Někteří uživatelé sociálních sítí jsou v rozporu se zákonem už dávno, jen si to nepřipouštějí, konstatuje v rozhovoru pro Českou justici člen představenstva České advokátní komory Martin Maisner. S účinností GDPR se ale podle něj situace mění v tom smyslu, že mohou být velmi citelně postiženi pokutou. „U advokátů jde o to, aby se přizpůsobili technickým postupům GDPR, nikoliv aby osobní údaje klientů začali chránit. Povinnost mlčenlivosti se dodržuje staletí,“ uvádí Maixner.
Diskuse kolem GDPR se točí kolem toho, do jaké míry jde o zásah do existujícího právního stavu. Jedna krajní poloha tvrdí, že se vlastně nic nemění, zatímco ta druhá, že se mění prakticky všechno. Kde je pravda?
Pravda je samozřejmě někde uprostřed. Ochrana osobních údajů existuje samozřejmě i teď před účinností Obecného nařízení (GDPR), a to jednak na základě zákona o ochraně osobních údajů č. 101/2000 Sb. a v poměrně zásadním rozsahu i v NOZ – tedy novém občanském zákoníku, kde jsou člověk a jeho osobnostní práva nově definována, a to včetně práva na jméno, podobu a soukromí.
Takže Nařízení (EU) 2016/679 – Obecné nařízení o ochraně osobních údajů (GDPR) sice určitě změny přináší, nicméně řada omezení a pravidel, které si veřejnost spojuje právě s Obecným nařízením, platí již delší dobu, aniž by je veřejnost přiměřeně vnímala. Důvodem je to, že při nedodržení občanského zákoníku hrozí škůdci občanskoprávní žaloba a několikaleté řízení s nejistým výsledkem, zatímco při porušení pravidel stanovených GDPR velmi významná pokuta od Úřadu pro ochranu osobních údajů. To je v podstatě ten hlavní rozdíl a nejviditelnější novum nové právní úpravy.
Nicméně existuje i celá řada věcí, které GDPR skutečně mění – upravuje a rozšiřuje se definice osobního údaje. Za osobní údaj je tedy považováno více údajů, než v minulosti respektive za osobní údaj je považováno téměř vše, co lze propojit s konkrétním subjektem. Do kategorie osobních údajů se nově zahrnuje genetické a biometrické údaje a osobní údaje dětí.
Nově se také stanovuje, že zpracovatel bude muset ohlásit únik či ohrožení zabezpečení osobních dat nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl. Poměrně významně se posilují práva lidí dotčených zpracováním osobních údajů, a to jednak v tom, že dotčené osoby musí být o způsobu a vlastně i o samém faktu zpracování informovány a musí mít možnost se ochrany svých osobních údajů účinně domáhat.
Jaké subjekty nařízení podléhají? Rozšiřuje se jejich okruh?
GDPR nevymezuje okruh subjektů, kterých se týká, ale platí, že se dotkne každého, kdo při své práci shromažďuje nebo zpracovává osobní údaje občanů Evropské unie. Týká se všech firem, státních institucí i osob samostatně výdělečně činných (OSVČ), které evidují své zaměstnance, členy, zákazníky nebo příznivce. Toto nařízení Parlamentu a Rady EU sjednocuje právní ochranu osobních údajů ve všech členských státech.
Co to bude znamenat například pro uživatele sociálních sítí? Budou muset mít souhlas se zveřejňováním například fotografií nebo jiných identifikačních údajů o třetích osobách?
Podle mého názoru jsou někteří uživatelé sociálních sítí v rozporu se zákonem už dávno, jen si to nepřipouštějí. S účinností GDPR se ale mění situace v tom smyslu, že mohou být velmi citelně postiženi pokutou. Ochrana osobnosti, zejména v otázce ochrany podoby – tedy oprávněnosti publikace fotografií či nutnosti souhlasu subjektu údajů s uveřejněním fotografie nebo i dalších údajů, vychází principiálně z ustanovení nového občanského zákoníku – tedy že nemohou být zpracovávány bez souhlasu dotčené osoby, pokud k tomu není zákonný důvod. Pro běžného uživatele sociálních sítí samozřejmě nesvědčí žádný zákonný důvod či zákonná licence zpracování, takže absence souhlasu dotčených osob samozřejmě může znamenat problém.
Kdo si bude muset pořídit pověřence na ochranu osobních údajů?
Pověřenec pro ochranu osobních údajů (DPO) musí být jmenován, pokud zpracování provádí orgán veřejné moci s výjimkou soudů v rámci jejich pravomoci nebo hlavní činnost zpracovatele spočívá v operacích zpracování či vyžadují rozsáhlé pravidelné a systematické monitorování subjektu údajů nebo hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů. Rozhodně se tato povinnost netýká všech správců.
Jak se nařízení dotkne novinářů a médií obecně? K jakým informacím o osobách budou muset mít jejich svolení?
Obecně platí, že k jakémukoliv zpracování musí být nějaký zákonný důvod. Otázka zpravodajství patří k těm méně problematickým, protože tzv. zpravodajskou licenci nikdo nezpochybňuje. Určitě však považuji za problematické zpracování ve formě databází informací pro potřeby novinářů a redakce. Opět platí a) vždy musí být zákonný a legitimní způsob zpracování b) pokud neexistuje jiný důvod, musí být jednoznačný a odvolatelný souhlas.
Jak velký je problém, že do dne účinnosti nařízení nebude schválen příslušný prováděcí zákon?
Je a není. Obecné nařízení vstoupí do účinnosti i bez prováděcího zákona a bude aplikováno a vynucováno. Na druhé straně ocituji eurokomisařku Věru Jourovou, která jasně deklarovala, že Česká republika nevyužila možnosti, jak zmírnit drsné podmínky Obecného nařízení.
Česká advokátní komora měla k nařízení a doprovodnému zákonu řadu připomínek. Jak se je povedlo je zohlednit a existují ještě dnes nějaká sporná místa?
Vzhledem k tomu že “doprovodný” nebo “prováděcí” zákon není dosud ani schválen ani v účinnosti, nevíme, co se povedlo. Nicméně je pravda, že text, se kterým se nyní v legislativním procesu pracuje, již doznal určitých, z hlediska ČAK pozitivních změn. Určitě existují různé pohledy a výklady Obecného nařízení i na to jak se má provádět kontrola dodržování, ale ty bude muset řešit soudní rozhodovací praxe v rámci aplikace GDPR poté, co vstoupí v platnost.
Jak se GDPR odrazí na vztazích advokátů s klienty?
Především je třeba zdůraznit, že ochrana všech klientských dat je v advokacii tradičně na vysoké úrovni nejen díky GDPR, ale především povinnosti mlčenlivosti, která se přísně dodržuje již řadu staletí. Tudíž pro advokáty se jedná spíše o to, aby přizpůsobili technickým postupům GDPR, nikoliv že by osobní údaje klientů museli konečně začít chránit. Takže klient by v podstatě neměl pocítit žádné změny.
Jiná je ovšem otázka zpracování osobních údajů advokáty například pro účely přímého marketingu – tam bych byl velmi opatrný zpracovávat jakékoliv údaje bez výslovného souhlasu.
Dušan Šrámek
