zde se nacházíte:
Úvod > Aktuálně > GDPR v praxi

Detail news

GDPR v praxi

13.07.2018

Květen byl pro mnoho firem náročný, začalo platit Nařízení EU o ochraně osobních údajů označované jako GDPR. Přestože se firmy většinou připravovali předem, analyzovaly procesy, nastavovaly nová pravidla, oslovovaly zákazníky či obchodní partnery s žádostí o nové souhlasy se zpracováním osobních údajů, je i nadále co dolaďovat. Hrozba vysokých pokut, nastavených jednotně pro celou EU: až 10 milionů EUR nebo až do 2% celosvětového ročního obratu skupiny, je pro všechny odstrašující.

Mnoho práce měl i Úřad pro ochranu osobních údajů (ÚOOÚ), jako orgán oprávněný aplikovat GDPR u nás, jehož pracovníci trpělivě odpovídají na dotazy. Po 25.5.2018 ale UOOU zrušil svoje přímé kontakty na pracovníky a zavedl informační linky, na které lze ve vymezených časech zavolat a poradit se, viz zde.

Z konzultací s ÚOOÚ usuzujeme, že ÚOOÚ se snaží o vstřícný a rozumný výklad GDPR, což je jen dobře. ÚOOU tento „uvážlivý“ přístup, zejména „vůči menším obcím a drobným podnikatelům“ také deklaruje veřejně na svých stránkách, kde zdůrazňuje funkci konzultační a preventivní před represemi. Je ale také zřejmé, že výklad ÚOOÚ se v některých otázkách liší od výkladů příslušných orgánů v jiných členských státech EU, zejména v Německu, kde se legislativa obdobně přísná jako GDPR aplikuje již několik let. 

ÚOOU je sice podle GDPR nezávislý ve výkladu GDPR na území ČR, nicméně je součástí tzv. Evropského sboru pro ochranu osobních údajů, který byl zřízen dle GDPR a je povinen výklad GDPR slaďovat s ostatními příslušnými orgány ostatních členských států EU. Domníváme se proto, že je dobré být obezřetný a vývoj výkladu GDPR sledovat. Rozhodně je ale potřeba být obezřetný, pokud jsou data předávána do jiného členského státu EU, zejména ze začátku nelze očekávat jednotný přístup ve výkladu ve všech členských státech EU. 

Je proto dobré si uvědomit, že 25. květnem 2018, nic nekončí, naopak vše jen začíná. GDPR se začíná aplikovat v praxi, budou přijímána první soudní rozhodnutí, oficiální výklady, kodexy. Až postupem času bude jasné, jaký je ten „správný“ výklad jeho ustanovení. 

Je také potřeba si uvědomit, že při zpracovávání osobních údajů je podle GDPR potřeba především dodržet 3 hlavní zásady práce s osobními údaji, kterými jsou: minimalizace, účelnost, odůvodněnost. Zpracování osobních údajů bude vždy v rozporu s GDPR pokud k němu nebude přiřazeno řádné odůvodnění. Je potřeba si uvědomit, že z principu na dotazy ohledně zpracování osobních údajů nikdy nebude možné zcela odpovědět obecně, vždy bude potřeba zvažovat konkrétní okolnosti zpracovávání osobních údajů, konkrétní odůvodnění. 

Konkrétní příklad? 

Dostali jsme od našeho klienta tyto dotazy:

  1. Jsou naše pracovní kontakty (telefonní číslo, mailová adresa, adresa společnosti) považovány za osobní údaje, které mohou být zpracovávány jen na základě výslovného souhlasu? 
  2. Je firemní telefonní číslo, email, adresa apod. na dodavatele osobní údaj, k jehož zpracovávání potřebujme zvláštní souhlas? údaj o dodavateli, ale jeho firemní identifikace? 
  3. Můžeme sdělovat/předávat kontakt na kolegu (telefonní číslo služebního mobilu, mailová adresa pracovní …) třetí straně? 
  4. Na dokumentech jako jsou technické specifikace výrobků apod. (ve formě písemní i elektronické) jsou uvedeny kompletní údaje o dodavateli (název, adresa, kontakt telefonní i mailový), můžeme tyto předávat dál třetím stranám nebo se jedná o porušení GDPR?

Telefonická konzultace s ÚOOÚ byla poměrně jednoduchá: Jedná se o zpracovávání osobních údajů na základě smluvního vztahu, resp. pracovního vztahu – je to plnění smlouvy, plnění pracovních povinností, zvláštního souhlasu ke zpracování tohoto typu není potřeba. Ale již brzy na to, 29.5.2018, jen 4 dny po nabytí účinnosti GDPR, bylo publikováno celoevropsky první soudní rozhodnutí, které aplikovalo GDPR, z kterého je zřejmé, že to nebude tak jednoduché …. 

První GDPR soudní rozhodnutí vydal německý soud – Zemský soud v Bonnu - ve sporu registrátora ICANN se společností EPAG. Soud v Bonnu řekl, že ICANN při registraci internetové adresy nemůže požadovat nadbytečné kontaktní adresy na konkrétní zaměstnance, stačí kontakt na jednoho pracovníka, požadavek uvést  víc kontaktů, které mají být zveřejněny (pro rejstřík WHOIS) víc už nesplňuje zásadu minimalizace zpracování osobních údajů … Rozhodnutí sice není konečné (ICANN se odvolal k nadřízenému soudu), nicméně ilustruje, že nejen německé soudy, ale rovněž firmy působící v Německu jsou mnohem ostražitěji při zpracovávání osobních údajů než je tomu u nás.

Podívejme se teda na okolnosti soudního rozhodnutí Bonnského soudu, jehož originální znění lze najít zde.

ICANN je nezisková společnost, která koordinuje přiřazení názvů domén a zajišťuje, aby jména webových stránek nebyla v síti duplikována (tj. obdoba CZ.NIC). Prostřednictvím dohody mezi stranami je společnost EPAG pověřena společností ICANN, aby zainteresované strany (tzv. Žadatelé o registraci) přidělila registraci druhé úrovně.

Pro každý přiřazený název domény požaduje ICANN po registrátorovi, aby shromažďoval a dále zpracovával nejen jméno a kontaktní údaje na žadatele o registraci názvu domény, ale také 2 další kontaktní údaje – na technickou podporu a administrativní podporu žadatele. Podle pravidel ICANN mají být tyto 3 kontakty, tj. osobní údaje 3 fyzických osob, zveřejněny na platformě webových stránek WHOIS. Po zavedení GDPR ale EPAG namítal, že neexistuje žádný právní základ pro zpracování osobních údajů na technickou a administrativní žadatelů o registraci domény, a proto na základě GDPR informoval ICANN, že již nebude tyto osobní údaje dále zpracovávat. ICANN proto podal návrh na předběžné opatření u Zemského soudu v Bonnu, kterým požadoval, aby soud přikázal EPAG pokračovat v získávání všech 3 kontaktů na žadatele o registraci a zpřístupnit je ICANN. 

Soud v Bonnu ale ICANN nevyhověl a rozhodl, že zpracování osobních údajů na technickou podporu a administrativní podporu žadatele porušuje ustanovení článku 5 odst. 1 písm. b) a c) GDPR, který stanoví zásadu korektnosti a minimalizace. Konkrétně stanoví, že osobní údaje musí být zpracovávány ve vztahu k subjektu údajů „korektně a zákonným a transparentním způsobem“ a musí být „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“. Z tohoto důvodu soud rozhodl, že ICANN musí stačit, pokud bude v rejstříku zveřejňována pouze jediná odpovědná osoba. 

Co jsme tedy poradili klientovi na výše uvedené dotazy? 

Pracovní kontakty jsou rovněž osobní údaje, jelikož jejich prostřednictvím lze identifikovat konkrétní fyzickou osobu. Nicméně, jelikož se jedná o pracovní kontakty na zaměstnance, je potřeba si uvědomit, že zpracovávání osobních údajů zaměstnanců a jejich další využívání souvisí s pracovním poměrem zaměstnance a s plněním povinností zaměstnance vyplývajících z pracovního poměru, které zaměstnanci v příslušném rozsahu musí „snášet“. Navíc, každý zaměstnanec v rámci pracovní smlouvy podepisoval zpracovávání a další používání osobních údajů. 

Nicméně, zveřejňování osobních údajů by mohlo být nezákonné, pokud by se jednalo o neoprávněné zveřejňování pracovních kontaktů nad rámec potřebný nebo nutný nebo by se jednalo o diskriminaci zaměstnance apod. Je proto potřeba vždy posuzovat každý případ zveřejnění kontaktů na zaměstnance individuálně podle okolností a vzít v potaz nutnost nebo potřebnost zveřejnění každého osobního údaje. 

Využívání kontaktů na zaměstnance je proto samozřejmě možné a potřebné, v některých případech se bude jednat o plnění smluvních povinností, ale je dobré zvažovat konkrétní okolnosti. Pokud je to možné, resp. tam, kde je to vhodné, doporučovali bychom spíše zřídit anonymní kontaktní linky a nezveřejňovat jména konkrétních zaměstnanců.

Pokud je uvedení kontaktu na dodavatele součástí plnění smluvních povinností ze strany dodavatele, tak lze zpracovávat osobní údaje zaměstnanců dodavatele bez dalších zvláštních omezení. V ostatních případech (kdy jsou např. tito zaměstnanci dodavatele zváni na speciální marketingové akce apod.) může být vhodné požádat o výslovný souhlas se zpracováváním těchto osobních údajů (např. na prezenční listině). Vždy proto bude záležet na míře nebo způsobu, jakým jsou tyto osobní údaje využívány. 

Obecně, domníváme se, že bude potřeba k těmto otázkám vždy přistupovat s jistou mírou opatrnosti, zejména s ohledem na riziko obrovských pokut, které GDPR umožňuje ukládat. Domníváme se, že je potřeba klást především velký důraz na proškolení zaměstnanců, zejména těch na vedoucích místech, aby si uvědomovali, na základě jakých zásad se mají rozhodovat a jaké zásady dodržovat a v případě pochybností tyto otázky vždy konzultovali s odborníkem.

Mgr. Beata Sabolová LL.M., advokát

Mgr. Jaroslav Hroza, advokát a partner