Poradna k GDPR

Advokátní kancelář KPMG Legal připravila ve spolupráci s Asociací pro kapitálový trh České republiky pro členy asociace bezplatnou poradnu zaměřenou na GDPR. Pokud máte dotaz, ptejte se prostřednictvím formuláře.

Kontaktní formulář

Archiv dotazů

Odpovědi na dotazy na této internetové stránce jsou obecné povahy a nepředstavují právní analýzu či řešení konkrétních případů. Obecné nařízení o ochraně osobních údajů (GDPR) je novým právním předpisem a v současné době k němu neexistují závazná výkladová stanoviska, soudní rozhodnutí apod. Z tohoto důvodu se závěry obsažené v odpovědích mohou v čase měnit. Nikdo by se neměl spoléhat na tyto informace a jednat pouze na jejich základě. Pro správnou aplikaci GDPR na konkrétní případ je zapotřebí získat odbornou právní radu po důkladném přezkoumání specifik konkrétního případu

Dobrý den, zjistili jsme na školení, že se na nás bude vztahovat povinnost jmenovat pověřence pro ochranu osobních údajů. Jsme velká společnost a nakládáme s obrovským množstvím údajů. Musíme pověřence zaměstnat, nebo nám bude stačit uzavřít smlouvu s některou ze společností nabízejících tyto služby?

Jak správně uvádíte, pověřenec pro ochranu osobních údajů může být jak zaměstnancem správce či zpracovatele osobních údajů (interní řešení), nebo může své úkoly plnit na základě smlouvy o poskytování služeb (externí řešení). Každé z uvedených řešení má přitom své výhody a nevýhody, proto je nutné každou z variant posuzovat vždy ve vztahu k situaci konkrétního správce. V případě správce velkého objemu osobních údajů, jak naznačujete ve Vašem dotazu, se zpravidla přikláníme s ohledem na požadavky GDPR spíše k internímu řešení. Toto řešení u velkých společností doporučují na odborných fórech též zástupci Úřadu pro ochranu osobních údajů. Důvod je zejména ten, že pověřenec pro ochranu osobních údajů by měl dobře znát interní procesy ve společnosti, protože jen tak je dokáže správně kontrolovat a poskytovat správci efektivní poradenství. V případě velké společnosti zpravidla externí subjekt nebude mít takovou znalost těchto procesů.

Zodpověděla: Iva Baranová, KPMG Legal (1. 3. 2018)

Jak poznáme, kdy musíme provést posouzení vlivu na ochranu osobních údajů?

Jednoduchá odpověď bohužel neexistuje. Správce musí posouzení vlivu zpracovat v případě, je-li pravděpodobné, že určité zpracování osobních údajů bude s přihlédnutím k jeho povaze, rozsahu, kontextu a účelům mít za následek vysoké riziko pro práva a svobody fyzických osob. Neobejdeme se tedy bez interpretace této podmínky, která obsahuje neurčité právní pojmy. Doporučujeme obrátit se na odborníka, nebo pokusit se odpovědět si za pomoci pokynů WP29 (pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“ pro účely nařízení 2016/679, přijaté v aktualizovaném znění dne 4. října 2017) a pracovního materiálu Úřadu pro ochranu osobních údajů k povinnosti provádět posouzení vlivu na ochranu osobních údajů. Tento materiál je v tuto chvíli k veřejné diskuzi dostupný na webových stránkách úřadu.

Zodpověděl: Filip Horák, KPMG Legal (26. 1. 2018)

Dobrý den, mám problém rozhodnout, se kterým naším partnerem musíme sepsat Smlouvu o zpracování osobních údajů. Tuto smlouvu musíme uzavřít s dodavatelem na jazykovou výuku, se smluvním lékařem, s pojišťovnou, u které pojišťujeme zaměstnance na zahraniční služební cesty, s poskytovatelem benefitů, s firmou, u které naši zaměstnanci dělají školení řidičů? Předem děkuji za odpověď.

Uzavření písemné smlouvy o zpracování osobních údajů není nutné se všemi obchodními partnery, ale pouze s tzv. zpracovateli osobních údajů. Zpracovatelem se stejně jako nyní rozumí subjekt, který zpracovává osobní údaje pro Vás jako pro správce, a to na základě Vašich pokynů. Již dle současné právní úpravy je nezbytné uzavřít tuto smlouvu v písemné formě, GDPR však stanoví v čl. 28 odst. 3 některé konkrétní náležitosti této smlouvy. Proto doporučujeme podrobit revizi také aktuálně uzavřené smlouvy o zpracování osobních údajů, které nemusí být samostatným právním dokumentem, ale součástí jiné smlouvy, která např. vymezuje primárně obchodní stránku spolupráce. Správné posouzení role správce – zpracovatel vždy záleží na konkrétním obsahu právního vztahu, nicméně pokud bude naplněna výše uvedená definice zpracovatele, bude v případě Vámi uvedených subjektů nutné uzavřít smlouvy o zpracování osobních údajů.

Zodpověděl: Filip Horák, KPMG Legal (4. 12. 2017)

Můžeme jako povinná osoba podle zákona proti praní špinavých peněz pořizovat při uzavírání smlouvy kopie občanských průkazů bez souhlasu klienta?

Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (AMLZ) stanoví povinnost provést v určitých případech identifikaci a případně též kontrolu klienta, a zdokumentovat provedení těchto úkonů. Klientům pak AMLZ ukládá, že musí údaje, které jsou k provedení identifikace nezbytné, povinné osobě poskytnout, a to včetně předložení příslušných dokladů (zpravidla právě občanského průkazu nebo cestovního dokladu). Zároveň AMLZ stanoví, že povinná osoba může pro účely uvedeného zákona pořizovat kopie nebo výpisy z předložených dokladů a zpracovávat takto získané informace k naplnění účelu uvedeného zákona.

Vzhledem k formulaci „může“ nyní existují dva různé výklady. „Liberálnější“ část odborné veřejnosti je toho názoru, že lze pro takové zpracování (kopie občanských průkazů pro dané účely) využít titul plnění právní povinnosti (a tedy není souhlas klienta nutný), protože povinná osoba má povinnost identifikaci klienta provést a výsledek zaznamenat, a je současně ze zákona při plnění této povinnosti oprávněna vyhotovit kopii daného dokladu. Druhým názorem však je, že formulace „může“ jednoznačně nestanoví právní povinnost pořídit kopii daného dokladu, a tedy, že povinnost identifikace klienta lze splnit též pouhým předložením občanského průkazu a opsáním potřebných údajů. Podle tohoto názoru je tak nutné pro pořízení případné kopie občanského průkazu získat od klientů souhlasy (jelikož titul plnění právní povinnosti není, co se kopírování týká, naplněn). Jsme si vědomi toho, že v tomto aspektu je i tržní praxe rozdílná a podobnou měrou jsou zastoupeny a aplikovány oba přístupy.

Zodpověděla: Iva Baranová, KPMG Legal (1. 12. 2017)

Je údaj o invaliditě citlivým osobním údajem o zdravotním stavu?

Mezi citlivé údaje o zdravotním stavu řadíme dle GDPR veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů, včetně jakýchkoliv informací například o nemoci či postižení. Údaj o invaliditě je za této situace údajem nepřímo identifikující zdravotní stav. Správní praxe napříč Evropskou unii se však ohledně nepřímé identifikace citlivého údaje liší, v různých zemích je přistupováno různě extenzivně k výkladu toho, kdy nepřímá identifikace už sama o sobě je citlivým osobním údajem a kdy ještě nikoliv.

Komentář k v současnosti účinnému českému zákonu č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, se k příliš extenzivnímu výkladu nepřiklání. S ohledem na to se spíše kloníme k názoru, že v českém právním prostředí samotný údaj o invaliditě citlivým osobním údajem ještě není. Nemůžeme však vyloučit, že Úřad pro ochranu osobních údajů ve své dozorové činnosti dojde k odlišnému názoru, byť jeho dosavadní vyjádření tomu příliš nenasvědčují. Doporučujeme proto průběžně sledovat interpretační vývoj v této věci.

Zodpověděl: Filip Horák, KPMG Legal (15. 11. 2017)

Jak je to s odpovědností jednotlivých společností v naší skupině (koncernu), pokud budou některé činnosti v oblasti ochrany osobních údajů vykonávány centrálně? Budou jednotlivé společnosti ve skupině odpovídat za ochranu osobních údajů a soulad s GDPR stále samostatně?

Bez ohledu na centralizaci či vnitřní rozdělení kompetencí v rámci skupiny, jednotlivé subjekty budou vždy odpovídat podle toho, jak bude vyhodnoceno jejich postavení dle GDPR, tj. zda se bude jednat o správce, zpracovatele, příp. společné správce. Jakékoliv vnitřní rozdělení rolí v rámci skupiny nebude mít dopad na takto stanovenou odpovědnost, jakožto záležitost práva veřejného.
 Soukromoprávně však lze upravit v rámci skupiny odpovědnost jednotlivých společností, např. pomocí tzv. indemnit (slibu odškodnění) apod. Odpovědnost za správní delikty vůči dozorovým orgánům (Úřadu pro ochranu osobních údajů) nebo odpovědnost k náhradě škody vůči třetím stranám včetně klientů jako subjektů údajů však takovou dohodou zůstane nedotčena.

Zodpověděla: Iva Baranová, KPMG Legal (16. 10. 2017)

Pokud získáme souhlas se zpracováním osobních údajů pro marketingové účely, můžeme používat jakékoliv osobní údaje, které jsme v minulosti k osobě získali a také které v budoucnu k osobě získáme?

Rozsah zpracování osobních údajů pro marketingové účely, resp. rozsah kategorií dotčených osobních údajů, by měl být vymezen v informační povinnosti vůči subjektům údajů, aby byl udělovaný souhlas dostatečně informovaný. Obecně platí, že nelze použít dříve shromážděné osobní údaje pro jiný účel, než bylo dohodnuto. Pokud však bude souhlas vymezen takto široce, tj. že se vztahuje též na veškeré osobní údaje shromážděné o subjektu v minulosti (pro jiné účely), a subjekt údajů takový souhlas udělí, pak je takové zpracování možné (samozřejmě při dodržení principu minimalizace zpracovávaných osobních údajů, tedy zpracování jen nezbytně nutných osobních údajů k danému účelu).

Zodpověděla: Iva Baranová, KPMG Legal (11. 10. 2017)

Můžeme používat pro získání souhlasu se zpracováním osobních údajů prostřednictvím internetu předzaškrtnutá políčka (tzv. checkboxy)?

GDPR jednoznačně v recitálu č. 32 výslovně stanoví, že mlčení, předem zaškrtnutá políčka nebo nečinnost nelze považovat za souhlas. Předzaškrtnutý checkbox tedy dle našeho názoru nebude možné považovat za platně udělený souhlas se zpracováním osobních údajů. Nutné bude aktivní zaškrtnutí příslušného políčka subjektem údajů.

Zodpověděl: Filip Horák, KPMG Legal (6. 10. 2017)

Partnerem poradny k GDPR je
Asociace pro kapitálový trh
České republiky
(AKAT)
logo

Kontakty

Iva Baranová
Filip Horák