Newsletter | GDPR (1)


Tímto speciálním vydáním newsletteru bychom Vás chtěli informovat o změnách v oblasti ochrany osobních údajů, které nastanou ke dni 25. 5. 2018, kdy vstoupí v účinnost předpis EU Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“).

Protože GDPR nově zavádí velmi vysoké sankce za jeho porušení (až do výše 20.000.000,- EUR nebo do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která částka je vyšší), považujeme za důležité Vás informovat o tom, čemu byste se jako správci nebo zpracovatelé osobních údajů měli vyhnout a jaké nové povinnosti Vám GDPR ukládá. 

Vzhledem k velkému množství otázek okolo GDPR jsme se rozhodli pravidelně pro Vás připravovat další vydání, ve kterých se budeme jednotlivými oblastmi zpracování osobních údajů zabývat podrobněji.

Koho se změny dotknou

Povinnost ochrany osobních údajů dopadá na každého, kdo jakkoli zpracovává (ukládá, třídí, vyhodnocuje) osobní údaje (jména, data narození, rodná čísla, e-maily, telefonní čísla, fotografie, aj.). GDPR se tedy dotkne každého, kdo vede jakoukoli databázi zaměstnanců, klientů, uchazečů, telefonních kontaktů, aj. GDPR naopak nedopadá na činnosti fyzických osob, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí potřeby.

  • To znamená, že v případě ztráty Vašeho soukromého mobilního telefonu nedojde k porušení povinnosti ochrany osobních údajů (tj. k úniku dat). Naopak o únik dat půjde v situaci, kdy ztracený telefon budete používat i k pracovním účelům, jelikož v něm budou pravděpodobně uloženy i osobní údaje Vašich klientů.

  • Stejně tak diář s kontakty Vašich přátel nebude podléhat úpravě GDPR, avšak jen do doby, kdy se například rozhodnete těmto přátelům zasílat obchodní nabídky.

Změny, které s GDPR přichází, budou mít zásadní dopad zejména na ty správce a zpracovatele, kteří spravují velké množství těchto údajů svých klientů nebo zaměstnanců (např. povinnost jmenovat pověřence pro ochranu osobních údajů).

  • To jsou typicky subjekty jako nemocnice, personální agentury nebo instituce provádějící průzkumy veřejného mínění.

Naopak pro drobné podnikatele, tj. osoby samostatně výdělečně činné a malé podniky, které nezaměstnávají velký počet zaměstnanců a zároveň nezpracovávají osobní údaje ve velkém rozsahu nebo nezpracovávají osobní údaje zvláštní kategorie (viz níže), nebude nařízení GDPR představovat žádnou zásadní změnu oproti stávající právní úpravě. Tyto subjekty bude s GDPR nově zatěžovat v zásadě „jen“ níže popsaná informační povinnost.

Co je obsahem ochrany osobních údajů

Povinnost ochrany osobních údajů a s tím spojená odpovědnost za její splnění dopadá primárně na správce. Správcem je kdokoli, kdo určuje účel a prostředky zpracování. Pokud správce pověří zpracováním osobních údajů jiného (na základě smlouvy o zpracování), pak se tento další subjekt nazývá zpracovatel.

  • Například účetní společnost je správcem ve vztahu k osobním údajům svých zaměstnanců ale také zpracovatelem ve vztahu ke svým klientům, kterým poskytuje externí účetní služby.

Povinnost ochrany osobních údajů znamená, že jako správce nebo zpracovatel nesmíte například pracovní smlouvy (nebo databáze klientů, knihy úrazů) uchovávat na místě, které je přístupné nepovoleným osobám.

  • Pokud tedy pracovní smlouvy skladujete v šuplíku společně s kancelářskými potřebami, ke kterým má přístup i uklízečka, nejsou osobní údaje v pracovních smlouvách chráněny v souladu s GDPR.

  • Stejně tak byste měli každý přístup k e-mailu a k PC chránit heslem, které by mělo splňovat kritérium dostatečné bezpečnosti, tj. mělo obsahovat alespoň písmena v kombinaci s číslicemi.

Abyste mohli údaje zpracovávat, musíte tak činit na základě jednoho z následujících důvodů:

  1. plnění smlouvy uzavřené se subjektem údajů;

  2. plnění zákonné povinnosti;

  3. Váš oprávněný zájem;

  4. souhlas subjektu údajů.

Dále má každý správce a zpracovatel povinnost informovat osoby, jejichž data zpracovává, o tom, které údaje zpracovává, za jakým účelem, z jakého důvodu (ze shora uvedených) a jak dlouho tak bude činit. Jakmile odpadne důvod, kvůli kterému údaje uchováváte, musíte je odstranit.

  • Například jakmile dodáte zboží svému klientovi a splníte všechny závazky vyplývající ze smlouvy uzavřené s klientem, odpadne účel, ke kterému jste osobní údaje klienta potřebovali (např. jména osob jednajících za klienta, jejich tel. č., e-maily, adresy). Měli byste tedy tyto údaje přestat uchovávat a zpracovávat a zahájit jejich likvidaci.

V praxi se však může stát, že v okamžiku, kdy zanikne jeden ze shora uvedených důvodů, nastane důvod jiný, pro který si budete moci údaje ponechat a dále s nimi pracovat.

  • V návaznosti na předchozí příklad tak může nastat situace, kdy Vám hrozí, že by Vás klient mohl žalovat za vadně dodané zboží. Abyste se mohli účinně bránit a uhájit své nároky u soudu, budete potřebovat dokumentaci a komunikaci s klientem jako důkaz o oprávněnosti Vašeho nároku. V tomto případě máte oprávněný zájem jako zákonný důvod k uchování osobních údajů klienta i po splnění smlouvy.


    Nebo například i po ukončení pracovního poměru se zaměstnancem nemůžete odstranit všechny jeho osobní údaje, neboť ze zákona máte povinnost mzdové listy uchovávat po dobu 30 let od období, ke kterému se vztahují. Ke zpracování osobních údajů Vám proto svědčí důvod plnění zákonných povinností.

V této souvislosti doporučujeme uchovávat údaje v rozsahu nezbytném pro naplnění navazujícího účelu (pro obranu v případném soudním sporu, pro splnění zákonných povinností) a nepotřebné osobní údaje zlikvidovat.

Nová povinnost jmenovat pověřence osobních údajů

Nejzásadnější změnou, kterou GDPR přináší, je povinnost jmenovat pověřence osobních údajů.

Tato novinka dopadá na správce a zpracovatele, jejichž hlavní činnost spočívá ve zpracování osobních údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo ve zpracování zvláštních kategorií osobních údajů (údaje týkající se například zdravotního stavu, pohlavního života, sexuální orientace nebo politických názorů a etnického původu).

  • Sehnat si pověřence tak typicky budou muset například nemocnice, marketingové společnosti využívající behaviorální reklamu, společnosti zpracovávající údaje o poloze subjektu údajů, nebo společnosti provádějící průzkumy trhu. Pro úplnost dodáváme, že se tato povinnost týká také všech orgánů veřejné moci a veřejných subjektů (např. obcí, statutárních měst).

JUDr. Tomáš Havelka, LL.M.