aplikační praxe a výklad ze strany ÚOOÚ mezi lety 2001 až 2017 zásadně posunul a vyvinul, což by bylo možné dokumentovat na nejednom příkladu.

IV. Základní schéma zpracování osobních údajů, základní pojmy a povinnosti ochrany osobních údajů

Jak bylo uvedeno shora, základní rámec práv a povinností ochrany osobních údajů a základní právní rámec zpracování osobních údajů nařízení nemění. Pouze jej doplňuje a částečně modifikuje. Z tohoto důvodu tudíž stručně k podmínkám zpracování osobních údajů.

Schéma základních povinností ochrany osobních údajů a základní rámec zpracování lze vymezit mj. prostřednictvím základních zásad pro zpracování osobních údajů, jak jsou popsány v čl. 5 obecného nařízení. Jednotlivé zásady, které jsou de facto i povinnostmi na úseku ochrany osobních údajů, jsou (některé z nich) dále rozvedeny a v podrobnostech specifikovány konkrétními ustanoveními obecného nařízení; v některých případech bude moci Evropský sbor pro ochranu osobních údajů, Komise nebo národní úřady pro ochranu osobních údajů vydávat de facto prováděcí akty k obecnému nařízení, příp. pokyny nebo doporučení, jimiž bude dále specifikován (byť třeba jen pro určité případy) obsah jednotlivých povinností.

Dle čl. 5 musí být osobní údaje:

• ve vztahu k subjektu údajů zpracovány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“) – na právě uvedené zásady navazuje mj. povinnost opírat zpracování osobních údajů o zákonný právní titul (čl. 6, čl. 9) a informovat subjekty údajů o zpracování osobních údajů (čl. 12 an.);
• shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“). Legitimita účelu, hodnota, na nějž účel zpracování osobních údajů navazuje, je z hlediska aplikační praxe podstatná primárně ve vztahu k případům zpracování osobních údajů, jejichž podkladem je právní titul podle čl. 6 odst. 1 písm. f) obecného nařízení (viz níže);
• přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
• přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
• uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných obecným nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);
• zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“) – ve vztahu k této zásadě se dále vztahují primárně povinnosti k zabezpečení zpracovávaných osobních údajů, jak jsou zavedeny v čl. 24 – 25 a dále zejména v čl. 32 an.

Ze zásady odpovědností, nyní výslovně vyjádřené čl. 5 odst. 2 obecného nařízení, plyne, že správce odpovídá za dodržení předmětných povinností a musí být schopen ve vztahu k příslušnému zpracování osobních údajů po celou dobu zpracování prokázat jejich řádné plnění; v nezbytném rozsahu by měl být správce (nebo zpracovatel) osobních údajů v návaznosti na právní úpravu veřejnoprávní a soukromoprávní odpovědnosti schopen prokázat řádné splnění povinností na úseku ochrany osobních údajů do uplynutí promlčecích a prekluzivních lhůt, které jsou určeny pro civilní a veřejnoprávní delikty, kterých je možné se dopustit v souvislosti se zpracováním osobních údajů.

Základní strukturu zpracování osobních údajů a základními pojmy ochrany osobních údajů lze ve stručnosti a bodově charakterizovat takto:

• Správce osobních údajů, zpracovatel osobních údajů a společní správci osobních údajů.

Správcem osobních údajů se rozumí (čl. 4 odst. 7) jakákoli osoba (právnická, fyzická, orgán veřejné moci atd.), která sama, nebo za účasti třetí osoby (zpracovatele, společného správce, třetí osoby zapojené do zpracování osobních údajů) zpracovává[13] osobní údaje a za zpracování odpovídá.

Zpracování osobních údajů osoba realizuje:

1. buď z vlastního rozhodnutí (například zavedení kamerového systému na pracovišti, vytvoření databáze za účelem zasílání obchodních sdělení), když si určí účel, prostředky a způsob, stejně tak jako další parametry (například dobu uchování atp.) zpracování osobních údajů určuje správce osobních údajů, nebo
2. jí je zpracování osobních údajů uloženo zákonem nebo na základě zákona (prováděcím právním předpisem nebo rozhodnutím orgánu veřejné moci), přičemž z hlediska jednotlivých prvků zpracování musí být v tomto případě vymezen nejméně jeho účel. Ve zbytku, kdy zákon, prováděcí předpis, nebo rozhodnutí, blíže nespecifikují některý z parametrů zpracování (např. dobu uchování, rozsah údajů atd.), se uplatní obecná právní úprava na ochranu osobních údajů, podle níže se jednotlivé parametry určí.

Zpracovatelem osobních údajů se rozumí (čl. 4 odst. 8) jakýkoli člověk, právnická osoba, orgán veřejné moci atp., která zpracovává osobní údaje pro správce, a to buďto na základě dohody se správcem, nebo v rámci plnění své zákonné povinnosti. Zpracovatel musí zpracovávat osobní údaje podle pokynů správce a v rozsahu určeném správcem.[14]

Správce má vybírat pouze důvěryhodné zpracovatele, kteří poskytují garance bezpečnosti dat. Garance je možné zajistit i prostřednictvím tzv. kodexů chování (čl. 40). Mezi správcem a zpracovatelem musí být uzavřena (čl. 28) zpracovatelská smlouva, jejíž parametry vymezuje obecné nařízení.[15] Oproti stávající právní úpravě se předpokládá, že budou přijaty (národními úřady pro ochranu dat nebo Komisí EU) standardní smluvní doložky pro vztah správce-zpracovatel i mimo případy předávání osobních údajů do třetích zemí, tedy standardní smluvní ujednání, jejichž prostřednictvím bude možné vymezit část obsahu smlouvy mezi správcem a zpracovatelem – standardní smluvní doložky by měly pokrýt povinný obsah (minimálně ze strukturálního hlediska) smlouvy mezi správcem a zpracovatelem, jak ji vymezuje čl. 28 odst. 3 obecného nařízení.

Zpracovatel může do procesu zpracování zapojit další osobu v pozici zpracovatele (řetězení zpracovatelů) jedině tehdy, disponuje-li písemným povolením správce (čl. 28 odst. 1). Písemné povolení může být buď individuální, nebo obecné, přičemž v rámci obecného zmocnění náleží správci právo na námitku.

Společnými správci osobních údajů se rozumí (čl. 26) dvě nebo více osob, které určily účely a prostředky zpracování osobních údajů společně (například klient společnosti realizující průzkum trhu, který si objedná výstup obsahující osobní údaje – účel stanovil klient, který, protože neovládá příslušné sociologické metody atp., ponechal určení dalších podstatných parametrů zpracování osobních údajů na společnosti realizující průzkum trhu, tj. společném správci). Společní správci musí mezi sebou smluvně upravit mj. podíly na odpovědnosti za plnění povinností podle obecného nařízení.

• Účel zpracování.

Správce osobních údajů určí, nebo mu je právním předpisem určen, účel zpracování osobních údajů. Určuje-li si správce účel sám, musí se jednat o účel legální a legitimní (stejné platí pro zákonodárce). Spolu s účelem, pokud mu nebyly určeny právním předpisem, si správce určí prostředky a způsob zpracování. Způsob a prostředky zpracování osobních údajů musí respektovat princip nezbytnosti, přiměřenosti a bezpečnosti.

Účel je pomyslným středobodem zpracování osobních údajů. V řadě případů se od něj odvíjí obsah právních povinností (doba uchování atp.).

• Právní titul zpracování.

Správce identifikuje právní titul, tj. právními předpisy uznaný důvod ke zpracování osobních údajů, který musí bezezbytku pokrývat celé zpracování osobních údajů (každou zpracovatelskou operaci a každý údaj každého subjektu údajů, který je zpracováván) po celou dobu zpracování osobních údajů. Právní důvody jsou vypočteny v čl. 6 odst. 1 a pro citlivé údaje v čl. 9.

Zjednodušeně řečeno lze právní tituly shrnout takto:

3. souhlas se zpracováním osobních údajů (např. zpracování osobních údajů v rámci věrnostního klubu prodejce drogistického zboží, nebo vytvoření databáze potenciálních zaměstnanců z neúspěšných uchazečů o zaměstnání u konkrétního zaměstnavatele) – souhlas se zpracováním osobních údajů musí být správce osobních údajů schopen prokázat po celou dobu zpracování osobních údajů (k problematice souhlasu viz níže);
4. plnění smlouvy, jejíž smluvní stranou je subjekt údajů, včetně opatření přijatých před uzavřením smlouvy, je-li smlouva uzavírána na žádost subjektu údajů (například zpracování osobních údajů v souvislosti s výběrovým řízením, zpracování osobních údajů nezbytné pro osobní dodání zboží objednaného z internetu). Pro obecné nařízení oproti stávající dikci zákona o ochraně osobních údajů byla v této souvislosti zvolena vhodnější textace. Zákon o ochraně osobních údajů hovoří o uzavření smlouvy na návrh subjektu údajů, což by nabízelo i interpretaci, že se musí jednat o řádnou ofertu ve smyslu ust. § 1731 an. ObčZ. Byť se (správně) takový výklad v praxi neprosadil, principu právní jistoty lépe odpovídá znění obecného nařízení, když pojem žádost v souvislosti s uzavřením smlouvy obecná úprava občanského práva nezná a nepřisuzuje mu tudíž ani žádný obsah, který by byl pro účely předpisů o ochraně osobních údajů redefinován;
5. plnění právní povinnosti uložené zákonem nebo na základě zákona (např. povinnost vést evidenci pracovní doby, povinnost vést zdravotnickou dokumentaci, povinnost vést knihu úrazů);
6. životně důležité zájmy subjektu údajů (např. ohrožení života a zdraví při živelní událost, nebo při epidemii atp.);
7. plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (například zpracování osobních údajů v souvislosti s činností veřejné dopravy, dodávky vody a energie, silniční infrastruktury, veřejnoprávního vysílání a obecního bydlení atp. – viz WP 243);
8. oprávněné zájmy správce nebo třetí osoby, kdy tyto zájmy převýší nad právem/zájmem subjektu údajů na právo na soukromí a na ochranu osobních údajů – posuzování se provádí prostřednictvím testu proporcionality (viz Ústavní soud České republiky ve věci sp. zn. Pl. ÚS 4/94). Zjednodušeně řečeno se zkoumá, zda zvolené opatření určené k ochraně zájmu správce či třetí osoby je vhodné k dosažení sledovaného účelu (lze jeho prostřednictvím sledovaného cíle dosáhnout), zda je nutné, tedy zda zde není jiný, objektivně srovnatelný legální prostředek, který by stejně dobře nebo lépe umožňoval naplnit sledovaný účel při stejném nebo menším zásahu na druhém chráněném zájmu (soukromí a právu na ochranu osobních údajů zaměstnance), a konečně, pokud jsou obě dvě předchozí otázky zodpovězeny ve prospěch zamýšleného opatření, zda je zájem na ochraně hodnot na straně správce či třetí osoby (život, zdraví, majetek atd.) s ohledem na okolnosti (na reálné možnosti dosažení cíle a ohrožení hodnot atp.) vyšší než zájem na ochraně práv (jimi prezentovaných hodnot) subjektu údajů (ochrany soukromí a osobních údajů – míry, ve které do jmenovaných hodnot bude s ohledem na okolnosti zasaženo);
9. oprávněně zveřejněné údaje subjektu údajů – například údaje zveřejněné ve veřejných rejstřících, údaje o veřejně činných osobách zveřejněné v souvislosti s výkonem funkce.

Ve vztahu k citlivým údajům jsou právní tituly (čl. 9) částečně modifikovány.

• Minimalizace zásahu do práv subjektu údajů.

jedná se o soubor opatření, jejichž účelem je minimalizovat zásahy do chráněných hodnot na straně subjektu údajů.

Minimalizace rozsahu zpracovávaných osobních údajů a přesnost údajů. Je-li povinnost zpracovávat konkrétní osobní údaje uložena zákonem nebo na základě zákona, musí být zpracovávány osobní údaje v uloženém rozsahu, tedy nikoli v rozsahu větším či menším. Není-li rozsah určen, a tedy záleží na určení ze strany správce osobních údajů, mohou být zpracovávány pouze ty údaje, které jsou nezbytné k naplnění sledovaného účelu, tedy nikoli údaje v rozsahu menším, než je nezbytný, neboť pak není možné účel naplnit (zásah do oprávněných zájmů a chráněných hodnot ze strany správce osobních údajů je de facto bezdůvodný), ani v rozsahu větším (pak by se jednalo o nepřiměřený zásah do chráněných hodnot).

Minimalizace doby uchování osobních údajů. Zde platí obdobně to, co bylo uvedeno v předešlém odstavci ve vztahu k rozsahu zpracovávaných osobních údajů.

Zákaz sdružování údajů získaných za různými účely. Právní úprava správci zakládá povinnost nesdružovat osobní údaje získané za rozličnými účely, pokud pro takové další zpracování osobních údajů správci nesvědčí právními předpisy uznaný důvod (čl. 6 odst. 4) – správce by měl subjekty údajů, až na výjimky, o dalším navazujícím zpracování osobních údajů předem informovat.

Informační povinnost. Správce má povinnost informovat subjekt údajů o parametrech zpracování osobních údajů (čl. 12 an.) a o jeho právech. Obecné nařízení v této souvislosti v podrobnostech rozvádí obsah informační povinnosti ve vztahu k jednotlivým situacím – zda jsou údaje získávány přímo od subjektu údajů nebo jinak. Informační povinnost by měla být plněna jednoduchými jazykovými prostředky a přinejmenším úvodem stručně. V této souvislosti právní úprava předpokládá tzv. mnohovrstevnou informaci.

Odpadne-li důvod zpracování osobních údajů a není-li zde právní podklad pro další zpracování, tyto zlikvidovat/vymazat.

• Zabezpečení zpracovávaných osobních údajů (zejména viz čl. 32 an.).

Správce osobních údajů musí přijmout odpovídající bezpečnostní opatření ve vztahu ke zpracování a zpracovávaným osobním údajům (např. vnitřní technicko-organizační dokumentaci upravující jednak parametry zpracování osobních údajů, jednak vymezující povinnosti zaměstnanců, přidělující odpovědnost, ale taktéž určující kanály pro realizaci jednotlivých povinností atp., dále například technické řešení na úrovni IT – vedle běžných bezpečnostních prvků jako jsou silná hesla, antivirové programy atp., se mj. jedná i určení rozsahu uživatelských práv zaměstnancům v návaznosti na vykonávané pracovní pozice, neboť každý má mít možnost přistoupit a disponovat pouze s těmi osobními údaji, které jsou nezbytné pro výkon jeho práce, logování přístupů a dispozic s osobními údaji, pravidelná školení zaměstnanců, pořizování záloh atp.), a to na základě řádného posouzení rizik a souvisejících okolností (ve stanovených případech (čl. 35) na základě tzv. posouzení vlivu na ochranu osobních údajů).[16] V momentě, kdy se nepodaří určitá rizika odpovídajícím způsobem vyloučit, může navazovat předchozí konzultace s Úřadem pro ochranu osobních údajů (čl. 36).

Dojde-li k porušení zabezpečení osobních údajů, ukládá čl. 33 správci osobních údajů, aby ve stanovené struktuře (čl. 33 odst. 3) ve lhůtě do 72 hodin informoval o předmětném incidentu úřad na ochranu dat. Současně správce incident zdokumentuje. V závažných případech (čl. 34) vzniká povinnost informovat i přímo dotčené subjekty údajů. V této souvislosti je zásadní, že ani řádné splnění oznamovací povinnosti, ať již vůči úřadu na ochranu dat nebo vůči subjektům údajů, nezbavuje správce odpovědnosti za případný civilní nebo správní delikt na jeho straně, který vedl k bezpečnostnímu incidentu (nesprávné zabezpečení atp.). [17]

• Nastavení kanálů pro uplatnění práv subjektu údajů.

Správce je povinen nastavit kanály pro realizaci práv subjektu údajů (právo na informace, kopii, právo na výmaz, právo na omezení zpracování, právo na námitku, právo na přenositelnost atp.) a řádně plnit povinnosti správce osobních údajů, které navazují na realizaci práv subjektu údajů. V této souvislosti se nabízí doplnit, že oproti stávající právní úpravě obecné nařízení stanoví (čl. 12) i konkrétní lhůty pro splnění povinnosti správce ve vztahu k uplatnění práv subjektu údajů. Stejně tak by měly být nastaveny kanály a mechanismy ve vztahu k automatizovaným individualizovaným rozhodnutím vůči subjektům údajům.[18]

• Další povinnosti.

Pouze pro určité správce osobních údajů jsou zde některé specifické povinnosti. Například se jedná o povinnost ustanovit pověřence pro ochranu osobních údajů (čl. 37),[19] která se vztahuje

10. na zpracování realizovaná orgány veřejné moci či veřejným subjektem;
11. případ, kdy hlavní činnost správce spočívá v rozsáhlém zpracování, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
12. na případy, kdy hlavní činností správce je rozsáhlé zpracování citlivých údajů.

Dále se jedná například o povinnost vést záznamy o činnostech zpracování (čl. 30), kterou nemají správci osobních údajů zaměstnávající méně jak 250 zaměstnanců, ledaže provádí zpracování, které není příležitostné, představuje riziko pro práva a svobody subjektů údajů, nebo zpracovává-li citlivé údaje.

• Předávání osobních údajů do zahraničí.

Pokud by mělo docházet k předávání osobních údajů do zahraničí, je třeba ve vztahu k tzv. nebezpečným zemím (za bezpečné se považují všechny země EU a EHS, země, které ratifikovaly Úmluvu č. 108, země, které byly označeny za bezpečné rozhodnutím Komise) určit způsob, kterým budou poskytovány garance bezpečnosti dat. Může se jednat zejména o standardní smluvní doložky podle rozhodnutí Komise, závazná podniková pravidla, a není-li to jinak možné, o případné výjimky ze standardu ochrany, včetně souhlasu subjektu údajů. Povolení k předávání by měl vydávat národní úřad pro ochranu dat.

V. K některým problematickým aspektům obecného nařízení

Obecné nařízení s sebou nese i řadu problematických aspektů, z nichž některé jsou již nyní zřejmé, některé se budou projevovat a objevovat postupně a později.

Na prvém místě se nabízí zmínit souhlas subjektu údajů se zpracováním osobních údajů. Zůstává, že správce musí být schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů, a to nejméně po dobu zpracování osobních údajů.

Souhlasem se dle čl. 4 odst. 11 míní jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. K základní definici se pak výslovně doplňují podmínky, které lze již dnes dovodit z ust. § 4 odst. 1 ObčZ, a které byly dříve součástí doporučení WP 29 (viz WP 187 – stanovisko č. 15/2011 k definici souhlasu), tedy že souhlas (provádí-li se písemným prohlášením) musí být vyjádřen jednoduchými jazykovými prostředky, musí být srozumitelný, snadno dostupný a odlišitelný od nesouvisejících skutečností. V této souvislosti platí, že prohlášení (souhlas – či jeho část), který neodpovídá uvedeným dodatečným podmínkám, není závazné, tj. nezakládá oprávnění ke zpracování osobních údajů.

Požadavky na oddělitelnost jsou k dosažení účelu srozumitelnosti a svobody souhlasu v principu správné, v praxi nicméně, zejména je-li souhlas udělován mimo prostředí internetu, kde je snadné vytvořit příslušné opt-in políčko, dělají správcům určité problémy – z obchodního hlediska správci často odmítají vyčlenit souhlas ze všeobecných obchodních podmínek. To je však jen technický problém, který navíc není nový.

Co je však závažnější a v praxi složitěji splnitelné, je vyjádřit souhlas a související informace podle právní úpravy na ochranu osobních údajů jak stávající, tak zjevně i budoucí, jednoduchými jazykovými prostředky. Chce-li mít správce jistotu, že dostál všem zákonným povinnostem, a podmínkám a nechce-li neobratně opisovat zákonné pojmy, musí operovat se slovy zákona, přičemž zákonné pojmy (a v oblasti ochrany osobních údajů zvlášť) zpravidla nelze vůči laické veřejnosti označit za jednoduché jazykové prostředky. Ani toto však není zásadní problém, neboť i tento problém je v principu technický a taktéž není nový. Sledovaný účel je navíc správný.

Skutečné problémy lze vidět primárně v následujícím.

Stávající přístup k souhlasu ze strany kontrolních orgánů, ale i náhled předložený WP 29 (mj. srov. WP 249), tenduje spíše k tomu, že v důsledku nerovného postavení subjektů pracovněprávních vztahů, které je de facto definičním znakem pracovněprávních vztahů, lze jen velice obtíže v pracovněprávních vztazích, podobně jako například ve spotřebitelských vztazích, uvažovat o naplnění podmínky svobody souhlasu. To se nezdá být úplně nesprávnější a nejšťastnější přístup.

Dále je zde čl. 7 odst. 3 nařízení garantovaná možnost odvolání souhlasu – souhlas je možné odvolat kdykoli, o možnosti odvolání musí být subjekt údajů předem informován, odvolání musí být stejně snadné jako jeho poskytnutí. V této souvislosti se nabízí otázka, jak v kontextu recitálu č. 42[20] chápat vztah čl. 7 odst. 2 a ust. § 87 odst. 2 ObčZ, dle kterého bylo-li svolení k použití písemností osobní povahy, podobizny nebo zvukového či obrazového záznamu týkajícího se člověka nebo jeho projevů osobní povahy uděleno na dobu určitou, a svolení bylo odvoláno, aniž to odůvodňuje podstatná změna okolností nebo jiný rozumný důvod, nahradí odvolávající škodu z toho vzniklou osobě, které svolení udělil.

Jinak řečeno, přináší nařízení v tomto směru změnu? Bude pro příště platit, že kde se souhlas s použitím písemnosti osobní povahy atd. ve smyslu ust. 87 ObčZ bude krýt se souhlasem se zpracování osobních údajů, bude možné odvolat i souhlas udělený na dobu určitou, aniž by potenciálně vznikla povinnost k náhradě škody.

Nabízí se i další otázky. Článek 8 upravuje podmínky souhlasu se zpracováním osobních údajů dítěte v souvislosti se službami informační společnosti. Bylo by jistě zajímavé zkoumat, jaká opatření bude (čl. 8 odst. 2) muset správce realizovat, aby byla splněna podmínka, že vyvinul přiměřené úsilí s ohledem na dostupnou technologii, aby ověřil, že souhlas byl vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti, jde-li o souhlas dítěte pod stanovenou věkovou hranicí. Jsou zde však podstatnější a zajímavější aspekty.[21]

Jednak je to věková hranice. Podle nařízení se dítětem míní osoba mladší 16 let, přičemž však národní státy mohou stanovit odlišnou věkovou hranic, ne však nižší než 13 let; návrh zákona o zpracování osobních údajů předpokládá hranici 13 let. V tomto případě je technická stránka aplikace právní úpravy ještě zajímavější než v případě naznačeném v předešlém odstavci. Ustanovení čl. 8 se vztahuje k souhlasu v rámci služeb informační společnosti, zjednodušeně v rámci internetu. Národní státy budou určovat věkovou hranici udělení souhlasu s ohledem na historickou tradici, předpoklady rozumové a volní vyspělosti dětí v populaci atp. Jak bude v této situaci řešena následující situace: Česká republika určí věk 13 let, Slovensko určí věk 16 let, správce usazený v České republice bude provozovat službu informační společnosti, která bude vyžadovat souhlas – má postupovat podle jednoduchého práva a věkové hranice České republiky, tedy určit pro všechny případy věkovou hranici podle zdejšího práva, nebo má postupovat tak, že určí věkovou hranici podle právního řádu státu, jehož populaci je taktéž služba určena, a která má v tomto směru úpravu nejpřísnější, tj. věkovou hranici nejvyšší, nebo bude muset postupovat tak, že bude mít služba různé podoby s tím, že úvodem bude třeba uvést, ze které země daný subjekt pochází?; musí správce provádět lokalizaci subjektu údajů pro tyto účely? Odpověď na tuto otázku by v kontextu recitálů vážících se na vymezení místní působnosti nařízení měla reflektovat krom jiného i fakt, zda je cílem správce osobních údajů nabízet službu informační společnosti více než v jednom členském státě.

Ve zkratce pak ještě několik dalších náznaků a otázek. Právní řád České republiky připouští, že může dojít k emancipaci nezletilce (jsou-li splněny zákonné předpoklady), který ještě nedosáhl 16 let věku. Je-li cílem právní úpravy čl. 8 chránit dítě kvůli jeho nedostatečné rozumové a volní vyspělosti, jak (či zda vůbec) by se měl uplatnit čl. 8 v případě, že bude nezletilec plně emancipovaný.

Konečně, je čl. 8 obecným referenčním rámcem, jde-li o věkové hranice? Jinak řečeno, je určující i pro případy zpracování osobních údajů mimo služby informační společnosti?

Uzavřít lze k souhlasu se zpracováním osobních údajů s tím, že tento souvisí s ještě jednou zásadní skutečností. Přihlédneme-li zejména k podmínce svobody souhlasu (v kontextu jejího stávajícího pojímání), k předpokladu oddělení od ostatních smluvních ujednání (zejména v rámci VOP), k zásadě nepodmiňování nesouvisejících plnění a konečně k široké možnosti odvolání souhlasu bez navazující sankce, stojíme před otázkou povahy osobních údajů ve smyslu, zda tyto mohou být (zjednodušeně řečeno) „předmětem obchodu“.

Konkrétněji, lze definovat dvě základní pozice. Prvá pozice staví na předpokladu, že osobní údaje jsou v době průmyslu 4.0. hodnotou, kterou mohou směňovat za jiné statky. S takovým pojímáním však může být jen těžko slučitelné právo subjektu údajů kdykoli souhlas bez sankce odvolat. Vedle toho lze celou konstrukci vystavět tak, že osobní údaje jsou s ohledem na jejich vztah k lidské důstojnosti (vzájemnou spojitost) de facto res extra commercium, a že souhlas se zpracováním osobních údajů je ve své podstatě toliko udělení jakési licence, která může být časově omezena nebo i neomezena, vždy však může být subjektem údajů z jeho vůle zrušena. Zdá se, že nařízení vychází primárně z druhého prezentovaného pohledu, zda to je nejvhodnější řešení, je k diskusi.

Na konec tohoto bodu již jen heslovitě k některým dalším aspektům a potenciálně problematickým momentům:

• sankce a její výše – spolehlivým stimulem k vyvolání potřebné emoce (viz shora) je již tradičně veřejnoprávní sankce. Nařízení oproti stávající právní úpravě skutečně podstatně sankce zvyšuje, když oproti až 5.000.000 Kč, resp. 10.000.0000 Kč, které známe z OchOúZ, hovoří o až 10.000.0000 EUR, resp. 20.000.000 EUR, příp. ještě o 2 nebo 4 % z celkového celosvětového obratu za předchozí finanční rok podle toho, co je více.

I v této souvislosti bývají informace o nařízení podávány často zkresleně, neboť smyslem tohoto řádového navýšení není, aby byla za porušení, které by dnes bylo honorováno 10.000 Kč, od nabytí účinnosti nařízení ukládána pokuta ve výši 100.000 Kč. Smyslem je založit možnost uložení takové sankce velké nadnárodní korporaci, která pro ní bude dostatečně citelná. Příliš nízké hranice maximální výše sankce vedou k tomu, že v případě celosvětové nadnárodní korporace, která disponuje mimořádnými finančními zdroji, právní úprava de facto neplní svou prevenční funkci a nemůže dost dobře dojít v případě deliktního jednání ani k odpovídajícímu sankčnímu postihu. Motivem korporací vedoucím je k dodržování právních povinností v těchto případech pak bývá spíše zájem zachovat si renomé spolehlivého partnera a poskytovatele služeb. Z tohoto hlediska je tedy postup evropského zákonodárce v pořádku.

I přes to však lze ve vymezení sankcí v rámci nařízení identifikovat jeden problematický aspekt, který se dotýká principu právní jistoty.

ÚOOÚ bude sankce ukládat v českých korunách. V takovém případě se nabízí otázka, jaká je maximální výše sankce, kterou může ÚOOÚ uložit? Odpověď je, že každý den jiná podle pohybu kurzu Kč vůči EURu. Trestní sankce, resp. skutková podstata trestného činu, včetně maximální výše sankce, však musí být určitá. Tento předpoklad nařízení pro Českou republiku a pro ostatní členské státy EU, které neplatí EURem, nesplňuje.

Navíc je tady ještě jeden zajímavý aspekt. I v rámci správního trestání platí princip vyjádřený § 2 odst. 3 t.z., resp. § 2 odst. 5 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, tedy že při pozdějších změnách zákona, který je účinný při dokončení jednání, kterým je přestupek spáchán, se použije zákona nejmírnějšího. Pokud by tedy ÚOOÚ uložil (hypoteticky) maximální sankci 10.000.000 EUR, kterou by ke dni vydání rozhodnutí přepočítal podle aktuálního kurzu např. na 255.000.000 Kč, pak pokud by kdykoli po dobu řízení jak před správním orgánem, tak případně následně v průběhu řízení o správní žalobě, až do doby pravomocného skončení věci kurz poklesl pod 25,50 Kč/EUR, bylo by třeba provést příslušnou korekci.

K sankci/pokutě závěrem ještě jedna poznámka. Lze se ptát (odmyslíme-li si, jak v České republice z hlediska poukazování finančních prostředků mezi orgány veřejné moci funguje správní trestání), jak z hlediska principu rovnosti vnímat čl. 83 odst. 7, dle kterého, aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. Návrh zákona o zpracování osobních údajů na čl. 83 odst. 7 reaguje a určuje pro tyto případy maximální výši sankce na 10.000.000 Kč; lze mít za jen těžko obhajitelné právě z hlediska principu rovnosti a vymezení pojmu veřejný subjekt, kterým se v pojímání nařízení nemíní orgán veřejné moci, tedy subjekt, u nějž by platilo, že uložením správní sankce se pouze odčerpá část veřejných prostředků z jednoho účtu státu na jiný účet státu, aby se ze stejných veřejných finančních prostředků z dalšího účtu posléze potrestanému doplnilo, co mu schází, má-li být za jinak stejné porušení trestán jeden subjekt maximálně 10.000.000 Kč a druhý subjekt maximálně 10.000.000 EUR.

• přímý marketing jako oprávněný zájem správce – recitál č. 47 ve své závěrečné větě, která působí spíše tak, jako by byla do textu až dodatečně dopsána, uvádí, že zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu (čl. 6 odst. 1 písm. f). To je z jistého hlediska odklon od dosavadních názorů jak dozorových úřadů, tak WP 29 a částečné popření základního schématu práva na informační sebeurčení; principu opt in.

Lze si jen těžko představit, že by mohla obstát interpretace předmětného recitálu v jiné pozici, než v tom směru, že pokrývá situace dnes popsané v ust. § 5 odst. 5 až 9 OchOúZ a současně vyplňuje dílčí mezeru, kterou lze shledat v právní úpravě ust. § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, který sice za určitých opravňuje k užití adresy el. pošty k zaslání obchodního sdělení, nezakládá však právo na zpracování osobních údajů. Marketing ve smyslu recitálu č. 47 lze pak vykládat jako marketing v úzkém smyslu slova, tedy nikoli tak, že by s odkazem na jmenovaný recitál bylo možné v rámci právního titulu podle čl. 6 odst. 1 písm. f) přistoupit k profilování subjektu údajů na základě jeho spotřebitelských preferencí, věku, pohlaví, bydlišti atp., bez jeho souhlasu.

• odpovědnost a mlčenlivost – k tomuto jen ve zkratce. Jak se bude mít právní úprava čl. 82 k právní úpravě odpovědnosti za hmotnou a nehmotnou újmu, jak je zavedena v občanském zákoníku, resp. v zákoníku práce? Z hlediska prosté hierarchie normativních aktů a souvisejících principů by měla mít úprava nařízení přednost. Dále, stávající právní úprava § 14 a § 15 OchOúZ výslovně zakotvuje povinnost mlčenlivosti zaměstnance správce nebo zpracovatele osobních údajů v souvislosti s činnostmi zpracování osobních údajů, které u správce nebo zpracovatele realizují. Žádná taková povinnost v nařízení a ani v návrhu zákona o zpracování osobních údajů zavedena výslovně není. Lze uvažovat o tom, že by ji bylo možné dovozovat z principu loajality zaměstnance vůči zaměstnavateli; to je však poněkud chatrná konstrukce. K možnosti řádného rozvedení této povinnosti ve vnitřních předpisech správce nebo zpracovatele a kvůli snížení administrativní zátěže, neboť lze mít za to, že každý řádný správce nebo zpracovatel, nebude-li povinnost zavedena zákonem/nařízením, bude mít tendenci uzavírat se svými zaměstnanci dohody o mlčenlivosti, což může při počtu zaměstnanců v řádů stovek nebo tisíců představovat nemalý finanční náklad, by bylo vhodné povinnost mlčenlivosti do návrhu zákona o zpracování osobních údajů doplnit.
• ohlašování porušení zabezpečení dozorovému úřadu – dle čl. 4 odst. 12 nařízení se porušením zabezpečení osobních údajů míní porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Na jmenované ustanovení navazuje dále čl. 33 a 34, které upravují povinnost oznámit porušení zabezpečení dozorovému úřadu a případně dotčeným subjektům údajů. Jedná se o velice komplexní problém, k jehož bližšímu rozebrání zde není prostor, i přesto nicméně základní momenty ve zkratce.

Dle čl. 33 je (zjednodušeně řečeno) povinností správce bez zbytečného dokladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (v předepsané struktuře podle čl. 33 odst. 3) každý případ porušení zabezpečení, ledaže není pravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob; nikoli tedy jen subjektů údajů. Není-li hlášení provedeno do 72, musí být sděleny důvody nedodržení předepsané lhůty. Správce je povinen každý případ porušení zabezpečení dokumentovat.

Vedle toho, je-li pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít vysoké riziko pro práva a svobody fyzických osob, má správce osobních údajů, při splnění dalších podmínek podle čl. 34, povinnost oznámit incident subjektům údajů.

Obecně hodnoceno, povinnosti podle čl. 34 lze poměrně dobře rozumět. Navazuje na obecnou prevenční povinnost k odvracení škod a právní úprava staví na schématu – primárně má eliminovat rizika správce osobních údajů, není-li to možné, oznámí správce osobních údajů subjektům údajů potřebné skutečnosti k tomu, aby se tito mohli odpovídajícím způsobem zařídit a pokud možno rizikům předejít, resp. eliminovat pokud možno z nich plynoucí nepříznivé důsledky, přičemž právo na náhradu škody subjektů údajů vůči správci osobních údajů zůstává zachováno.

Čemu lze však rozumět již méně, je čl. 33, bude-li, jak prozatím potvrzují debaty se zástupci ÚOOÚ, aplikován následovně.

Porušení povinností podle čl. 33, včetně povinnosti oznámit bezpečnostní incident dozorovému úřadu, je správním deliktem podle čl. 83 odst. 4 písm. a). S ohledem na předepsanou strukturu oznamovaných informací (čl. 33 odst. 3) a povinnost pořizovat dokumentaci (čl. 33 odst. 5) bezpečnostních incidentů, není vyloučeno, resp. je to spíše pravděpodobné, aby z oznámení může vyplynout, že incident má příčinu v nesplnění některé ze povinností správce osobních údajů, zejména jde-li o povinnosti v oblasti bezpečnosti zpracovávaných osobních údajů. Zásadní otázka zní, bude při vzniku takového podezření dozorový úřad předmětné skutečnosti dále šetřit a přistoupí při zjištění porušení právní povinnosti na straně správce osobních údajů k jeho postihu? Odpověď ze strany zástupců ÚOOÚ je prozatím ano, když v odpovědi dle všeho vychází ze skutečnosti, že nařízení žádnou výluku pro tyto případy nestanoví a pro postup správního orgánu platí principy oficiality a legality.

K těmto závěrům lze mít ve stručnosti jednu poznámku, a sice že nereflektují jeden zásadní ústavněprávní aspekt, který se opakovaně objevuje i v judikatuře vysokých soudů. Konkrétně lze poukázat na rozhodnutí Ústavního soudu České republiky ve věci sp. zn. III. ÚS 528/06, v němž jmenovaný soud uvádí mj. uvádí: „… nemo tenetur se ipsum accusare, nemo tenetur se ipsum prodere - ,nikdo není povinen sám sebe obviňovat… Nikdo není povinen přispět aktivním způsobem, přímo či nepřímo, k vlastnímu odsouzení.“ a dále na rozhodnutí stejného soudu ve věci sp. zn. I. ÚS 402/05 „…Zákaz donucování k poskytnutí důkazů proti sobě samému nelze zužovat na případy získávání důkazů, které mají za nedostatku jiných důkazů potvrdit či vyvrátit spáchání trestného činu, ale samozřejmě se týká i případů, kdy má být upřesněna výše způsobené škody či mají být získány takové důkazy…“

Bude-li postup dozorového úřadu takový, jak bylo naznačeno shora, rozpor se zásadou zákazu nucení k sebeobviňování se v přímo nabízí. A jaké je řešení pro dozorový úřad? V tuto chvíli dle všeho snad jedině v návaznosti na konstrukci totožnosti skutku, jak s ní pracuje trestní právo, tedy totožnosti jednání nebo totožnosti následku jednání, nestíhat ta jednání, která z tohoto hlediska budou předmětem oznámení; nepřípustnost (správního) trestání nevylučuje využití jiných pravomocí dozorového úřadu (opatření k nápravě, doporučení atp.,), která nemají sankční charakter, stejně tak jako trestání pozdějšího totožného jednání, které nastalo po oznámeném skutku, zejména pokud správce osobních údajů ani po porušení/doporučení atp. ze strany dozorového úřadu nezjednal nápravu.

VI. Závěr

Bylo by krátkozraké a nesprávné hodnotit obecné nařízení zjednodušeně v intencích dobré x špatné. Nařízení přináší pozitivní momenty a instituty (reflektuje například skupinu podniků a její zájmy, což je pozitivní posun), otevírá určité otázky, obsahuje však i několik vyloženě problematických aspektů a bodů, které musí být do budoucna diskutovány. Cílem příspěvku bylo na některé z nich poukázat a nabídnout možné směry řešení.

Základním problémem ochrany osobních údajů v kontextu obecného nařízení je, hodnoceno z perspektivy bývalého zaměstnance, který přešel na pomyslnou druhou stranu barikády a aktuálně problematiku řeší jako advokát, že zástupci dozorového úřadu nedokáží vnímat aktuální stav. Za dobu působení ÚOOÚ se ÚOOÚ postupně více do problematiky ponořoval, vedl interní diskuse a promýšlel různé konstrukce, tím dospěl do pokročilé fáze vývoje v poznání předmětné materie. Objektivně hodnoceno nicméně zklamal ve své osvětové funkci. Od roku 2001 byl jen jedním z mnoha úřadů, úřadem, který řeší nepopulární problematiku, která nebudí přílišný zájem, úřadem, o kterém je občas slyšel v souvislosti s novinářsky zajímavou kauzou, zpravidla kauzou, kde se poukazovalo na (z hlediska veřejnosti) absurdnost dosaženého závěru (viz kauza e-kolo atp.).

S ohledem k těmto skutečnostem, ale i k selektivní kontrole ze strany ÚOOÚ, byla až do mediální kampaně, která přišla s obecným nařízením, kterou však neinicioval ÚOOÚ (viz shora), pro většinu povinných subjektů (správců a zpracovatelů osobních údajů) ochrana osobních údajů, resp. právní úprava na ochranu osobních údajů buďto úplnou neznámou, nebo problematikou/okruhem zájmu s nejnižší prioritou. Obecné nařízení toto částečně změnilo. Lze mít nicméně za to, že po nabytí účinnosti dojde pozvolna k utlumování zájmu, a nakonec bude situace nepodobná té před mediální kampaní okolo nařízení.

Za těchto okolností není překvapující, že se s realitou nepotkává představa zástupců ÚOOÚ o tom, jak věci znalí správci spolu s příchodem nařízení pouze dílče seřídí dobře fungující stroj a budou dále žít spokojené životy s řádně zabezpečenými osobními údaji. Realita je totiž jiná. Pár takových, kteří pouze provedou dílčí seřízení, bychom určitě našli, ve většině případů se však věci nemají tak, že stroj, který by měl být seřizován, má dotyčný ještě stále v krabici, ve které jej pořídil a nařízení a mediální vlna okolo něj jej přiměla k nanejvýše k tomu, aby krabici otevřel a začal číst manuál k sestavení. Ten je navíc pro většinu adresátů psaný „maďarsky“.

Realitu docela dobře odráží situace v oblasti pověřenců pro ochranu osobních údajů. V České republice bylo v roce 2016 celkem 6258 obcí (bez zohlednění dělby na městské části), 5209 školek, 4140 základních škol, 1307 středních škol, přičemž všechny tyto subjekty by měly mít pověřence pro ochranu osobních údajů (může být společný pověřenec pro více subjektů, nicméně současně platí, že velké statutární město, či jeho městská část si pravděpodobně nevystačí pouze s jedním pověřencem atp.), tedy někoho, kdo rozumí problematice ochrany osobních údajů, zná činnost správce a má i příslušné technické znalosti. Nařízení dle všeho vychází z předpokladu, že takové osoby v daných subjektech již působí a pouze dostanou konkrétní označení a garance pro řádný výkon funkce. V realitě České republiky je však opak pravdou. Lidé splňující popsané předpoklady a podmínky jsou tak početní, že by mohli s úspěchem aspirovat o zařazení na seznam kriticky ohrožených druhů.[22]

Obecné nařízení může přinést řadu pozitivního, snadno však, což se ukázalo již v mezidobí od nabytí platnosti do doby účinnosti, může být obratně zneužito a posloužit jako výdělečný prostředek pro úzkou skupinu osob, aniž by skutečně byly naplňovány jeho cíle. V této souvislosti lze poukázat na kodexy, osvědčení, pečeti a známky (viz zejména čl. 42) předvídané nařízením. Jsou dvě možnosti, buďto budou tyto nástroje skutečným indikátorem řádného plnění právních povinností správce a poskytování dostatečných garancí bezpečnosti dat, nebo se bude jednat o drahý doplněk webových stránek a vstupních dveří, který bude budit falešnou důvěru u subjektů údajů. Nechci být špatným prorokem, ale v tuto chvíli se mi zdá pravděpodobnější spíše druhá z variant.

Zda bude právní úprava naplňovat svůj účel, nebo zda se ochrana osobních údajů v podobě obsažené v nařízení stane jen administrativní zátěží, další položkou obdobnou BOZP, kterou je třeba si při ekonomické činnosti odškrtnout, aniž by měl povinný skutečnou vůli podle ní postupovat a vůbec zájem seznámit se s právy a povinnostmi, které z ní plynou, aby nebyly pečeti, osvědčení a známky jen drahým doplňkem webové stránky, záleží na dozorovém úřadu, na osvětě, kterou bude šířit, na inciativě, kterou vyvine (příprava standardních smluvních doložek, participace na kodexech chování, vzdělávání atp.); s ohledem na dosavadní tendenci předat pokud možno všechny úkoly někomu jinému a stejně tak i související odpovědnost (například Českému institutu pro akreditaci či nekompetentním komerčním subjektům) nelze mít za to, že by se tento předpoklad naplňoval. Pokud by vývoj věcí směřoval ke druhému ze scénářů (navíc podpořenému selektivní a náhodnou kontrolou atp.), by bylo na místě uvažovat o tom, zda by se pro finanční prostředky nenašlo lepší využití.