EU chystá nová opatření na ochranu osobních údajů

ÚOOÚ shledává aplikační problémy i ve stávající  právní úpravě.

Po uplynutí 15 let platnosti zákona o ochraně osobních údajů se snad o povinnosti chránit osobní údaje fyzických osob není třeba zmiňovat. Za tuto dobu však došlo k vývoji ochrany osobních údajů v EU, které české právo reflektovalo v novelách zákona. Změnily se i názory Úřadu na ochranu osobních údajů (ÚOOÚ) na základě judikatury i jeho praktických zkušeností.

Novinky do oblasti ochrany osobních údajů vnášejí hlavně nové technologie, např. elektronické komunikace. Od roku 2012 EU připravuje přímo aplikovatelné nařízení, které má zejména rozšířit definici osobních údajů o elektronické identifikátory a lokalizační údaje, uložit povinnost do 24 hodin hlásit narušení ochrany osobních údajů, upravit registr subjektů, které ochranu údajů porušily, a uložit správcům a zpracovatelům splňujícím daná kritéria, aby ustavili svého inspektora ochrany osobních údajů. Neplnění povinností má být sankcionováno vysokými pokutami. Nařízení má začít platit nejdříve od roku 2017.

Lze i bez souhlasu

Z hlediska plnění povinností správců osobních údajů je důležité, že v zákonem určených případech lze zpracovávat osobní údaje i bez souhlasu subjektu údajů, byť souhlas stojí na prvním místě zákonných titulů zpracování. Správce musí být schopen souhlas doložit po celou dobu zpracování údajů. Souhlasem subjektu údajů ovšem nelze ospravedlnit zpracování osobních údajů získaných nelegálním způsobem.

Ve snaze eliminovat riziko zpracování osobních údajů bez souhlasu někteří správci vyžadují souhlas i v případě, že musí údaje zpracovávat, protože jim to ukládá zvláštní zákon. Tuto praxi ÚOOÚ považuje za odporující zákonu, protože všechny v zákoně uvedené právní tituly jsou rovnocenné.

Specifikem souhlasu je, že jde o svobodné, vědomé a informované jednostranné právní jednání, které může subjekt údajů kdykoliv odvolat. O tomto právu je správce povinen jej předem informovat s tím, zda je poskytnutí údajů povinné nebo dobrovolné a jaký důsledek bude mít neposkytnutí zvláštním zákonem požadovaných údajů.

Jak plyne ze stanoviska ÚOOÚ, žádá-li správce souhlas od subjektu tehdy, kdy zpracování ukládá zvláštní zákon, dává mu implicitně nesprávnou informaci, že i v takovém případě může souhlas odvolat. ÚOOÚ dovozuje, že správce vyžadováním souhlasu nad rámec zákona neplní pravdivě a dostatečně informační povinnost. Podle okolností případu může ÚOOÚ za nadbytečné vymáhání souhlasu a z něj vyplývající nesplnění informační povinnosti uložit opatření k nápravě nebo pokutu za přestupek, resp. správní delikt.

Podrobností k dokonalosti

Zákon ukládá správcům i zpracovatelům osobních údajů mít nastavenou bezpečnostní politiku k ochraně před neoprávněným nebo nahodilým přístupem, manipulací nebo jiným zneužitím. Nicméně, při uzavírání smluv o zpracování osobních údajů, která vyžaduje záruky o technickém a organizačním zabezpečení ochrany osobních údajů, nestačí odkázat na to, že zpracovatel má zpracovány interní předpisy nebo postupy, nebo na příslušný paragraf zákona, ale je nutné opatření k ochraně specifikovat (tvorba hesel, oprávnění k přístupu, školení personálu atd.).