GDPR a Pověřenec pro ochranu osobních údajů JUDr. Jakub Morávek, Ph.D.
Principiální základ Tvůrci naší Ústavy na sebe vzali odpovědnost vytvořit příznivé podmínky pro usilování o štěstí (...) Přiznali právo (proti státu) být ponechán sám sobě což je nejkomplexnější či nejobsažnější právo ze všech a zároveň i právo, které je nejvzácnější civilizovanému lidstvu. Louis Dembitz Brandeis
Právo na informační sebeurčení zcela zvláštní respekt a ochranu požívá v liberálních demokratických státech základní právo na nerušený soukromý život osoby (čl. 10 odst. 2 Listiny). Primární funkcí práva na respekt k soukromému životu je zajistit prostor pro rozvoj a seberealizaci individuální osobnosti. Vedle tradičního vymezení soukromí v jeho prostorové dimenzi (ochrana obydlí v širším slova smyslu) a v souvislosti s autonomní existencí a veřejnou mocí nerušenou tvorbou sociálních vztahů (v manželství, v rodině, ve společnosti), právo na respekt k soukromému životu zahrnuje i garanci sebeurčení ve smyslu zásadního rozhodování jednotlivce o sobě samém. Jinými slovy, právo na soukromí garantuje rovněž právo jednotlivce rozhodnout podle vlastního uvážení zda, popř. v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům.
Obecné nařízení Nařízení EP a Rady 2016/679 Smysl a účel právní úpravy ochrana osobních údajů a soukromí volný pohyb osobních údajů přes hranice států jednotná aplikace jednotné trestání zásada odpovědnosti moderní technologie ochrana práv dětí zejména v prostředí moderních technologií zdůraznění práv subjektů údajů právo na informační sebeurčení
Právní rámec ochrany osobních údajů
Právní rámec OSN Všeobecná deklarace lidských práv Pakt o občanských, politických a kulturních právech OECD Doporučení pro ochranu soukromí a toky osobních údajů přes hranice 1980 Rada Evropy Úmluva o ochraně lidských práva základních svobod Úmluva Rady Evropy o ochraně osob se zřetelem k automatizovanému zpracování osobních údajů (1981)
Evropská unie Smlouva o fungování EU Charta základních práv EU Směrnice EU Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000, o určitých aspektech služeb informační společnosti, zejména elektronického obchodního styku v rámci vnitřního trhu Obecné nařízení o ochraně osobních údajů
Listina základních práv EU Čl. 8 (1) Každý má právo na ochranu osobních údajů, které se ho týkají. (2) Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. (3) Na dodržování těchto pravidel dohlíží nezávislý orgán
Právní řád ČR Ústavní pořádek čl. 7 odst. 1, čl. 10, čl. 13 Listiny základních práv a svobod čl. 11, čl. 17 Listiny základních práv a svobod Právní předpisy na úrovni zákona - zákon č. 89/2012 Sb., občanský zákoník - zákon č. 101/2000 Sb., o ochraně osobních údajů - zvláštní předpisy (např. zákon č. 372/2011 Sb., zákon č. 373/2011 Sb., zákon č. 262/2006 Sb.)
Nový právní rámec Ústavní pořádek České republiky Obecné nařízení o ochraně osobních údajů Zákon o zpracování osobních údajů Občanský zákoník a zvláštní právní předpisy
Právní rámec Judikatura Soudní dvůr EU Evropský soud pro lidská práva Ústavní soud České republiky Nejvyšší správní soud České republiky Městský soud v Praze Nejvyšší soud České republiky Stanoviska a doporučení Úřad pro ochranu osobních údajů Stanovisko WP 29 Evropský sbor pro ochranu osobních údajů Z rozhodovací praxe ÚOOÚ
Aktuální výkladová stanoviska WP 242 právo na přenositelnost údajů WP 243 k pověřencům pro ochranu osobních údajů WP 244 k určování vedoucího dozorového úřadu pro správce a zpracovatele WP 248 k posouzení vlivu na ochranu osobních údajů WP 249 ochrana osobních údajů v souvislosti se zaměstnáním WP 250 k oznamování bezpečnostních incidentů WP 251 k automatizovanému rozhodování a profilování WP 252 ke zpracování osobních údajů v souvislosti s kooperativními inteligentními dopravními systémy WP 253 k ukládání správních sankcí WP 254 zásady zpracování update WP12 WP 256 a WP 257 zásady BCR WP 259 souhlas se zpracováním osobních údajů WP 260 zásada transparentnosti
Působnost právní úpravy
Působnost Věcná (čl. 2) Osobní Místní (čl. 3) nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo s monitorováním jejich chování, pokud k němu dochází v rámci Unie.
Působnost právní úpravy Osobní působnost ÚS - Pl. ÚS 38/02 právnické osoby a fyzické osoby podnikající NSS 6 A 83/2001 Věcná působnost NSS - 1 As 113/2012 osobní potřeba SDEU C-212/13 osobní potřeba NSS - 9 Aps 5/2012 nahodilé zpracování NSS 1 As 13/2011 na advokáty MS Praha 6 Ca 227/2008 výjimka z působnosti
Základní pojmosloví Osobní údaj Správce osobních údajů Zpracovatel osobních údajů Zpracování osobních údajů
Vztah správce a zpracovatele Vztah správce zpracovatel (čl. 24 an.) společní správci osobních údajů (čl. 26) řetězení zpracovatelů (čl. 28/2 4)
Základní pojmosloví Fyzické osoby podnikající ÚOOÚ 3/2011 Ochrana osobních údajů podnikajících fyzických osob Právnické osoby WP 29 č. 4/2007 K pojmu osobní údaj Zemřelé osoby ÚOOÚ 4/2012 Zpracování osobních údajů zemřelých osob
Základní pojmosloví WP 29-1/2010 k pojmům správce a zpracovatel ÚOOÚ - č. 1/2009 Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů) WP 29 - č. 4/2004 Ke zpracování osobních údajů prostředky kamerového sledování ÚOOÚ - č. 4/2013 K pojetí zpracování osobních údajů
Základní pojmosloví ÚOOÚ - 2/2008 Souhlas se zpracováním osobních údajů. ÚOOÚ - 2/2011 Zpracování osobních údajů na základě souhlasu ve smlouvě nebo Všeobecných obchodních podmínkách a s tím související problémy. ÚOOÚ - 3/2014 K nadbytečnosti vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti ÚOOÚ - 5/2012 Poskytování informací a získání souhlasu subjektu údajů v elektronické komunikaci WP 29-15/2011 K definici souhlasu WP 29-2/2013 K získání souhlasu pro soubory cookies WP 29-4/2012 K výjimce z požadavku na souhlas s cookies
Základní rámec zpracování a typová zpracování osobních údajů
Typová zpracování Obligatorní zpracování osobních údajů Fakultativní zpracování osobních údajů Fakultativní, právními předpisy předurčené zpracování osobních údajů
Obecné schéma zpracování účel, prostředky a způsob zpracování právní důvod zpracování osobních údajů (čl. 6 a 9) minimalizace zásahu do soukromí účelové omezení (čl. 5/1/b) údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu (čl. 5/1/c); zpracovávat pouze přesné osobní údaje z hlediska účelu zpracování (čl. 5/1/d) uchovávat pouze po nezbytnou dobu (čl. 5/1/e) zpracovávat údaje transparentně (čl. 5/1/a a čl. 12 an.), včetně informační povinnosti zabezpečení čl. 32 (posouzení vlivu a předchozí konzultace čl. 35-6) práva subjektu údajů a jejich realizace (právo na přístup, kopii, výmaz)
Právní titul ke zpracování Právní tituly ke zpracování (čl. 6 a 9) Souhlas (čl. 4/11, čl. 7 8) svobodný, konkrétní, informovaný a jednoznačný (výslovný) srozumitelnost, snadná přístupnost, jednoduché jazykové prostředky jasná odlišitelnost nepodmíněnost odvolatelnost souhlas dítěte a služby informační společnosti
Práva subjektu údajů Informační povinnost/právo na informace (čl. 12 an.) Právo na přístup k osobním údajům (čl. 15) Právo na opravu a výmaz, právo být zapomenut atp. Právo na přenositelnost údajů (čl. 20) Automatizované rozhodnutí (čl. 21 22)
Zabezpečení zpracování Záměrná a standardní ochrana (čl. 25) Zabezpečení zpracování (čl. 32) Oznámení bezpečnostního incidentu (čl. 33-34)
Posouzení vlivu na ochranu os. údajů Pojmové vymezení Podmínky vzniku povinnosti Forma a způsob posouzení Účast pověřence Konzultace s ÚOOÚ
Oznámení porušení zabezpečení Pojmové vymezení Podmínky pro vznik povinnosti Forma a způsob oznámení porušení zabezpečení Možné negativní důsledky
Pověřenec pro ochranu os. údajů Ustanovení pověřence Úkoly pověřence Předpoklady pro výkon funkce Postavení, odpovědnost a další aspekty
Další aspekty Záznamy o činnostech zpracování (čl. 30)
Předávání osobních údajů do třetích zemí
Předávání osobních údajů Rozhodnutí o odpovídající ochraně (čl. 45) Vhodné záruky (čl. 46) Závazná podniková pravidla (čl. 47) Výjimky (čl. 49)
Další aspekty
Vybrané instituty, pojmy a povinnosti Skupina podniků (čl. 4/19) Změna účelu zpracování (čl. 13, 14) Pravomoci ÚOOÚ (čl. 58) Právo na informace, přístup a kopii (čl. 12 15) Kodexy chování (čl. 40), osvědčení, pečeti a známky (čl. 42)
Některé problematické aspekty Ohlašování porušení zabezpečení DPA (čl. 33) jakékoli bez zbytečného odkladu (pokud možno do 72 hodin) oznámit DPA, ledaže je nepravděpodobné riziko pro práv a svobody ÚS ČR - III. ÚS 528/06 nemo tenetur se ipsum accusare, nemo tenetur se ipsum prodere -,nikdo není povinen sám sebe obviňovat Nikdo není povinen přispět aktivním způsobem, přímo či nepřímo, k vlastnímu odsouzení. US ČR - I. ÚS 402/05 Zákaz donucování k poskytnutí důkazů proti sobě samému nelze zužovat na případy získávání důkazů, které mají za nedostatku jiných důkazů potvrdit či vyvrátit spáchání trestného činu, ale samozřejmě se týká i případů, kdy má být upřesněna výše způsobené škody či mají být získány takové důkazy
Některé problematické aspekty Maximální výše sankce právní jistota Výše sankce pro orgány veřejné a moci a veřejné subjekty (čl. 83 odst. 7) Přímý marketing jako oprávněný zájem správce (recitál č.47)
JUDr. Jakub Morávek, Ph.D. jakub.moravek@akf.cz Felix a spol. advokátní kancelář, s.r.o. U Nikolajky 5 150 00 Praha 5 tel: +420 251 081 111 www.akf.cz