Dne 25. května 2018 nabude účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/79, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ ES (obecné nařízení o ochraně osobních údajů), dále jen jako „GDPR“
GDPR zavádí zcela nový institut pověřence pro ochranu osobních údajů pro všechny orgány veřejné moci, tj. obce, školy, a jiné subjekty, které ve velkém rozsahu zpracovávají osobní informace jako jsou např. nemocnice a banky. Nejednotný názor různých interpretátorů nařízení GDPR lze zaznamenat v otázce, zda osoba pověřence dopadá i na různé příspěvkové organizace obcí či krajů, které nerozhodují o právech a povinnostech fyzických osob. Na stránkách Úřadu pro ochranu osobních údajů se lze dočíst, že pověřence musí mít každý orgán veřejné moci bez ohledu na to, jaké údaje zpracovává, a na jiném místě na stejných stránkách, že v případě příspěvkové organizace, jako je např. domov pro seniory, není pověřenec pro ochranu osobních údajů povinný. Považuji za samozřejmé, že by měl být termín orgán veřejné moci interpretován spíše z hlediska fakticity, tedy z pohledu toho, zda rozhoduje o právech a povinnostech fyzických osob, či nikoliv. Pakliže ne, povinnost míti pověřence by nedopadala na domovy pro seniory, správce silnic a podobně. Lze jen pevně věřit, že tento výklad převáží nad výkladem opačným.
V souladu s GDPR musí každého zaměstnavatele podstatně výrazněji zajímat dokumenty jeho zaměstnanců, osobní spis zaměstnance, jeho životopis a další listiny, které se nacházejí v zaměstnancově osobní složce. Je třeba udělat patrně důslednou inventuru těchto dokumentů a vyřadit z nich listiny, které nesplňují náležitosti pro jejich zpracovávání podle GDPR, či si opatřit nový samostatný souhlas pro jejich další zpracování.
Spousta školitelů na školeních ke GDPR prezentuje celou řadu čistě teoretických informací zaměřených převážně na to, co vše je u subjektů, na něž GDPR dopadá, v současné době špatně, resp. v rozporu s brzy účinným GDPR. Obce si za účelem uvedení do souladu s GDPR nechávají zpracovávat audity připravenosti pro soulad s GDPR. Řada těchto auditů však pouze v obecné rovině konstatuje, co vše je špatně, teoreticky uvádí, co bude třeba změnit, avšak na konkrétní dotazy zpravidla tyto audity neumějí dát odpověď. Výsledkem těchto různých auditů je každopádně přehled nákladů pro implementaci GDPR, když je doporučováno zakoupení různých kryptografických softwarů, paušální zajištění služby pověřence pro ochranu osobních údajů, zpracování směrnic, školení pro zaměstnance atd. Náklady spojené s takovou analýzou přitom mnohokrát značně přesahují přidanou hodnotu několika stránek textu. Navíc, domnívám se, že nabídka na vedení agendy pověřence pro ochranu osobních údajů pro malé obce v rozsahu cca deseti tisíc korun měsíčně může býti značným zásahem do rozpočtu obce.
Každopádně, abych v díle prvním nejen kritizoval, pokusím se vždy na praktickém případě poukázat na to, jaké kroky by bylo dobré učinit. Takže začnu s příkladem externí paní účetní (pánové prominou…) a její agendou zpracování účetnictví a vedení mzdové agendy.
Mnoho drobných podnikatelů má dnes uzavřenou nějakou písemnou smlouvu na vedení účetnictví a mzdové agendy svých zaměstnanců. V rámci této smlouvy zpravidla není řešena ochrana osobních údajů zaměstnanců, které zaměstnavatel v souladu se zákonem a v budoucnu i v souladu s GDPR zpracovává. Fakticky zaměstnavatelé pravidelně sdělují paní účetní osobní data svých zaměstnanců, mezi nimi jméno a příjmení, bydliště, výši mzdy atd. Některá z nich, jako právě výši mzdy, která je též osobním údajem, přitom sdělují paní účetní každý měsíc. V tomto vztahu tak má zaměstnavatel postavení správce a paní účetní postavení zpracovatele osobních údajů.
GDPR nově jasně stanoví, že pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
Zpracovatel nezapojí do zpracování údajů žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
Zpracování osobních údajů zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.
Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
- a) zpracovává osobní údaje pouze na základě doložených pokynů správce,
- b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
- c) přijme všechna opatření k zabezpečení zpracování,
- d) dodržuje podmínky pro zapojení dalšího zpracovatele,
- e) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,
- f) je správci nápomocen při zajišťování souladu s povinnostmi vymezenými GDPR
- g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
- h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti uvedené výše, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Smlouva musí být vyhotovena písemně, v to počítaje i elektronickou formu.
Lze usuzovat, že mnoho doposud uzavřených smluv mezi takovou paní účetní a zaměstnavatelem nesplňuje podmínky GDPR. K 25. květnu však tyto smlouvy výše uvedené náležitosti splňovat musí, a proto je v zájmu každého takového zaměstnavatele své smlouvy do souladu s GDPR uvést. Za porušení výše uvedených povinností může být uložena správní pokuta až do výše 10.000.000 EUR, v případě podniku až do výše 2% z celkového celosvětového obratu za předchozí finanční rok, podle toho, která hodnota je vyšší.
Lze jen doporučit tento úkol neodkládat a vše uvést do souladu co nejdříve.
Michal Filouš