Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
GDPR a Pověřenec
pro ochranu osobních údajů
JUDr. Jakub Morávek, Ph.D.
Principiální základ
„Tvůrci naší Ústavy na sebe vzali odpovědnost vytvořit příznivé
podmínky pro usilování o štěstí (...) Přiznali právo (proti státu) být
ponechán „sám sobě“ – což je nejkomplexnější či
nejobsažnější právo ze všech a zároveň i právo, které je
nejvzácnější civilizovanému lidstvu.“
Louis Dembitz Brandeis
Právo na informační sebeurčení
„zcela zvláštní respekt a ochranu požívá v liberálních demokratických státechzákladní právo na nerušený soukromý život osoby(čl. 10 odst. 2 Listiny).“
„Primární funkcí práva na respekt k soukromému životu je zajistit prostor pro rozvoja seberealizaci individuální osobnosti.“
„Vedle tradičního vymezení soukromí v jeho prostorové dimenzi (ochrana obydlí vširším slova smyslu) a v souvislosti s autonomní existencí a veřejnou mocínerušenou tvorbou sociálních vztahů (v manželství, v rodině, ve společnosti),právo na respekt k soukromému životu zahrnuje i garanci sebeurčení vesmyslu zásadního rozhodování jednotlivce o sobě samém.“
„Jinými slovy, právo na soukromí garantuje rovněž právo jednotlivce rozhodnoutpodle vlastního uvážení zda, popř. v jakém rozsahu, jakým způsobem a zajakých okolností mají být skutečnosti a informace z jeho osobního soukromízpřístupněny jiným subjektům.“
Obecné nařízení
• Nařízení EP a Rady 2016/679
• Smysl a účel právní úpravy
– ochrana osobních údajů a soukromí
– volný pohyb osobních údajů přes hranice států
– jednotná aplikace
– jednotné trestání
– zásada odpovědnosti
– moderní technologie
– ochrana práv dětí zejména v prostředí moderních technologií
– zdůraznění práv subjektů údajů – právo na informační sebeurčení
Právní rámec ochrany
osobních údajů
Právní rámec
OSN– Všeobecná deklarace lidských práv
– Pakt o občanských, politických a kulturních právech
OECD– Doporučení pro ochranu soukromí a toky osobních údajů přes
hranice 1980
Rada Evropy– Úmluva o ochraně lidských práva základních svobod
– Úmluva Rady Evropy o ochraně osob se zřetelem k automatizovanému zpracování osobních údajů (1981)
Evropská unie
– Smlouva o fungování EU
– Charta základních práv EU
– Směrnice EU• Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybutěchto údajů
• Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002,o zpracování osobních údajů a ochraně soukromí v odvětví elektronickýchkomunikací
• Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000, ourčitých aspektech služeb informační společnosti, zejména elektronickéhoobchodního styku v rámci vnitřního trhu
– Obecné nařízení o ochraně osobních údajů
Listina základních práv EU
Čl. 8
(1) Každý má právo na ochranu osobních údajů, které se ho týkají.
(2) Tyto údaje musí být zpracovány korektně, k přesně stanoveným
účelům a na základě souhlasu dotčené osoby nebo na základě
jiného oprávněného důvodu stanoveného zákonem. Každý má
právo na přístup k údajům, které o něm byly shromážděny, a má
právo na jejich opravu.
(3) Na dodržování těchto pravidel dohlíží nezávislý orgán
Právní řád ČR
• Ústavní pořádek
– čl. 7 odst. 1, čl. 10, čl. 13 Listiny základních práv a svobod
– čl. 11, čl. 17 Listiny základních práv a svobod
• Právní předpisy na úrovni zákona
- zákon č. 89/2012 Sb., občanský zákoník
- zákon č. 101/2000 Sb., o ochraně osobních údajů
- zvláštní předpisy (např. zákon č. 372/2011 Sb., zákon č.
373/2011 Sb., zákon č. 262/2006 Sb.)
Nový právní rámec
• Ústavní pořádek České republiky
• Obecné nařízení o ochraně osobních údajů
• Zákon o zpracování osobních údajů
• Občanský zákoník a zvláštní právní předpisy
Právní rámec
Judikatura– Soudní dvůr EU
– Evropský soud pro lidská práva
– Ústavní soud České republiky
– Nejvyšší správní soud České republiky
– Městský soud v Praze
– Nejvyšší soud České republiky
Stanoviska a doporučení– Úřad pro ochranu osobních údajů
– Stanovisko WP 29
– Evropský sbor pro ochranu osobních údajů
– Z rozhodovací praxe ÚOOÚ
Aktuální výkladová stanoviska
• WP 242 – právo na přenositelnost údajů
• WP 243 – k pověřencům pro ochranu osobních údajů
• WP 244 – k určování vedoucího dozorového úřadu pro správce a zpracovatele
• WP 248 – k posouzení vlivu na ochranu osobních údajů
• WP 249 – ochrana osobních údajů v souvislosti se zaměstnáním
• WP 250 – k oznamování bezpečnostních incidentů
• WP 251 – k automatizovanému rozhodování a profilování
• WP 252 – ke zpracování osobních údajů v souvislosti s kooperativními inteligentními dopravními systémy
• WP 253 – k ukládání správních sankcí
• WP 254 – „zásady zpracování – update WP12“
• WP 256 a WP 257– zásady BCR
• WP 259 – souhlas se zpracováním osobních údajů
• WP 260 – zásada transparentnosti
Působnost právní úpravy
Působnost
• Věcná (čl. 2)
• Osobní
• Místní (čl. 3)
• …nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí– s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu
na to, zda je od subjektů údajů požadována platba; nebo
– s monitorováním jejich chování, pokud k němu dochází v rámci Unie.
Působnost právní úpravy
• Osobní působnost– ÚS - Pl. ÚS 38/02 – právnické osoby a fyzické osoby podnikající
– NSS – 6 A 83/2001
• Věcná působnost– NSS - 1 As 113/2012 – osobní potřeba
– SDEU – C-212/13 – osobní potřeba
– NSS - 9 Aps 5/2012 – nahodilé zpracování
– NSS – 1 As 13/2011 – na advokáty
– MS Praha – 6 Ca 227/2008 – výjimka z působnosti
Základní pojmosloví
• Osobní údaj
• Správce osobních údajů
• Zpracovatel osobních údajů
• Zpracování osobních údajů
Vztah správce a zpracovatele
• Vztah správce – zpracovatel (čl. 24 an.)
– společní správci osobních údajů (čl. 26)
– řetězení zpracovatelů (čl. 28/2 – 4)
Základní pojmosloví
• Fyzické osoby podnikající
– ÚOOÚ – 3/2011 Ochrana osobních údajů podnikajících
fyzických osob
• Právnické osoby
– WP 29 – č. 4/2007 K pojmu osobní údaj
• Zemřelé osoby
– ÚOOÚ – 4/2012 Zpracování osobních údajů zemřelých
osob
Základní pojmosloví
• WP 29 - 1/2010 k pojmům „správce“ a „zpracovatel“
• ÚOOÚ - č. 1/2009 – Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů)
• WP 29 - č. 4/2004 – Ke zpracování osobních údajů prostředky kamerového sledování
• ÚOOÚ - č. 4/2013 – K pojetí zpracování osobních údajů
Základní pojmosloví
• ÚOOÚ - 2/2008 – Souhlas se zpracováním osobních údajů.
• ÚOOÚ - 2/2011 – Zpracování osobních údajů na základě souhlasu ve smlouvě nebo Všeobecných obchodních podmínkách a s tím související problémy.
• ÚOOÚ - 3/2014 – K nadbytečnosti vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti
• ÚOOÚ - 5/2012 – Poskytování informací a získání souhlasu subjektu údajů v elektronické komunikaci
• WP 29 - 15/2011 – K definici souhlasu
• WP 29 - 2/2013 – K získání souhlasu pro soubory cookies
• WP 29 - 4/2012 – K výjimce z požadavku na souhlas s cookies
Základní rámec zpracování
a
typová zpracování osobních údajů
Typová zpracování
• Obligatorní zpracování osobních údajů
• Fakultativní zpracování osobních údajů
• Fakultativní, právními předpisy předurčené zpracování
osobních údajů
Obecné schéma zpracování
• účel, prostředky a způsob zpracování
• právní důvod zpracování osobních údajů (čl. 6 a 9)
• minimalizace zásahu do soukromí
– účelové omezení (čl. 5/1/b)
– údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu (čl. 5/1/c);
– zpracovávat pouze přesné osobní údaje z hlediska účelu zpracování (čl. 5/1/d)
– uchovávat pouze po nezbytnou dobu (čl. 5/1/e)
– zpracovávat údaje transparentně (čl. 5/1/a a čl. 12 an.), včetně informační povinnosti
• zabezpečení čl. 32 (posouzení vlivu a předchozí konzultace – čl. 35-6)
• práva subjektu údajů a jejich realizace (právo na přístup, kopii, výmaz)
Právní titul ke zpracování
• Právní tituly ke zpracování (čl. 6 a 9)
• Souhlas (čl. 4/11, čl. 7 – 8)– svobodný, konkrétní, informovaný a jednoznačný
(výslovný)
– srozumitelnost, snadná přístupnost, jednoduché jazykové prostředky
– jasná odlišitelnost
– nepodmíněnost
– odvolatelnost
– souhlas dítěte a služby informační společnosti
Práva subjektu údajů
• Informační povinnost/právo na informace (čl. 12 an.)
• Právo na přístup k osobním údajům (čl. 15)
• Právo na opravu a výmaz, právo být zapomenut atp.
• Právo na přenositelnost údajů (čl. 20)
• Automatizované rozhodnutí (čl. 21 – 22)
Zabezpečení zpracování
• Záměrná a standardní ochrana (čl. 25)
• Zabezpečení zpracování (čl. 32)
• Oznámení bezpečnostního incidentu (čl. 33 - 34)
Posouzení vlivu na ochranu os. údajů
• Pojmové vymezení
• Podmínky vzniku povinnosti
• Forma a způsob posouzení
• Účast pověřence
• Konzultace s ÚOOÚ
Oznámení porušení zabezpečení
• Pojmové vymezení
• Podmínky pro vznik povinnosti
• Forma a způsob oznámení porušení zabezpečení
• Možné negativní důsledky
Pověřenec pro ochranu os. údajů
• Ustanovení pověřence
• Úkoly pověřence
• Předpoklady pro výkon funkce
• Postavení, odpovědnost a další aspekty
Další aspekty
• Záznamy o činnostech zpracování (čl. 30)
Předávání osobních údajů
do třetích zemí
Předávání osobních údajů
• Rozhodnutí o odpovídající ochraně (čl. 45)
• Vhodné záruky (čl. 46)
• Závazná podniková pravidla (čl. 47)
• Výjimky (čl. 49)
Další aspekty
Vybrané instituty, pojmy a povinnosti
• Skupina podniků (čl. 4/19)
• Změna účelu zpracování (čl. 13, 14)
• Pravomoci ÚOOÚ (čl. 58)
• Právo na informace, přístup a kopii (čl. 12 – 15)
• Kodexy chování (čl. 40), osvědčení, pečeti a známky (čl. 42)
Některé problematické aspekty
• Ohlašování porušení zabezpečení DPA (čl. 33)– jakékoli bez zbytečného odkladu (pokud možno do 72 hodin) oznámit
DPA, ledaže je nepravděpodobné riziko pro práv a svobody
ÚS ČR - III. ÚS 528/06 „… nemo tenetur se ipsum accusare, nemo tenetur se ipsum prodere - ,nikdo není povinen sám sebe obviňovat… Nikdo není povinen přispět aktivním způsobem, přímo či nepřímo, k vlastnímu odsouzení.“
US ČR - I. ÚS 402/05 „…Zákaz donucování k poskytnutí důkazů proti sobě samému nelze zužovat na případy získávání důkazů, které mají za nedostatku jiných důkazů potvrdit či vyvrátit spáchání trestného činu, ale samozřejmě se týká i případů, kdy má být upřesněna výše způsobené škody či mají být získány takové důkazy…“
Některé problematické aspekty
• Maximální výše sankce
– právní jistota
• Výše sankce pro orgány veřejné a moci a veřejné subjekty
(čl. 83 odst. 7)
• Přímý marketing jako oprávněný zájem správce (recitál č.47)
Felix a spol. advokátní kancelář, s.r.o.U Nikolajky 5150 00 Praha 5
tel: +420 251 081 111
www.akf.cz
JUDr. Jakub Morávek, [email protected]