Je obecně známo, že pokuty za GPDR se mohou pohybovat v řádech milionů EUR[1]. Hovoří se o tom, že kdo nebude GDPR ready, může firmu rovnou zavřít. Kdo s implementací ještě nezačal, ten může podnikání rovnou zabalit.

Není to tak úplně pravda, protože např. čl. 32 GDPR stanoví, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. To znamená, že konkrétní bezpečnostní opatření se hodnotí ad hoc.

A tak se internetem šíří informace o tom, že je nutné šifrovat a provádět pseudonymizaci, což není ve všech případech pravda. V úvahu to přichází samozřejmě u zdravotnických zařízení, ale ne např. u všech výrobních podniků. Ty prostě a jednoduše investovat tolik nemusí. Vždyť jsme tu měli už zákon na ochranu osobních údajů a to bylo vždy údivu, když se našly výplatní pásky v popelnici a najednou je tu GDPR a představuje se jako obrovská novinka, že za porušení tohoto předpisu jsou pokuty.

U GDPR by se mělo hledět na jeho smysl a tak se dostáváme k podstatě článku s poněkud prazvláštním názvem. Článek 9 GDPR praví, že se zakazuje zpracování genetických údajů, a biometrických údajů za účelem jedinečné identifikace fyzické osoby no a z tohoto ustanovení se někdy vykládá, že i ten, kdo má evidenci velikostí pracovních oděvů zaměstnanců by měl jmenovat GPO[2] a provádět posouzení vlivu na ochranu osobních údajů.[3] Opravdu?

Dle GDPR a jeho úvodních ustanovení jsou „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje. Pokud eviduje podnikatel velikost pracovních oděvu svých padesáti zaměstnanců musím provádět posouzení vlivu na ochranu osobních údajů? Ne vždy.

Původní směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato povinnost přinášela administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto měla být tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob.

Posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

To by mělo platit zejména pro rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko, například vzhledem k jejich citlivosti.[4] Je evidence „montérek“ ve standartní firmě rizikem? Zřejmě ne.

Posouzení vlivu na ochranu osobních údajů by mělo být vypracováno i v případech, kdy se osobní údaje zpracovávají za účelem přijetí rozhodnutí o konkrétních fyzických osobách v návaznosti na jakékoliv systematické a rozsáhlé hodnocení osobních aspektů týkajících se fyzických osob na základě profilování těchto údajů nebo v návaznosti na zpracování zvláštních kategorií osobních údajů, biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních.

Mimochodem GDPR např. uvádí, že zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky. V takových případech by posouzení vlivu na ochranu osobních údajů nemělo být povinné.

Z výše uvedeného tedy plyne, že ještě předtím, než započne všeobecná hysterie, je vhodné se řádně zamyslet, jaká opatření je vhodné přijmout a zároveň zbytečně nestrašit. A taky nevymýšlet biometrické GDPR montérky.




JUDr. Jakub Dohnal, Ph.D.,
advokát


DOHNAL PERTOT SLANINA, advokátní kancelář, v.o.s.
OLOMOUC | PRAHA | HRADEC KRÁLOVÉ | LETOHRAD

Palackého 75/21
779 00  Olomouc

Prvního pluku 347/12a
186 00  Praha 8

Komenského 266/3
500 03  Hradec Králové

Václavské náměstí 76
561 51 Letohrad

Tel.:    +420 587 407 086
e-mail:    info@akdps.cz


_________________________________________________
[1] Vyjma veřejnoprávních subjektů, kde je horní hranice omezena na deset milionů korun adaptačním zákonem, který upravuje některé další náležitosti tohoto předpisu.
[2] Čl. 37 odst. 1) písm. c) GDPR - … rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1
[3] Čl. 35 odst. 3) písm. a) GDPR - Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech … rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1
[4] Úvodní ustanovení č. 93) GDPR.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz