Představuje nové nařízení EU o ochraně osobních údajů reálnou hrozbu pro poskytovatele sociálních služeb, nebo jde jen o uměle nafukovanou bublinu?
Jak jste byli jistě všichni ze strany nejrůznějších agentur již několikrát informováni, v květnu 2018 nabude účinnosti tzv. Nařízení GDPR, neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů). Díky tomu se to v poslední době jen hemží nabídkami nejrůznějších společností na provedení auditu stavu zabezpečení ochrany osobních údajů u poskytovatelů sociálních služeb, a nejen těch. Aby byli poskytovatelé dostatečně motivováni, součástí nabídek bývá velmi často i výčet všech sankcí, které lze za to či ono porušení obdržet. Na našich seminářích také velmi často dostáváme dotazy od poskytovatelů sociálních služeb, co to vůbec Nařízení GDPR je a jak moc se jich vlastně týká. Je tedy nové Nařízení GDPR pouhým strašákem, nebo představuje pro poskytovatele sociálních služeb reálnou hrozbu, na kterou je třeba se řádně připravit a investovat nemalé prostředky na ochranu před jeho dopady?
Tématu Nařízení GDPR se budeme určitě věnovat průběžně. Pro dnešek přinášíme stručnou úvodní informaci doplněnou několika užitečnými odkazy, kde lze hledat odpovědi na řadu otázek, které si poskytovatelé sociálních služeb kladou již dnes.
Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách velice užitečné informační dokumenty, kterými stručnou a přehlednou formou seznamuje odbornou i laickou veřejnost se základními otázkami spojenými s aplikací nového Nařízení GDPR v praxi. Rozhodně doporučujeme všem poskytovatelům sociálních služeb, aby si před tím, než začnou uvažovat o dalších svých krocích, přečetli zejména dva stěžejní dokumenty:
1) Desatero omylů o GDPR
https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=3938 Tento dokument velmi výstižně reaguje na marketingově zaměřená přehnaná prohlášení, vzbuzující někdy dojem, že v oblasti ochrany osobních údajů se dosud téměř nic neřešilo, zato od května 2018 teprve všichni uvidí! Na druhou stranu stručně a přehledně upozorňuje na skutečné změny a úskalí s nimi spojená.
2) GDPR v otázkách a odpovědích
https://www.uoou.cz/gdpr-v-nbsp-otazkach-a-nbsp-odpovedich/d-23790/p1=3938 Tento dokument pokládá a zároveň odpovídá na logicky vzniklé dotazy a nejasnosti při zavádění Nařízení GDPR do každodenní praxe.
Bude zřízení funkce pověřence pro ochranu osobních údajů pro poskytovatele sociálních služeb povinné?
Nejčastějším dotazem, který v souvislosti s nařízením GDPR dostáváme, je, zda poskytovatelé sociálních služeb budou muset povinně zřídit pozici tzv. pověřence a zda zejména u malých poskytovatelů bude moci tuto funkci vykonávat statutární orgán (např. předseda spolku, či ředitel ústavu apod.). Povinné zřízené funkce resp. jmenování tzv. pověřence pro ochranu osobních údajů upravuje článek 37 odst. 1 Nařízení GDPR v případě že,
- zpracování údajů provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí), nebo
- hlavní činnosti subjektu spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, a nebo
- hlavní činnosti subjektu spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Naplnění některé z uvedených podmínek povinného jmenování pověřence tedy závisí jednak na právním postavení (formě) poskytovatele sociálních služeb, jednak na charakteru činnosti (služeb), které zajišťuje, ve vztahu ke zpracování osobních údajů.
Je-li poskytovatel sociálních služeb sama obec resp. její organizační složka, není pochyb o tom, že je v postavení orgánu veřejné moci, a již z titulu své právní formy bude muset pověřence jmenovat.
Pokud je poskytovatel sociální služby příspěvkovou organizací, zdálo by se, že jednoznačně spadá po pojem „veřejného subjektu“. Zajímavé však je, že gestor návrhu nového zákona o zpracování osobních údajů je jiného názoru – citujeme z důvodové zprávy k návrhu připravovaného zákona.
§ 13
„Orgány veřejné moci a veřejné subjekty“ podle překladu čl. 37 odst. 1 písm. a) Obecného nařízení o ochraně osobních údajů (anglicky a public authority or body, francouzsky une autorité publique ou un organisme public, německy Behörde oder öffentlichen Stelle) lze chápat velmi široce podle logiky předpisů o přístupu k informacím jako:
- Ministerstva, další ústřední orgány státní správy, další jim podřízené úřady (cca 50)
- Obce všech kategorií (cca 6 250) a kraje (14)
- Všechny soudy (97)
- Všechny příspěvkové organizace (přes 10 000)
- Státní podniky (20) a případně další veřejné ústavy atd.
- Veřejné školy (asi 10 000)
- Veřejné nebo ozbrojené sbory (Policie, HZS, Armáda …)
- Komory (ČAK, ČLK, …).
Pojem z české ústavy „orgán veřejné moci“ je chápán jako „orgán, který autoritativně zasahuje do práv a povinností fyzických nebo právnických osob“. V praxi se tím rozumí orgány moci výkonné a soudní včetně územní a zákonem regulované profesní samosprávy, tedy zejména:
- Ministerstva, další ústřední orgány státní správy a další úřady jim podřízené (asi 50)
- Veřejné sbory, ozbrojené sbory, veřejné školy (cca 10 000),
- Kraje (14), obce (asi 6 250)
- Komory (ČAK, ČLK …)
- Soudy (vč. Ústavního) mimo soudní rozhodování – max. 97
Odpovídající recitál 97 o „veřejných subjektech“ vůbec nehovoří, uvádí jen orgány veřejné moci. Z toho lze dovodit, že veřejné subjekty se mají svou povahou orgánům veřejné moci blížit.
Smyslem článku 37(1)(a) není kontrola moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona 106/1999 Sb. a dalších předpisů o přístupu k informacím. Pokud například obec založí s.r.o. na opravu silnic, nemá zřízení pověřence pro ochranu dat v takové s.r.o. žádnou přidanou hodnotu a představuje administrativní zátěž a náklad navíc.
Smyslem ustanovení čl. 37 je lépe chránit osobní údaje v případech, kdy existuje dostatečná formální nerovnováha mezi subjektem údajů a správcem, například protože příslušný zákon, podle kterého se správce řídí, může stanovit řadu omezení práv subjektu údajů. Nad rámec orgánů veřejné moci uvedených výše tato definice dopadá i na ČNB, NKÚ, Správu hmotných rezerv, veřejného ochránce práv a další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech.
Definice naopak záměrně nedopadá např. na příspěvkové organizace či jiné pomocné instituce, protože v případech, kdy taková instituce provádí zpracování, jež vyžaduje nasazení pověřence, bude pokryta ustanoveními čl. 37 odst. 1 písm. b) nebo c) nařízení (například zdravotnická nebo pečovatelská zařízení, protože provádějí systematický monitoring subjektů údajů nebo rozsáhlé zpracování citlivých údajů). Naopak pokud takové zpracování neprovádí, ani není ve zvláštním vztahu k subjektům údajů, bylo by zavádění pověřenců zbytečnou administrativní zátěží.
ČR navíc neuplatňuje výjimku ze sankční pravomoci dozorového úřadu vůči veřejnoprávním subjektům jakéhokoli druhu, není tudíž namístě očekávat nedostatečnou úroveň ochrany osobních údajů v těch subjektech v rámci veřejnoprávní oblasti, na které povinnost zřídit pověřence nedopadne.
Shrneme-li tedy právní závěry, ke kterým gestor zákona dospěl, příspěvková organizace není z titulu svého právního postavení obecně povinna pověřence jmenovat; nutno však zkoumat, zda nenaplňuje jinou podmínku pro povinné jmenování pověřence (viz dále).
Je-li poskytovatelem sociálních služeb osoba soukromoprávního charakteru (spolky, ústavy, obecně prospěšné společnosti, náboženské společnosti, obchodní společnosti apod.), bude pro zodpovězení otázky povinného jmenování pověřence klíčové posoudit, zda je naplněna podmínka, že hlavní činnosti subjektu spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
K bližšímu vysvětlení této podmínky vydala jedno ze svých výkladových stanovisek Pracovní skupina pro ochranu osobních údajů zřízená podle článku 29 směrnice 95/46/ES („WP 29“) – viz Vodítka k pověřencům pro ochranu osobních údajů na https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463
Za „hlavní činnost“ podle čl. 37 odst. 1 písm. b) Nařízení GDPR vodítka zmiňují „klíčové operace k dosažení cílů správce nebo zpracovatele“ (hlavní činností nemocnice je poskytování zdravotní péče, při níž nutně musí být zpracovávány údaje o zdravotním stavu pacientů).
Pojem „rozsáhlosti“ podle čl. 37 odst. 1 písm. b) a c) Nařízení GDPR je pojat obecněji, kdy při jeho zkoumání nutno zohlednit zejména počet subjektů údajů, kterých se zpracování údajů týká, objem zpracovávaných údajů, dobu nebo permanenci aktivit zpracování údajů, geografický rozsah aktivit zpracování údajů apod. Mezi příklady rozsáhlosti zpracování údajů je opět zahrnut příklad zpracování osobní údajů pacientů v nemocnicích.
Za „pravidelné“ monitorování údajů je považována situace, kdy osobní údaje jsou zpracovávány v určitých intervalech po určitou dobu, opakovaně ve stanovených časech, konstantně nebo periodicky.
Konečně za „systematické“ monitorování údajů je považována situace, kdy osobní údaje jsou zpracovávány podle určitého systému, připraveně, organizovaně nebo metodicky, jako součást obecného plánu pro sběr osobních údajů nebo jako součást strategie.
Na základě rozboru definic uvedených pojmů lze dospět k obecnému závěru, že poskytovatelé sociálních služeb zpravidla naplní podmínku povinného jmenování pověřence, zejména u neanonymních služeb, kde je poskytovatel nucen získávat a uchovávat osobní údaje (včetně citlivých osobních údajů) o svých klientech.
K otázce kdo, v jakém postavení a za jakých podmínek může být pověřencem, se vrátíme v příštím článku.