Na jakých nových přístupech je Obecné nařízení založeno?

Lze hovořit o dvou nových přístupech, na kterých je Obecné nařízení založeno.  Novými přístupy jsou princip odpovědnosti správce a přístup založený na riziku.
Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Obecného nařízení a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme hovořit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu princip založený na riziku se uplatňuje zejména u nových povinností: ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, resp. subjektu údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace s Úřadem pro ochranu osobních údajů, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.
 

Jak bude správce dokládat soulad zpracování?

Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správci, jak výslovně zmiňuje Obecné nařízení, napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování.

Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví).

Osvědčení má sloužit k prokázání souladu zpracování s Obecným nařízením.

Záznamy o činnostech zpracování obsahují informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí. Tato povinnost je stanovena v článku 30 Obecného nařízení, přičemž někteří správci jsou vyňati z nutnosti vést záznamy o činnostech zpracování.

Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které Obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.
 

Kdo bude vydávat kodexy a osvědčení?

Kodexy nejsou právním předpisem, nejsou tedy striktně vzato závazné a jejich aplikace bude záviset na tom, zda se ke kodexu konkrétní správce přihlásí.

Kodexy budou moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů přičemž návrh kodexu musí být předložen Úřadu pro ochranu osobních údajů, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictvím.

Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů.
 

Jaké nové povinnosti Obecné nařízení přináší?

Je nutné zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly detailněji pouze rozpracovány a zpřesněny (např. nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů atd.). Obecné nařízení na těchto základech přináší nástavbu spočívající v dodatečných nových povinnostech, které pro české správce budou nové.

Jde zejména o tyto nové povinnosti:

• povinnost vést záznamy o činnostech zpracování,
• posouzení vlivu na ochranu osobních údajů,
• předchozí konzultace,
• ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů,
• oznamování případu porušení zabezpečení osobních údajů subjektu údajů,
• ustavení pověřence pro ochranu osobních údajů.

Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence, jsou ostatní nové povinnosti založeny na přístupu založeném na riziku, tj. jejich uplatnění je vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů. Avšak byť u povinnosti ustanovit pověřence není přímo pracováno s pojmy riziko či vysoké riziko, odráží se v této povinnosti do určité míry též přístup založený na riziku, jelikož pro určitá zpracování, resp. určité subjekty, je povinností ustanovit pověřence pro ochranu osobních údajů.
 

Kdy musí správce provést posouzení vlivu na ochranu osobních údajů?

Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.

Posouzení vlivu na ochranu osobních údajů se vyžaduje především:

• u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
• u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech,
• u rozsáhlého systematického monitorování veřejně přístupných prostorů.

Posouzení vlivu nemusí být zpracováváno tam, kde bylo posouzení dopadů zpracováno ve vztahu k právní úpravě příslušného zpracování (viz čl. 35 odst. 10 obecného nařízení).
 

Kdy musí správce konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů? Co je účelem konzultace?

Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.
 

Co jsou záznamy o činnostech zpracování?

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla Obecným nařízením zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s Obecným nařízením.
 

Kdo nemusí vést záznamy o činnostech zpracování?

Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.
 

Bude nadále platit oznamovací povinnost, tak jak platí dnes pro některá zpracování?

Oznamovací povinnost již není obsažena v Obecném nařízení a bude tedy s novelou zákona o ochraně osobních údajů zrušena v plném rozsahu. Oznamovací povinnost je částečně nahrazena záznamy o činnostech zpracování a povinností v některých případech zpracování konzultovat s Úřadem pro ochranu osobních údajů (viz otázka: Kdy musí správce konzultovat zpracování osobních údajů?).
 

Co je to skupina WP29?

Pracovní skupina WP29 je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie. Mezi její činnosti patří mimo jiné posuzování otázek týkajících se uplatňování vnitrostátních předpisů přijatých k provedení směrnice 95/46/ES s cílem přispívat k jejich jednotnému uplatňování. Pracovní skupina WP29 může z vlastního podnětu podat doporučení k jakékoli otázce týkající se ochrany osob v souvislosti se zpracováním osobních údajů. Výstupem známým veřejnosti tak jsou stanoviska a doporučení této skupiny, týkající se oblasti zpracování osobních údajů či aktuálních témat.  Stanoviska a doporučení pracovní skupiny WP29 lze nalézt zde: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

V souvislosti s Obecným nařízením nyní pracovní skupina WP29 vydává k jednotlivým institutům Obecného nařízení metodické materiály, které obsahují vodítka pro správce a zpracovatele. Vydaná vodítka jsou k dispozici v českém překladu na: https://www.uoou.cz/obecne-narizeni-eu/ds-3938/p1=3938.

Pracovní skupina WP29 nabytím použitelnosti Obecného nařízení bude transformována na Evropský sbor pro ochranu osobních údajů. Úkolem Sboru bude především zajišťování jednotného uplatňování Obecného nařízení a za tím účelem monitorovat jeho uplatňování a vydávat pokyny, doporučení a osvědčené postupy, a to i pro některé stanovené oblasti a instituty Obecného nařízení.