Nesprávné články v dokumentech bývají důsledkem špatného pochopení GDPR či snahy nahradit „papírem“ vše. Dokumentace ale představuje důsledek nakládání s osobními údaji, nikoli jeho příčinu. Chcete-li tedy pracovat s osobními údaji správně, měli byste vědět, co a proč budete zpracovávat (jaký osobní údaj a k jakému účelu) a co vás ke zpracování osobního údaje opravňuje (právní důvod). Pokud úvahu nad tím, jaké údaje a proč potřebujete zpracovávat, hodláte nahradit souhlasy, uchylujete se k další obvyklé chybě. Souhlas je totiž mnohdy vyžadován nadbytečně, v souběhu s jinými důvody pro zpracování. A lze se setkat i s chybami při uzavírání smlouvy o zpracování osobních údajů se zpracovatelem.

Právní důvody

Správce by si měl především uvědomit, co spadá do kategorie „osobní údaj“ a co ne. Patří sem ten údaj, který může přímo nebo nepřímo identifikovat konkrétní osobu. Pracujete-li například s fotkami zaměstnance, na kterých nelze osobu ztotožnit (není připojeno jméno), bude se jednat o ochranu osobnosti dle občanského zákoníku a nikoli o osobní údaj dle GDPR. Osobním údajem není ani emailová adresa, z níž nelze identifikovat konkrétní osobu. Naopak nakládání se jménem a příjmením, datem narození či otiskem prstu již spadá do zpracování osobních údajů.

V návaznosti na to doporučujeme si vyjasnit, při jakých činnostech s osobními údaji jako správce pracujete a kdy daný osobní údaj opravdu potřebujete zpracovávat. K tomu pomůže jasné vymezení účelu zpracování osobního údaje, jakož i jeho právního důvodu. S tím souvisí též určení, zda pro zpracování opravdu potřebujete souhlas subjektu, nebo si vystačíte s jiným právním důvodem. Souhlas se jím totiž stává až v případě, kdy situaci nelze pod jiný právní důvod podřadit.

K nejčastějším právním důvodům se počítá nezbytnost pro splnění zákonné povinnosti, plnění smlouvy nebo oprávněný zájem správce či třetí osoby. Účelem zpracování se rozumí vymezení záměru, proč osobní údaj musíte zpracovávat. Pokud právní důvod představuje nezbytnost pro splnění zákonné povinnosti, je účel jasný. Stejně tak u plnění smlouvy. Když však bude právním důvodem oprávněný zájem správce, je nutné účel konkrétně vymezit – třeba při nakládání s kamerovými záznamy půjde o zajištění bezpečnosti prostor správce a osob do nich vstupujících. Správce by tedy měl vždy zpracovávat konkrétní osobní údaje k jasně vymezeném účelu a na základě jednoho z právních důvodů.

V neposlední řadě je nutné určit, které osoby budou s osobními údaji pracovat: Zda to bude pouze sám správce, jeho zaměstnanci nebo externí firma. Podle toho musí správce přijmout vhodná opatření. Rovněž nesmí zapomenout informovat subjekty údajů ohledně zpracování jejich osobních údajů, ideálně formou vypracování příslušných zásad.

Nadbytečné souhlasy

Někdy správce pracuje s osobními údaji, aniž by si to uvědomil – jako při uzavírání pracovní smlouvy se zaměstnancem, ale také v rámci výběrového řízení a následného uchovávání životopisů. O práci s osobními údaji se bude jednat i v případě nakládání s fotografií zaměstnance spojenou s jeho jménem (třeba na webu firmy). O zpracování osobních údajů se jedná rovněž u uzavírání kupní smlouvy se zákazníkem prostřednictvím e-shopu, kdy se vyžaduje přinejmenším jméno a adresa. Provozujete-li kamerový systém, záznamy z něj jsou považovány za osobní údaj, když podle nich lze identifikovat konkrétní člověk.

Jak už jsme naznačili v úvodu, udělování souhlasu bývá problematické: Správce si dostatečně nevymezí účel ani právní důvod zpracování a vyžaduje po subjektu souhlas „pro jistotu“ čili nadbytečně. A to může být až v rozporu se zákonem. Existuje-li pro zpracování údaje k danému účelu jiný právní důvod (zákon či smlouva), správce nesmí udělení souhlasu vyžadovat. Například při objednávání zboží na e-shopu by to nedávalo smysl – právním důvodem je nezbytnost pro plnění smlouvy. Nadbytečné vyžadování souhlasu by mohlo vést k porušení zásady transparentnosti – člověk by si mohl myslet, že když souhlas udělí, lze ho též kdykoliv odvolat a údaje pro daný účel už zpracovávány nebudou. Kdyby pak správce údaje nadále zpracovával s odůvodněním, že i po odvolání souhlasu ho k tomu opravňuje jiný právní důvod, mohl by být subjekt uváděn v omyl.

Jestliže jako správce souhlas ke zpracování opravdu potřebujete, nesmíte zapomenout, že kromě odvolatelnosti musí splňovat podmínku jednoznačnosti, svobodnosti a oddělitelnosti. Souhlas nebude jednoznačný, když správce nebude schopen doložit, že ho udělila konkrétní osoba. Svobodný kupříkladu nebude, kdyby byl zákazník při nákupu nucen zároveň souhlasit se zpracováním osobních údajů pro účely marketingu. A oddělitelný by nebyl souhlas spojený s jinou listinou. Naopak příkladem nutného souhlasu může být uchovávání životopisů neúspěšných uchazečů o zaměstnání. Chcete-li je uschovat i po ukončení výběrového řízení, potřebujete souhlas, nejlépe udělený předem a na jasně vymezenou dobu.

Smlouva s externí firmou

Pokud by měl s osobními údaji nakládat jiný subjekt neboli zpracovatel (typicky účetní firma), musíte s ním uzavřít příslušnou smlouvu. Vyžaduje se písemná forma a je nezbytné vymezit předmět zpracování osobních údajů, z něhož by měl být zřejmý i cíl zpracování. Předmět lze definovat třeba jako „pořizování videozáznamu lidí při vstupu do vysoce zabezpečeného zařízení“. A z takového vymezení lze snadno pochopit, že cílem zpracování bude zajištění bezpečnosti.

Dále musí být ze smlouvy určitelné, kdo je subjektem zpracovávaných údajů, jaké údaje budou zpracovávány, jak dlouho, jakým způsobem, k jakému účelu a na základě jakého právního důvodu.  Článek 28 odst. 3 GDPR potom ukládá zpracovateli povinnosti, které by měly být vymezeny i ve zmíněné smlouvě. Jedná se například o povinnost zpracovávat údaje v souladu s právními předpisy a pokyny správce. Rovněž by měla být obsažena povinnost mlčenlivosti, součinnosti a přijetí opatření na zabezpečení údajů, jakož i podmínky předání údajů do třetích zemí a podmínky zapojení dalšího zpracovatele.

Smlouva by neměla být postavena jednostranně, aby zavazovala pouze zpracovatele. Vymezené povinnosti správce by měly zahrnovat garanci, že údaje poskytnuté zpracovateli byly získány v souladu s GDPR, nebo povinnost součinnosti a informování směrem ke zpracovateli. V neposlední řadě by smlouva měla obsahovat způsob naložení s údaji po ukončení spolupráce a vymezení, kdo bude plnit informační povinnost vůči subjektům údajů podle článků 13 a 14 GDPR.

Mgr. Ing. Jaromír Škára

Absolvoval Právnickou a Ekonomicko-správní fakultu Masarykovy univerzity a už více než 15 let se věnuje advokacii se zaměřením na firemní klientelu. Rád se stává dlouhodobým partnerem společností, jimž se snaží pomáhat se stejnou péčí jako lékař svému mnohaletému pacientovi – s důrazem na prevenci vzniku problémů, otevřenost a vzájemnou důvěru. Je tvůrcem a odborným garantem služby Zákony zavčas, která slouží jako právní antivirus a překladač v jednom: monitoruje legislativní změny a srozumitelně upozorňuje klienty na vše podstatné pro jejich podnikání.