Tyto povinnosti budou zároveň spojeny s mnohem přísnějšími pokutami, které nově mohou dosáhnout až 20 milionů eur nebo 4 % z celosvětového ročního obratu. Ačkoli nová úprava vstoupí plně v účinnost za dva roky, příslušné procesy a dokumenty je třeba začít přizpůsobovat již nyní.
General Data Protection Regulation
Nakládání s osobními údaji je v současnosti v EU regulováno směrnicí 95/46/ES a každý členský stát EU má svoji národní právní úpravu, která směrnici implementuje. V České republice jde o zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Po dvaceti letech fungování směrnice však začalo být víc než zjevné, že úprava obsažená ve směrnici a v zákoně na jednu stranu neposkytuje dostatečnou ochranu soukromí jednotlivců v kontextu internetu a moderních sledovacích nástrojů, na druhou stranu vytváří umělé překážky pro rozvoj digitální ekonomiky např. formou složitého předávání osobních údajů do zahraničí. Proto Evropská komise v roce 2012 představila návrh obecného nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR). Jednání o předpisu GDPR trvala téměř 4 roky a jejich výsledkem je finální text publikovaný v Úředním věštníku EU jako nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Tento text představuje nejvýznamnější změnu v oblasti ochrany soukromí a osobních údajů za dvacet let od přijetí původní směrnice a zajištění souladu s novou právní úpravou bude velkou výzvou pro řadu organizací.
Cíl nařízení
Cílem GDPR je posílit práva fyzických osob na ochranu údajů a zároveň usnadnit volný pohyb osobních údajů v rámci jednotného digitálního trhu EU. Nařízení také reaguje na požadavky nejnovější judikatury a řadu z nich zapracovává přímo do svého textu, např. právo být zapomenut. Ve snaze dosáhnout těchto cílů GDPR v mnoha ohledech nepřináší revoluční změny, dřívější šedé zóny jsou však nyní jasně postaveny mimo zákon a přibývá také mnoho podrobně vymezených povinností, zvláště pro subjekty provádějící rozsáhlá zpracování osobních údajů. Významnou změnou je skutečnost, že nová úprava je zakotvena formou nařízení, bude přímo účinná v celé EU a nebudou vznikat národní právní předpisy, které by implementovaly celý její text do právních řádů členských států. Tím bude na úrovni EU sjednocena právní úprava ochrany osobních údajů, což by mělo zjednodušit situaci pro subjekty působící ve více členských státech. Právní úpravu však bude aplikovat v každém členském státě nezávislý orgán dohledu a přes jednotnost úpravy se její výklady mohou v jednotlivých členských státech lišit. Nařízení také ponechává více než 50 dílčích otázek k úpravě samotným členským státům, určitým národním specifikům se proto při přeshraničím zpracování nevyhneme ani do budoucna.
Principy GDPR
GDPR staví na principech, jako jsou zákonnost, férovost a transparentnost, omezení účelem, minimalizace dat, přesnost, omezení uchovávání, integrita a důvěrnost, odpovědnost správce a povinnost prokazování. Tyto principy jsou z velké části převzaty z původní právní úpravy, na některé z nich je však nově kladen podstatně větší důraz. Tyto principy pak mají konkrétní reflexi v jednotlivých ustanoveních GDPR. Vymezení základních pojmů se v GDPR významně nemění. Osobními údaji jsou dle GDPR a jeho čl. 4 bodu 1 i nadále veškeré informace o identifikované nebo přímo či nepřímo identifikovatelné fyzické osobě. Definice však nově zdůrazňuje, že při posuzování, zda je osoba identifikovatelná, je třeba hledět také na lokalizační údaje a elektronické identifikátory, jako jsou síťové adresy či cookies.
Zpracováním se i nadále rozumí jakýkoli úkon nebo soubor úkonů s osobními údaji, kdy subjektem údajů je fyzická osoba, které se dané osobní údaje týkají, a správcem osoba, jež určuje účel, prostředky a podmínky zpracování, tedy většinou příslušný podnikatel.
Zpracování osobních údajů
Oproti směrnici 95/46/ES bylo upraveno vymezení souhlasu se zpracováním osobních údajů, kterým se v souladu se zásadami zákonnosti, férovosti a transparentnosti dle čl. 4 bodu 11 nově rozumí „jakýkoli svobodný, výslovný, vědomý a jednoznačný projev vůle, kterým subjekt údajů dává, a to buď prostřednictvím prohlášení, nebo jasnou kladnou akcí, své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování“. Na základě upravené definice proto nebude možné udělit souhlas se zpracováním osobních údajů mlčky, tj. například konkludentním jednáním. Souhlas také bude muset být prezentován samostatně od ostatních podmínek předkládaných danému subjektu údajů ke schválení a nebude moci být podmínkou poskytování služby, pokud pro její poskytování nebude zpracování daných údajů pro konkrétní účel nezbytné. V souladu s principem transparentnosti pak bude správce osobních údajů povinen dotčené fyzické osoby informovat o zpracování tak, aby jim byly veškeré informace jednoduše dostupné a srozumitelné a musí být při jejich poskytování užíván jednoznačný a srozumitelný jazyk. V této souvislosti bychom měli zejména vzít v potaz, že souhlasy se zpracováním osobních údajů získané před účinností GDPR budou po jeho účinnosti nadále platné jen v tom případě, kdy byly získány v souladu s jeho podmínkami.
Nezbytným krokem je proto nyní revize všech případů, ve kterých organizace spoléhají na souhlas subjektu údajů, aby bylo ověřeno, že zpřísněné podmínky nařízení jsou splněny a zda se v daném případě nelze opřít o jiný právní důvod pro zpracování.
GDPR vstoupí v plnou účinnost dva roky od svého vyhlášení, tedy 25. 5. 2018
Práva subjektu údajů
GDPR také podrobněji specifikuje práva subjektu údajů vůči správci. Nově je v čl. 17 výslovně upraveno právo na výmaz (tzv. právo být zapomenut) a společně s ním v čl. 20 nové právo na portabilitu, které umožňuje subjektu údajů požadovat vydání zpracovávaných údajů ve strukturovaném, běžně používaném a strojově čitelném formátu, za účelem přechodu k jinému poskytovateli služeb. Při výkonu práv přitom bude správce povinen vycházet subjektům údajů vstříc a výkon těchto práv usnadňovat, což v konkrétních případech může znamenat povinnost zřídit za tímto účelem zvláštní kontaktní formuláře či informační linky. Zvláště jsou pak práva subjektu údajů v čl. 22 vymezena ve vztahu k rozhodování na základě výhradně automatizovaného zpracování osobních údajů, zejména tzv. profilování. Jestliže má být rozhodování založeno výhradně na automatizovaném zpracování, tedy bez účasti lidského prvku, a má mít významný dopad na subjekt údajů, lze toto rozhodování provádět pouze s jeho výslovným souhlasem, na základě plnění smlouvy nebo v případech stanovených zákonem. I v případě splnění těchto přísných podmínek má navíc subjekt údajů právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení a na napadnutí tohoto rozhodnutí. Toto omezení může být v oblasti pojišťovnictví velmi významné např. při hodnocení bonity a rizikovosti klientů. Subjekty provádějící takové hodnocení by proto měly prověřit soulad s tímto ustanovením, aby mohly případně své procesy v tomto směru přizpůsobit. Vedle práv subjektu údajů stanoví GDPR také řadu nových povinností pro správce osobních údajů. Zcela novým institutem je pozice pověřence pro ochranu osobních údajů, zakotvená v čl. 37. Správce je povinen ji zřídit, pokud je orgánem veřejné moci, jeho hlavní aktivity zahrnují pravidelné a systematické monitorování subjektů osobních údajů ve velkém měřítku, anebo pokud jeho hlavní činnosti spočívají ve zpracovávání zvláštní kategorie osobních údajů, např. údajů o zdravotním stavu.
Vztah ke správci či zpracovateli
Co se týče vztahu ke správci či zpracovateli, může pověřenec svou činnost vykonávat jak v pracovním poměru, tak na základě smlouvy o poskytování služeb. Správce musí zajistit, aby byl pověřenec informován o všech aktivitách správce spojených se zpracováváním osobních údajů, pověřenec musí být ohledně své činnosti nezávislý, odpovídat přímo nejvyššímu vedení. Požadavky na kvalifikaci pozice pověřence pro ochranu osobních údajů jsou přitom přísné – požaduje se od něj odborná znalost práva a praxe v oblasti ochrany údajů. Dle některých statistik bude v EU díky GDPR potřeba až 30 000 takových odborníků, proto lze očekávat, že obsazení této pozice osobou splňující požadavky, bude náročné. Menší organizace proto mohou tuto pozici zajišťovat formou outsourcingu, větší organizace, které tuto pozici pověřence zřídí uvnitř své organizační struktury, pak budou muset pro pověřence zajistit dostatečnou externí podporu, aby byla zajištěna patřičná úroveň odbornosti při plnění jeho úkolů. Snížení administrativní zátěže by mělo GDPR přinést při zahájení zpracování osobních údajů. Nově správce nemusí oznamovat orgánu dozoru svůj záměr zpracovávat osobní údaje. Tato povinnost je však nahrazena povinností provést posouzení dopadů na ochranu osobních údajů v případě, kdy zpracování může představovat s ohledem na povahu, rozsah, kontext a účely zpracování vysoké riziko pro práva a svobody jednotlivce (zejména při využití nových technologií). Pokud správce v rámci posuzování zjistí, že bez příslušných opatření by zpracování představovalo pro subjekty údajů významné riziko, je zpracování povinen předběžně konzultovat s příslušným orgánem dohledu. Protože dílčí zpracování osobních údajů může být součástí řady nových produktů i propagačních kampaní, měly by velké organizace za tímto účelem nastavit standardizované procesy pro posuzování dopadů, aby tyto povinnosti mohly plnit efektivně a vyhnuly se prodlouženým lhůtám pro vyjádření dohledového orgánu, které se mohou uplatnit ve složitých případech.
Bezpečnost zpracování
GDPR také klade velký důraz na oblast bezpečnosti zpracování. Opatření k ochraně osobních údajů by měla být součástí zpracování již od fáze jeho návrhu. V případě narušení bezpečnosti osobních údajů bude správce povinen toto narušení oznámit orgánu dohledu a v závažných případech i dotčeným subjektům údajů. Příslušná bezpečnostní opatření a svůj celkový soulad s nařízením bude správce povinen důsledně dokumentovat a na požádání prokázat dohledovému orgánu. Pro účely prokázání souladu však GDPR přináší nové nástroje jako certifikace a kodexy chování, které mohou vypracovávat odborné organizace. Jednotliví správci pak mohou prokazovat svůj soulad s řadou povinností dle GDPR pomocí dodržování těchto kodexů.
Dozor nad správci a zpracovateli
Velkou změnu přináší nařízení také ohledně výkonu dozoru nad správci a zpracovateli, kteří působí ve více členských zemích zároveň, a tato změna tedy jistě dopadne také na tuzemské správce, kteří jsou dceřinými společnostmi zahraničních skupin. Podle nařízení bude nově vykonávat dozor nad zpracováváním ve všech zemích, kde správce či zpracovatel sídlí, pouze jeden orgán dohledu, a to ten z té země, kde má správce či zpracovatel hlavní provozovnu. Hlavní provozovna je přitom vnímána jako administrativní středisko. Pokud je však o účelu a prostředcích zpracování osobních údajů rozhodováno na jiném místě, bude se za hlavní provozovnu považovat právě toto místo. V případě českého správce se zahraniční mateřskou společností bude tedy Úřad pro ochranu osobních údajů vykonávat dohled pouze tehdy, bude-li tento pojistitel sám určovat účel a prostředky zpracování. Zásah českého orgánu dohledu však bude v některých urgentních případech možný i vůči zpracování řízenému ze zahraniční centrály. V tomto směru může správcům pomoci komunikace s orgány dohledu, které jednoznačně určí, kdy a jak má s orgánem dohledu komunikovat dceřiná a kdy mateřská společnost.
Časový vývoj
GDPR vstoupí v plnou účinnost dva roky od svého vyhlášení, tedy 25. 5. 2018. Jak je vidno, změn, které přináší, je mnoho, a na subjekty v oblasti pojišťovnictví vzhledem k povaze jejich činnosti i rozsahu a způsobu zpracovávání osobních údajů dopadne celá řada z nich. Jisté je, že subjekty na pojistném trhu budou muset upravit způsob, jakým získávají souhlas subjektů údajů se zpracováváním, budou muset často provádět posuzování dopadu ochrany osobních údajů, začít vést dokumentaci zpracování s patřičnými náležitostmi a mnohdy na ně dopadne také povinnost zřídit pozici pověřence ochrany osobních údajů. Předně však budou pojistitelé muset vypracovat detailní analýzu své činnosti ve světle nového nařízení a určit, které konkrétní povinnosti na ně dopadají. Následně budou muset upravit své vnitřní i klientské procesy a aktualizovat nejrůznější dokumenty, jako jsou například vzory smluv, politiky ochrany osobních údajů, souhlasy se zpracováním apod. U větších organizací tato opatření mohou nabýt podobu vytvoření komplexního programu pro ochranu soukromí. Implementace těchto opatření přitom může být v závislosti na velikost pojistitele časově náročná. Dva roky jsou v tomto kontextu poměrně krátká doba, a proto je třeba s přípravami začít co možná nejdříve.
Více se dočtete v novém čísle Pojistného obzoru zde.
Mgr. Michal Nulíček
LL.M. / ROWAN LEGAL
Komentáře
Přidat komentář