GDPR

Ochrana osobních údajů (GDPR)

OCHRANA OSOBNÍCH ÚDAJŮ PODLE NOVÉHO NAŘÍZENÍ EU (GDPR NAŘÍZENÍ)

V loňském roce bylo přijato Nařízení Evropského parlamentu a Rady 2016/679 (ze dne 27. 4. 2016) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Cílem je zajistit jednotný režim pravidel ochrany osobních údajů dohledu a sankcí v celé EU. Toto Nařízení bude přímo aplikovatelné v členských státech EU od 25. května 2018 a dotkne se v nějaké míře prakticky všech podnikatelských subjektů, tedy i daňových poradců a také jejich klientů.

Nařízení přináší vyšší ochranu práv nositelů osobních údajů na jedné straně (především díky rozšíření povinnosti povinných subjektů je informovat) a tomu odpovídající zvýšenou administrativní zátěž pro jejich zpracovatele.

Nová právní regulace ochrany osobních údajů reaguje především na rychlý technologický rozvoj, digitalizaci ekonomiky a globalizaci a mj. uvádí, že „zpracování osobních údajů by mělo sloužit lidem" a že právo na ochranu osobních údajů není právo absolutní. Přestože Nařízení má více sjednotit evropskou úpravu ochrany osobních údajů a jejich pohybu (což se zatím moc nedařilo, přestože zrušená směrnice 95/46/ES se o to snažila také), národní státy mohou určitá pravidla tohoto nařízení upřesnit nebo omezit, pokud to Nařízení výslovně stanoví. Vnitrostátní předpis by pak měl některá pravidla Nařízení také konkretizovat a návrh nového zákona o zpracování osobních údajů předložený Ministerstvem vnitra je momentálně v legislativním procesu ve fázi připomínkového řízení.

Jak jsou nastaveny základní parametry nové právní úpravy ochrany osobních údajů?

• Právních titulů k nakládání s osobními údaji zůstává nadále 6 (souhlas, plnění smlouvy, plnění právní povinnosti, životně důležité zájmy subjektu, oprávněné zájmy správce, veřejný zájem)
• Nařízení rozeznává
• správce dat – osoba, která určuje účel a způsob zpracování dat a
• zpracovatele dat – osoba, která zpracovává osobní údaje jménem správce – většinou poskytovatel služby (mzdová agenda, IT cloudy....)
• Osobním údajem jakákoliv informace vztahující se k identifikované nebo identifikovatelné fyzické osobě, nikde však nenalezneme výčet těchto informací
• Osobní identita – vše, co fyzickou osobu odlišuje od ostatních subjektů
• Citlivé osobní údaje – speciální kategorie osobních údajů, které Nařízení chrání zvýšeně (např. informace o zdravotním stavu, ale také osobní údaje dítěte
• Zpracováním údajů se rozumí i pouhé nahlédnutí do osobních údajů (např. při dálkovém zpracování dat)
• Právo subjektu na přístup k osobním údajům je právem absolutním a obsahuje právo na informace, kdo je příjemcem dat, jaké kategorie údajů jsou o něm zpracovány, kde jsou zpracovány a jak dlouho

Nařízení přejímá některá ustanovení nebo definice původní Směrnice, např. definice správců a zpracovatelů osobních dat, ale subjektům ukládá nově některé další povinnosti. Správci osobních dat nebudou mít již povinnost oznamovat zpracování dat dozorovému orgánu jako dosud (a povinnost platila až na zákonné výjimky na každé zpracování), ale nově jen u rizikových zpracování z hlediska práv a svobod subjektů údajů, budou mít povinnost posoudit dopad takových zpracování na ochranu osobních údajů, čímž je myšlen systematický popis zamýšleného zpracování s vyhodnocením z hlediska práv a svobod osob, o kterých data zpracovává, dále provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Seznam zpracování, na která se vztahují povinnosti provést posouzení dopadu, by měly vypracovat dozorové orgány v členských zemích a oznámit je nově zřízenému evropskému úřadu (Evropská rada pro ochranu dat). Správce dat pak má v určitých případech i povinnost dopředu konzultovat tento seznam rizikových zpracování s dozorovým orgánem. Dohled nad plněním povinností Nařízení je svěřen Úřadu na ochranu osobních údajů.

Dále má správce nebo zpracovatel povinnost vést záznamy o všech zpracování údajů a na výzvu je předložit dozorovému orgánu.

Celá právní úprava ochrany osobních údajů se týká jen údajů fyzických osob, kterým přiznává vedle práva na přístup k údajům, právo na opravu osobních údajů, právo vznést námitku a právo na výmaz, které je nyní rozšířeno ještě o tzv. právo být zapomenut. A anonymizace dat v takovém případě musí být nastavena tak, aby byla nevratná. Z pohledu poradců bude významným právem jejich klientů právo na přenositelnost osobních údajů k jinému správci, přičemž formát dat je daný Úřadem na ochranu osobních údajů.

Významnou povinností, která přinese zvýšené náklady některým povinným osobám, je povinnost jmenovat tzv. inspektora (pověřence) ochrany osobních údajů, což by měl být odborník v oblasti právních předpisů a postupů týkajících se ochrany osobních údajů, může se jednat o zaměstnance povinného subjektu i externího dodavatele, žádné zvláštní kvalifikační předpoklady pro pověřence stanoveny nejsou, předpokládá se však jeho určitá nezávislost v této pozici. Tato povinnost je stanovena bez výjimky pro orgány veřejné moci a veřejné subjekty, dále správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu anebo účelu vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů. Vnitrostátní zákon ale může okruh těchto povinných osob rozšířit nad rámec Nařízení. Podle expertů na tuto problematiku by měl mít tohoto pověřence subjekty zpracovávající účetnictví, zejména pokud zpracovávají i mzdovou agendu, podobně tomu tedy může být i u daňových poradců a daňově poradenských společností.

Co by nyní měl každý subjekt, který zpracovává osobní údaje, učinit k naplnění povinností nové právní úpravy?

Lze doporučit provést nejprve audit nastavených vnitřních procesů pro zpracování osobních údajů a vyhodnotit potřeby změn v těchto procesech. Dále je pak vhodné nastavit nová pravidla a to jak v podobě technických opatření (software,...), tak i v oblasti personální agendy. Nutné je zajistit bezpečnost zpracování údajů a přijmout opatření pro případ porušení bezpečnosti. Zároveň lze doporučit zrevidovat smlouvy se zpracovateli dat.

Nařízení samozřejmě obsahuje i vysoké sankce za porušení povinností, které jsou stanoveny nejen pevnou (maximální) částkou (20 mil. Eur), ale také procentem z ročního obratu společnosti (až 4%). Fyzické osoby, které se budou cítit poškozeny porušením povinnosti při nakládání s jejich osobních údajů, ale mohou využít i cestu soukromoprávních žalob s požadavkem na náhradu škody. Nicméně porušení povinností v souvislosti s ochranou údajů může mít dokonce i trestněprávní následky.

Protože v praxi dochází nejčastěji k únikům dat všeobecně přes zaměstnance, měla by být celá nová úprava ochrany osobních údajů podnětem a impulsem k dokonalejší ochraně nejen osobních dat, ale také obchodního tajemství u všech subjektů, na které tyto povinnosti dopadají.

K této problematice byla zřízena i speciální webová stránka www.gdpr.cz, kde naleznete nejen podrobnější informace, ale zejména nejčastější dotazy a odpovědi. Komora bude nadále monitorovat a zjišťovat dopady nového Nařízení EU a navrhovaného zákona o zpracování osobních údajů na daňové poradce a daňově poradenské společnosti a průběžně je zveřejňovat daňovým poradcům ve zvláštní záložce na webu.

Naše společnost je dle článku 28 Zpracovatelem údajů na základě právního základu (zákonný důvod). S našimi klienty máme uzavřené potřebné smlouvy, vedeme pomocí metodické příručky záznamy o zpracování dat a neustále sledujeme dění okolo GDPR. Aktivně jsme se také zúčastnili školení Mgr. Škorničkové.