GDPR a Pověřenec

pro ochranu osobních údajů

JUDr. Jakub Morávek, Ph.D.

Principiální základ

„Tvůrci naší Ústavy na sebe vzali odpovědnost vytvořit příznivé

podmínky pro usilování o štěstí (...) Přiznali právo (proti státu) být

ponechán „sám sobě“ – což je nejkomplexnější či

nejobsažnější právo ze všech a zároveň i právo, které je

nejvzácnější civilizovanému lidstvu.“

Louis Dembitz Brandeis

Právo na informační sebeurčení

„zcela zvláštní respekt a ochranu požívá v liberálních demokratických státechzákladní právo na nerušený soukromý život osoby(čl. 10 odst. 2 Listiny).“

„Primární funkcí práva na respekt k soukromému životu je zajistit prostor pro rozvoja seberealizaci individuální osobnosti.“

„Vedle tradičního vymezení soukromí v jeho prostorové dimenzi (ochrana obydlí vširším slova smyslu) a v souvislosti s autonomní existencí a veřejnou mocínerušenou tvorbou sociálních vztahů (v manželství, v rodině, ve společnosti),právo na respekt k soukromému životu zahrnuje i garanci sebeurčení vesmyslu zásadního rozhodování jednotlivce o sobě samém.“

„Jinými slovy, právo na soukromí garantuje rovněž právo jednotlivce rozhodnoutpodle vlastního uvážení zda, popř. v jakém rozsahu, jakým způsobem a zajakých okolností mají být skutečnosti a informace z jeho osobního soukromízpřístupněny jiným subjektům.“

Obecné nařízení

• Nařízení EP a Rady 2016/679

• Smysl a účel právní úpravy

– ochrana osobních údajů a soukromí

– volný pohyb osobních údajů přes hranice států

– jednotná aplikace

– jednotné trestání

– zásada odpovědnosti

– moderní technologie

– ochrana práv dětí zejména v prostředí moderních technologií

– zdůraznění práv subjektů údajů – právo na informační sebeurčení

Právní rámec ochrany

osobních údajů

Právní rámec

OSN– Všeobecná deklarace lidských práv

– Pakt o občanských, politických a kulturních právech

OECD– Doporučení pro ochranu soukromí a toky osobních údajů přes

hranice 1980

Rada Evropy– Úmluva o ochraně lidských práva základních svobod

– Úmluva Rady Evropy o ochraně osob se zřetelem k automatizovanému zpracování osobních údajů (1981)

Evropská unie

– Smlouva o fungování EU

– Charta základních práv EU

– Směrnice EU• Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně

fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybutěchto údajů

• Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002,o zpracování osobních údajů a ochraně soukromí v odvětví elektronickýchkomunikací

• Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000, ourčitých aspektech služeb informační společnosti, zejména elektronickéhoobchodního styku v rámci vnitřního trhu

– Obecné nařízení o ochraně osobních údajů

Listina základních práv EU

Čl. 8

(1) Každý má právo na ochranu osobních údajů, které se ho týkají.

(2) Tyto údaje musí být zpracovány korektně, k přesně stanoveným

účelům a na základě souhlasu dotčené osoby nebo na základě

jiného oprávněného důvodu stanoveného zákonem. Každý má

právo na přístup k údajům, které o něm byly shromážděny, a má

právo na jejich opravu.

(3) Na dodržování těchto pravidel dohlíží nezávislý orgán

Právní řád ČR

• Ústavní pořádek

– čl. 7 odst. 1, čl. 10, čl. 13 Listiny základních práv a svobod

– čl. 11, čl. 17 Listiny základních práv a svobod

• Právní předpisy na úrovni zákona

- zákon č. 89/2012 Sb., občanský zákoník

- zákon č. 101/2000 Sb., o ochraně osobních údajů

- zvláštní předpisy (např. zákon č. 372/2011 Sb., zákon č.

373/2011 Sb., zákon č. 262/2006 Sb.)

Nový právní rámec

• Ústavní pořádek České republiky

• Obecné nařízení o ochraně osobních údajů

• Zákon o zpracování osobních údajů

• Občanský zákoník a zvláštní právní předpisy

Právní rámec

Judikatura– Soudní dvůr EU

– Evropský soud pro lidská práva

– Ústavní soud České republiky

– Nejvyšší správní soud České republiky

– Městský soud v Praze

– Nejvyšší soud České republiky

Stanoviska a doporučení– Úřad pro ochranu osobních údajů

– Stanovisko WP 29

– Evropský sbor pro ochranu osobních údajů

– Z rozhodovací praxe ÚOOÚ

Aktuální výkladová stanoviska

• WP 242 – právo na přenositelnost údajů

• WP 243 – k pověřencům pro ochranu osobních údajů

• WP 244 – k určování vedoucího dozorového úřadu pro správce a zpracovatele

• WP 248 – k posouzení vlivu na ochranu osobních údajů

• WP 249 – ochrana osobních údajů v souvislosti se zaměstnáním

• WP 250 – k oznamování bezpečnostních incidentů

• WP 251 – k automatizovanému rozhodování a profilování

• WP 252 – ke zpracování osobních údajů v souvislosti s kooperativními inteligentními dopravními systémy

• WP 253 – k ukládání správních sankcí

• WP 254 – „zásady zpracování – update WP12“

• WP 256 a WP 257– zásady BCR

• WP 259 – souhlas se zpracováním osobních údajů

• WP 260 – zásada transparentnosti

Působnost právní úpravy

Působnost

• Věcná (čl. 2)

• Osobní

• Místní (čl. 3)

• …nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí– s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu

na to, zda je od subjektů údajů požadována platba; nebo

– s monitorováním jejich chování, pokud k němu dochází v rámci Unie.

Působnost právní úpravy

• Osobní působnost– ÚS - Pl. ÚS 38/02 – právnické osoby a fyzické osoby podnikající

– NSS – 6 A 83/2001

• Věcná působnost– NSS - 1 As 113/2012 – osobní potřeba

– SDEU – C-212/13 – osobní potřeba

– NSS - 9 Aps 5/2012 – nahodilé zpracování

– NSS – 1 As 13/2011 – na advokáty

– MS Praha – 6 Ca 227/2008 – výjimka z působnosti

Základní pojmosloví

• Osobní údaj

• Správce osobních údajů

• Zpracovatel osobních údajů

• Zpracování osobních údajů

Vztah správce a zpracovatele

• Vztah správce – zpracovatel (čl. 24 an.)

– společní správci osobních údajů (čl. 26)

– řetězení zpracovatelů (čl. 28/2 – 4)

Základní pojmosloví

• Fyzické osoby podnikající

– ÚOOÚ – 3/2011 Ochrana osobních údajů podnikajících

fyzických osob

• Právnické osoby

– WP 29 – č. 4/2007 K pojmu osobní údaj

• Zemřelé osoby

– ÚOOÚ – 4/2012 Zpracování osobních údajů zemřelých

osob

Základní pojmosloví

• WP 29 - 1/2010 k pojmům „správce“ a „zpracovatel“

• ÚOOÚ - č. 1/2009 – Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů)

• WP 29 - č. 4/2004 – Ke zpracování osobních údajů prostředky kamerového sledování

• ÚOOÚ - č. 4/2013 – K pojetí zpracování osobních údajů

Základní pojmosloví

• ÚOOÚ - 2/2008 – Souhlas se zpracováním osobních údajů.

• ÚOOÚ - 2/2011 – Zpracování osobních údajů na základě souhlasu ve smlouvě nebo Všeobecných obchodních podmínkách a s tím související problémy.

• ÚOOÚ - 3/2014 – K nadbytečnosti vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti

• ÚOOÚ - 5/2012 – Poskytování informací a získání souhlasu subjektu údajů v elektronické komunikaci

• WP 29 - 15/2011 – K definici souhlasu

• WP 29 - 2/2013 – K získání souhlasu pro soubory cookies

• WP 29 - 4/2012 – K výjimce z požadavku na souhlas s cookies

Základní rámec zpracování

a

typová zpracování osobních údajů

Typová zpracování

• Obligatorní zpracování osobních údajů

• Fakultativní zpracování osobních údajů

• Fakultativní, právními předpisy předurčené zpracování

osobních údajů

Obecné schéma zpracování

• účel, prostředky a způsob zpracování

• právní důvod zpracování osobních údajů (čl. 6 a 9)

• minimalizace zásahu do soukromí

– účelové omezení (čl. 5/1/b)

– údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu (čl. 5/1/c);

– zpracovávat pouze přesné osobní údaje z hlediska účelu zpracování (čl. 5/1/d)

– uchovávat pouze po nezbytnou dobu (čl. 5/1/e)

– zpracovávat údaje transparentně (čl. 5/1/a a čl. 12 an.), včetně informační povinnosti

• zabezpečení čl. 32 (posouzení vlivu a předchozí konzultace – čl. 35-6)

• práva subjektu údajů a jejich realizace (právo na přístup, kopii, výmaz)

Právní titul ke zpracování

• Právní tituly ke zpracování (čl. 6 a 9)

• Souhlas (čl. 4/11, čl. 7 – 8)– svobodný, konkrétní, informovaný a jednoznačný

(výslovný)

– srozumitelnost, snadná přístupnost, jednoduché jazykové prostředky

– jasná odlišitelnost

– nepodmíněnost

– odvolatelnost

– souhlas dítěte a služby informační společnosti

Práva subjektu údajů

• Informační povinnost/právo na informace (čl. 12 an.)

• Právo na přístup k osobním údajům (čl. 15)

• Právo na opravu a výmaz, právo být zapomenut atp.

• Právo na přenositelnost údajů (čl. 20)

• Automatizované rozhodnutí (čl. 21 – 22)

Zabezpečení zpracování

• Záměrná a standardní ochrana (čl. 25)

• Zabezpečení zpracování (čl. 32)

• Oznámení bezpečnostního incidentu (čl. 33 - 34)

Posouzení vlivu na ochranu os. údajů

• Pojmové vymezení

• Podmínky vzniku povinnosti

• Forma a způsob posouzení

• Účast pověřence

• Konzultace s ÚOOÚ

Oznámení porušení zabezpečení

• Pojmové vymezení

• Podmínky pro vznik povinnosti

• Forma a způsob oznámení porušení zabezpečení

• Možné negativní důsledky

Pověřenec pro ochranu os. údajů

• Ustanovení pověřence

• Úkoly pověřence

• Předpoklady pro výkon funkce

• Postavení, odpovědnost a další aspekty

Další aspekty

• Záznamy o činnostech zpracování (čl. 30)

Předávání osobních údajů

do třetích zemí

Předávání osobních údajů

• Rozhodnutí o odpovídající ochraně (čl. 45)

• Vhodné záruky (čl. 46)

• Závazná podniková pravidla (čl. 47)

• Výjimky (čl. 49)

Další aspekty

Vybrané instituty, pojmy a povinnosti

• Skupina podniků (čl. 4/19)

• Změna účelu zpracování (čl. 13, 14)

• Pravomoci ÚOOÚ (čl. 58)

• Právo na informace, přístup a kopii (čl. 12 – 15)

• Kodexy chování (čl. 40), osvědčení, pečeti a známky (čl. 42)

Některé problematické aspekty

• Ohlašování porušení zabezpečení DPA (čl. 33)– jakékoli bez zbytečného odkladu (pokud možno do 72 hodin) oznámit

DPA, ledaže je nepravděpodobné riziko pro práv a svobody

ÚS ČR - III. ÚS 528/06 „… nemo tenetur se ipsum accusare, nemo tenetur se ipsum prodere - ,nikdo není povinen sám sebe obviňovat… Nikdo není povinen přispět aktivním způsobem, přímo či nepřímo, k vlastnímu odsouzení.“

US ČR - I. ÚS 402/05 „…Zákaz donucování k poskytnutí důkazů proti sobě samému nelze zužovat na případy získávání důkazů, které mají za nedostatku jiných důkazů potvrdit či vyvrátit spáchání trestného činu, ale samozřejmě se týká i případů, kdy má být upřesněna výše způsobené škody či mají být získány takové důkazy…“

Některé problematické aspekty

• Maximální výše sankce

– právní jistota

• Výše sankce pro orgány veřejné a moci a veřejné subjekty

(čl. 83 odst. 7)

• Přímý marketing jako oprávněný zájem správce (recitál č.47)

Felix a spol. advokátní kancelář, s.r.o.U Nikolajky 5150 00 Praha 5

tel: +420 251 081 111

www.akf.cz

JUDr. Jakub Morávek, Ph.D.jakub.moravek@akf.cz