Zpracováváte osobní údaje v souladu s GDPR? Přečtěte si, jaké jsou v praxi nejčastější příklady pochybení.

Obecné nařízení o ochraně osobních údajů, zkráceně GDPR, vzbudilo před více než šesti lety velký rozruch a diskuze. Zavedlo nejen celou řadu nových povinností ve vztahu ke zpracování osobních údajů fyzických osob, ale i hrozbu vysokých – pro mnohé společnosti až likvidačních – pokut. Většina firem tedy upravila svůj způsob práce s osobními údaji tak, aby co nejvíce odpovídal požadavkům GDPR; tím byl pro mnohé problém „vyřešen“ a přestal být tématem. Hrozba vysokých pokut se v českém prostředí zatím nepotvrdila – s výjimkou případů nejkřiklavějších porušení typu velké krádeže dat či masového spamování – a zejména menší společnosti tak zůstávají ukolébány často falešným pocitem, že mají z hlediska ochrany osobních údajů hotovo.

Když se však na nastavení zpracování osobních údajů v jednotlivých společnostech v naší advokátní praxi díváme podrobněji, typicky v případě prodeje společnosti, narážíme na překvapivé množství chyb a nedostatků, které by při kontrole byly jednoznačným problémem a potenciálním důvodem k pokutě. A nejedná se rozhodně jen o dokumenty, které za celých šest let nikdo neaktualizoval tak, aby odpovídaly aktuální praxi ve společnosti. Nejčastější příklady pochybení z naší praxe jsou tyto:

1. Informační povinnost vůči subjektům údajů

(čl. 13 a 14 GDPR)

Správce osobních údajů (typicky společnost) je povinen informovat fyzické osoby (subjekty osobních údajů) o zpracování jejich osobních údajů, a to v jakémkoli vztahu, kde k němu dochází.

Informační povinnost lze plnit buď přímo v rámci smluvní dokumentace (např. v pracovní smlouvě, kupní smlouvě, nájemní smlouvě atd.), nebo v samostatném dokumentu označovaném jako informace o zpracování osobních údajů. Bez ohledu na formu musí dokumenty obsahovat všechny stanovené náležitosti, zejména totožnost správce osobních údajů, účel zpracování a jeho právní základ nebo dobu, po jakou jsou osobní údaje zpracovávány. Tato informace musí být vždy aktuální a úplná.

Má-li společnost zřízené internetové stránky, měla by na nich mít umístěný dokument označovaný jako zásady zpracování osobních údajů nebo zásady ochrany osobních údajů. V něm popíše detaily zpracování ve společnosti a v informaci pro jednotlivé subjekty údajů pak na tyto zásady může odkázat.

Mezi častá pochybení patří zejména neposkytování informace všem subjektům údajů a neúplný, neaktuální nebo nesprávný obsah samotné informace. Dle našich zkušeností společnosti velice často neposkytují informace o zpracování osobních údajů svým zaměstnancům a statutárním orgánům nebo smluvním partnerům. V samotném informačním dokumentu pak nemívají správně určený právní základ nebo účel zpracování konkrétních osobních údajů.

2. Souhlas se zpracováním osobních údajů

(čl. 4, 6 a 7 GDPR)

Každé zpracování osobních údajů musí být založeno na jednom z právních základů (titulů) vyjmenovaných v GDPR. Souhlas subjektu údajů by měl být zvažován vždy až jako poslední alternativa, když opravdu není možné využít žádný jiný titul, jako je zákonná nebo smluvní povinnost či oprávněný zájem. Přesto v pracovních a jiných smlouvách stále často narážíme na souhlas zaměstnance či jiného subjektu údajů se zpracováním jeho osobních údajů na základě příslušné smlouvy. Takový souhlas je nejen nadbytečný a matoucí, ale i neplatný.

V případě, že je souhlas jediným možným právním základem, musí být totiž udělen v souladu s GDPR, tj. musí se jednat o svobodný, konkrétní, informovaný a jednoznačný projev vůle. Musí být mimo jiné oddělený, nikoli ukrytý v hromadě smluvního textu. Správce osobních údajů musí být schopen doložit, že subjekt údajů souhlas zákonným způsobem udělil, a zároveň musí subjektu údajů umožnit, aby jej mohl kdykoli odvolat.

3. Záznamy o činnostech zpracování

(čl. 30 GDPR)

Správci i zpracovatelé osobních údajů mají povinnost vést písemné záznamy o činnostech zpracování pro jednotlivé kategorie osobních údajů. Záznamy musí obsahovat všechny náležitosti stanovené v GDPR, především jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, lhůtu pro výmaz nebo obecný popis technických a organizačních bezpečnostních opatření.

Stejně jako informace o zpracování osobních údajů musí být i záznamy o činnostech zpracování aktuální a úplné. Přibude-li nová kategorie či způsob zpracování osobních údajů, například zavedením nového interního systému či procesu, musí k takovému zpracování být vypracován i příslušný záznam.

Kompletní absence nebo pouze částečné vedení záznamů o činnostech zpracování se řadí mezi nejčastější pochybení, s nimiž se setkáváme. Společnosti si této povinnosti buď nejsou vůbec vědomy, nebo ji vyhodnotí jako bezvýznamnou. Pro Úřad pro ochranu osobních údajů jsou však záznamy prvním dokumentem, na který by se v případě kontroly měl zaměřit a podle nějž kontrolu dále vést. Kontrola tohoto dokumentu je tedy nevyhnutelná a jeho absence či neúplnost může velmi rychle vést i k udělení případné sankce.

4. Zpracovatelské smlouvy

(čl. 28 GDPR)

Osobní údaje pro správce běžně zpracovávají jiné subjekty, tzv. zpracovatelé osobních údajů. Jedná se například o zpracovávání mezd zaměstnanců externí mzdovou účtárnou nebo dodávání různých IT řešení. V takovém případě je správce osobních údajů povinen s příslušným zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů. Jejím účelem je nastavit vzájemná práva a povinnosti mezi správcem a zpracovatelem a zajistit stejnou nebo vyšší ochranu zpracování osobních údajů zpracovatelem.

Zpracovatelské smlouvy jsou mezi společnostmi relativně rozšířené. I tak se v praxi setkáváme s případy, kdy zpracovatelská smlouva není mezi stranami vůbec uzavřená nebo její obsah neodpovídá požadavkům obsaženým v GDPR.

5. Doba zpracovávání osobních údajů

(čl. 5 a 17 GDPR)

Správce je povinen osobní údaje zpracovávat pouze v nezbytném rozsahu a bezodkladně je vymazat, když je již nepotřebuje pro účely, pro které byly shromážděny, nebo po uplynutí zákonné doby k jejich uchovávání.

Každý správce osobních údajů by si tak měl být vědom, jak dlouho může jaké osobní údaje zpracovávat a kdy musí docházet k jejich výmazu. Z praktického pohledu je vhodné doby zpracovávání osobních údajů upravit ve vnitřním předpisu, ve kterém bude zároveň stanoven i postup pro jejich výmaz.

Vypracování příslušné analýzy a z ní vyplývajícího interního nastavení dob zpracování osobních údajů a jejich následný výmaz však není mezi správci běžný. V praxi tak dochází k situacím, kdy například uplyne zákonná doba uchování údajů a k jejich dalšímu zpracování tak dochází bez příslušného právního základu.

Pro firmy v oboru tzv. internetu věcí – připojených zařízení (Internet of Things) se od září 2025 chystá nová regulace, tentokrát v oblasti ochrany „neosobních“ údajů, a to Nařízení o datech (Data Act), jehož cílem je usnadnit oběh dat.

6. Data Act

Společnosti pohybující se v oblasti internetu věcí budou v důsledku přijetí Data Actu od září 2025 muset implementovat nová opatření, aby zajistily soulad s novými pravidly.

První z nových povinností je umožnit přístup k datům z tzv. připojených zařízení. Držitelé dat (typicky výrobci zařízení či poskytovatelé souvisejících služeb) musí své připojené výrobky navrhnout takovým způsobem, aby bylo technicky možné data z takových výrobků zpřístupnit uživateli. Uživatel se může rozhodnout, že chce taková data dále předávat libovolné třetí straně, což musí držitel dat umožnit.

Druhou významnou novinkou je povinnost poskytovatelů služeb zpracování dat (např. cloudových služeb) odstranit překážky, které brání snadnému přechodu od jednoho poskytovatele k druhému. Poskytovatelé toho dosáhnou např. tím, že zajistí soulad svých systémů se společnými specifikacemi EU, informují zákazníka o dostupných postupech a metodách pro změnu poskytovatele nebo tím, že za přechod neúčtují jiné poplatky než přímo související náklady.

Pokud jde o vztah Data Actu k GDPR, Data Act dopadá na data obecně, tedy jak na údaje osobní, tak údaje „neosobní“. Zatímco GDPR dopadá primárně na ochranu osobních údajů a podmínky jejich zpracování, Data Act poskytuje rámec pro oběh dat v širším slova smyslu.

Z praktického hlediska i z Data Actu plyne povinnost informovat zákazníka/uživatele před koupí/pronájmem zařízení např. o tom, jaký typ a formát dat výrobek vytváří, zda tato data ukládá jen do zařízení, nebo na vzdálený server, případně jakým způsobem může uživatel k datům přistupovat.

Uvedené příklady ukazují, že zpracování osobních údajů vyžaduje pozornost i nyní, více než šest let po nabytí účinnosti GDPR. Správné nastavení pravidel a související dokumentace může společnostem ušetřit nejen nemalé finanční prostředky v případě kontroly ze strany Úřadu pro ochranu osobních údajů, ale i reputační rizika, která s nezákonným zpracováním osobních údajů souvisí. Oblast internetu věcí bude navíc od příštího roku podléhat nové regulaci a novým povinnostem, na které se společnosti budou muset také připravit.

EY Law advokátní kancelář, s.r.o.

Mgr. et Bc. Kateřina Suchanová

Mgr. Barbora Suchá