6.5.9
GDPR (General Data Protection Regulation)
RNDr. Dagmar Brechlerová, Ph.D., ČVUT, Fakulta biomedicínského inženýrství, Kladno
Zřejmě největší diskuse v poslední době vyvolává nařízení zvané GDPR, které bude účinné od května 2018. GDPR je nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále také jako "Obecné nařízení"). Ke změně dochází zejména z toho důvodu, že technologické možnosti jsou dnes zcela jiné, než byly v roce 1995, kdy vznikla předcházející směrnice 95/46/ES, na které byly založeny dosavadní zákony o ochraně osobních údajů (např. v ČR zákon č. 101/2000 Sb.). Vzhledem k tomu, že nařízení GDPR je z roku 2016, ale účinné bude až od 25. 5. 2018, byla poskytnuta dvouletá lhůta pro přípravu na jeho zavedení zejména pro správce a zpracovatele. Tato lhůta se zdá na první pohled dostatečná, ale nedá se říci, že dnes je vše jasné, řada konkrétních věcí se teprve bude upřesňovat.
GDPR a tedy tato jednotná pravidla budou platit v zemích EU, Islandu, v Norsku a v Lichtenštejnsku. Právě větší jednotnost pravidel ochrany osobních údajů byla také jedním z cílů přijetí Obecného nařízení. Z jeho působnosti jsou vyloučeny činnosti fyzických osob, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.
Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
Právní úpravu však bude aplikovat v každém členském státě nezávislý orgán dohledu a přes jednotnost úpravy se její výklady mohou v jednotlivých členských státech lišit. Nařízení také ponechává více než 50 dílčích otázek k úpravě samotným členským státům, proto budou i nadále existovat určitá národní specifika. Cílem Obecného nařízení celkově je přizpůsobení právního rámce ochrany osobních údajů dnešní době a současným technologiím, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektu údajů a další snahou je dosáhnout sjednoceného výkladu Obecného nařízení a dozoru jednotlivými dozorovými úřady, které byly předtím odlišné.
Obecné nařízení představuje nový právní rámec ochrany osobních údajů v evropském prostoru, které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). Obecné nařízení nahradí v ČR zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Tento zákon bude novelizován a bude již upravovat jen některé otázky týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny. GDPR totiž umožňuje jednotlivým státům si některé dílčí záležitosti dotvořit podle svých potřeb, jak již bylo uvedeno. Kompletní právní rámec ochrany osobních údajů v ČR tak bude tvořen Obecným nařízením a adaptovaným zákonem o ochraně osobních údajů.
Struktura GDPR je taková, že na začátku jsou tzv. recitály, což je vlastně výklad samotného nařízení, doporučujeme přečíst celý dokument, jedná se o 31 stran (173 recitálů). Od strany 32 jsou pak uvedeny jednotlivé paragrafy.
K nařízení jsou vypracovány 3 výkladové materiály skupiny WP29, v tuto chvíli jsou zpracovány další.
https://www.uoou.cz/materialy-wp29-k-vykladu-obecneho-narizeni-v-cestine/d-22205
Tyto výkladové materiály dořešují některé často diskutované otázky.
Dále jsou uvedeny některé základní pojmy. Řada pojmů zůstává stejná jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů (správce, zpracovatel), některé jsou ale změněny. Přesné definice jsou uvedeny v českém překladu GDPR, např. na adrese http://www.privacy-regulation.eu/cs/.
Zpracování je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako jsou shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Zpracování je systematická činnost. Zde nedošlo ke změně oproti dřívějšímu zákonu.
Osobními údaji se rozumějí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Obdobně zněla definice již dříve, ale pravdou je, že dnes jsou často v různých výkladech GDPR zdůrazňovány právě síťové identifikátory.
Subjektem údajů je fyzická osoba, a to pouze žijící; právnická osoba subjektem údajů není.
Nově je definováno tzv. profilování, tím je míněno automatizované zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.
Správcem je stejně jako dříve ten, kdo zpracovává osobní údaje.
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce.
Nově zavedeným termínem je zvláštní kategorie osobních údajů. Tento termín dříve neexistoval, ale je téměř totožný s tzv. citlivými údaji, které dříve byly definovány např. v zákoně č. 101/2000 Sb. Jsou to tedy takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
Genetickými údaji jsou osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby nebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace.
Biometrickým údajem jsou osobní údaje vyplývající z konkrétního technického zpracování, týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis.
Tyto osobní údaje potřebují ještě větší ochranu než jiné osobní údaje a jejich zpracování podléhá zvláštnímu režimu. Zpracování těchto osobních údajů je umožněno pouze za speciálních podmínek, jimiž jsou tyto (jsou spojeny spojkou nebo):
-
subjekt údajů udělil výslovný souhlas,
-
zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
-
zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
-
zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
-
zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
-
zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
-
zpracování je nezbytné z důvodu významného veřejného zájmu,
-
zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
-
zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
-
zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
Zde je ještě nutno zdůraznit, co to je údaj o zdravotním stavu. Jsou to osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.
Na základě upravené definice proto nebude možné udělit souhlas se zpracováním osobních údajů mlčky, tj. například konkludentním jednáním (tedy ne ústně nebo písemně). Souhlas také bude muset být prezentován samostatně od ostatních podmínek předkládaných danému subjektu údajů ke schválení a nebude moci být podmínkou poskytování služby, pokud pro její poskytování nebude zpracování daných údajů pro konkrétní účel nezbytné.
Povinnosti obecného nařízení dopadnou nejen na správce osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Práva vyplynou fyzické osobě, což je subjekt údajů. Dále se Obecným nařízením budou řídit i dozorové úřady, tj. rovněž Úřad pro ochranu osobních údajů, který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.
Z působnosti GDPR je vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Dále jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost, to však bylo obsaženo již v zákoně č. 101 /2000 Sb.
Dále je nutno podotknout, že již v recitálech (rec. 91) jsou zmíněny právě pokyny pro jednotlivé lékaře (nikoliv pro nemocnice), které určité povinnosti zmírňují.
Rec. 91: Zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky. V takových případech by posouzení vlivu na ochranu osobních údajů nemělo být povinné.
NahoruPovinnosti organizace
Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR (jsou však určité výjimky, co z uvedeného je nutno zavést). Uplatnění principu zodpovědnosti bude představovat pro správce i zpracovatele jak náklady, tak čas na zavedení.
Ty se budou týkat zejména těchto oblastí:
-
implementace záměrné a nezbytné ochrany dat,
-
vypracování posouzení vlivu na ochranu osobních údajů neboli DPIA (Data Protection Impact Assessment),
-
jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer),
-
zavedení tzv. pseudonymizace osobních údajů,
-
vedení záznamů o činnostech zpracování,
-
konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
Opět jsou zde některé výjimky, např. DPIA nebo jmenování pověřence opět asi nebude pro jednotlivé lékaře povinné. Naopak tyto povinnosti se budou vztahovat na nemocnice.
NahoruZajištění bezpečnosti
Některé povinnosti budou vyplývat z toho, jaké existuje riziko při zpracování osobních údajů. Rozlišuje se zde riziko či vysoké riziko pro práva a svobody fyzické osoby. Princip založený na riziku se uplatňuje zejména u nových povinností: ohlašování,…