GDPR praktický průvodce pro účetní

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR“) vstoupilo v platnost dne 25. května 2018. Od té doby se objevilo obrovské množství publikací, článků, seminářů a pojednání, které se touto problematikou zabývají a s větší či menší přesností implementují požadavky ochrany osobních údajů do praxe.

Pokusíme se na dalších řádcích provést jakýsi stručný souhrn relevantních ustanovení Nařízení GDPR, národní legislativy, příslušné judikatury, metodických pokynů a vodítek pro oblasti účetnictví, daní, mezd a personalistiky. Je nutné zdůraznit, že názory i stanoviska se vyvíjejí a proměňují, především rozsudky evropských soudů posunují vnímání osobních údajů a s nimi souvisejících práv směrem k vyššímu stupni ochrany, nelze proto vyloučit, že i v budoucnu bude nutné stávající praxi revidovat a přizpůsobovat.

1. Úvod

Pokud není dále v textu výslovně uvedeno jinak, vycházíme z právních předpisů v podobě platné a účinné ke dni 1. března 2019, jedná se především o:

• nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ve znění textových oprav zveřejněných v Úředním věstníku Evropské unie dne 23. května 2018,
• směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace,
• nařízení Evropského parlamentu a Rady (EU) 2018/1724 ze dne 2. října 2018, kterým se zřizuje jednotná digitální brána pro poskytování přístupu k informacím, postupům a k asistenčním službám a službám pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012,
• směrnice Evropského parlamentu a Rady (EU) 2016/680 upravující zpracování osobních údajů v souvislosti s předcházením a vyšetřováním trestných činů,
• návrh nařízení Evropského parlamentu a rady (EU) o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (tzv. e-privacy nařízení) Poslední znění návrhu nařízení je dostupné on line na https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52017PC0010&from=EN.

Regulaci ochrany osobních údaje ovšem nenalezneme pouze v Nařízení GDPR, ale již delší dobu existuje i v právních předpisech na národní (české) úrovni. Mezi tyto předpisy patří zejména:

• zákon č. 262/2006 Sb., zákoník práce, který stanoví speciální pravidla při zpracování osobních údajů zaměstnance zaměstnavatelem a monitorování zaměstnanců na pracovišti;
• zákon č. 89/2012 Sb., občanský zákoník, který upravuje ochranu jména a bydliště fyzické osoby i jeho osobnost (např. zachycení a rozšiřování podobizny);
• zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (tzv. antispamový zákon), který reguluje zasílání obchodních (marketingových) sdělení;
• zákon č. 40/2009 Sb., trestní zákoník, který stanoví trestní odpovědnost za neoprávněné nakládání s osobními údaji;
• nový český zákon č. 110/2019 Sb. o zpracování osobních údajů, který je účinný od dubna tohoto roku a upravuje oblasti ochrany osobních údajů vyhrazených národní právní úpravě, jako např. zpracování osobních údajů pro účely vědeckého a historického výzkumu, statistickou a novinářskou činnost, omezení horní hranice pokut a další.
• zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů,
• zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů,
• zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.

Odkazy týkající se ochrany osobních údajů a povinností při jejich zpracování lze ovšem nalézt i v některých dalších legislativních předpisech.

2. Terminologie

V textu bude používána terminologie vycházející z Nařízení GDPR, je důležité vymezit alespoň stručně její základní obsahovou náplň.

Úvodem je třeba vysvětlit, co se rozumí pojmem osobní údaj. Za osobní údaj, na který se vztahuje ochrana, se považuje dle článku 4 bodu 1 Nařízení GDPR jakákoli informace o žijících fyzických osobách, pokud lze prostřednictvím takové informace přímo nebo i nepřímo fyzickou osobu identifikovat. Mezi osobní údaje fyzické osoby tedy patří nejen jméno a příjmení, rodné číslo, adresa bydliště a podoba zachycená na fotografii nebo videu, ale také např. IP adresa, identifikátor datové schránky, číslo bankovního účtu nebo kreditní karty a řada dalších. Osobními údaji jsou ovšem i informace o preferencích (spotřebitelských, náboženských, politických ad.) a chování fyzických osob, stejně jako predikce do budoucna.

Specifické jsou údaje tzv. zvláštní kategorie, u nás dříve nazývány jako „citlivé“, které podléhají zvýšené právní ochraně. Mezi ně se v souladu s článkem 9 odst. 1 Nařízení GDPR řadí např. údaje o rasovém původu, politických názorech, náboženském vyznání, zdravotní údaje, ale také údaje o členství v odborových organizacích.

Za zpracování osobních údajů se dle článku 4 bodu 2 Nařízení GDPR považuje každá operace nebo soubor operací s osobními údaji, např. jejich shromáždění, uspořádání, uložení, zpřístupnění, šíření nebo výmaz bez ohledu na to, zda probíhá elektronicky (automatizovaně) či manuálně.

Subjektem údajů je podle článku 4 bodu 1 Nařízení GDPR každá identifikovaná nebo identifikovatelná žijící fyzická osoba. Na ochranu osobních údajů nemá vliv to, zda osobní údaj, podle něhož byla tato fyzická osoba identifikována, je pravdivý anebo správný. Zpracovávat osobní údaje subjektů lze pouze na základě některého z právních titulů zpracování definovaných v článku 6 Nařízení GDPR (viz dále).

Na zpracování osobních údajů má určující vliv správce, který je za zpracování primárně odpovědný a Nařízení GDPR mu ukládá řadu povinností. Správcem může být soukromoprávní subjekt (fyzická či právnická osoba), ale i orgán veřejné moci, agentura, nebo jiný subjekt, který určuje účel a prostředky zpracování osobních údajů.

Správce je oprávněn dle svého uvážení zapojit jiné zpracovatele, kteří pro něj budou zpracovávat osobní údaje. Za zpracovatele se považuje např. externí firma nabízející službu vedení mzdového účetnictví nebo někteří poskytovatelé IT v závislosti na rozsahu jimi poskytovaných služeb. Zpracovatel může s (konkrétním nebo obecným) souhlasem správce zapojit do zpracování dalšího zpracovatele. Rozlišit to, kdy se jedná o správce, zpracovatele, či společné nebo samostatné správce není vždy jednoduché a vyžaduje to podrobné seznámení se s konkrétní formou zapojení jednotlivých subjektů do zpracování. Blíže se této otázce věnujeme v kapitole 5. pojednávající o zpracování osobních dat v rámci účetnictví.

Kromě správce a zpracovatele hovoří Nařízení GDPR v článku 4 bodu 9 ještě o dalším subjektu – příjemci. Za příjemce se považuje každá fyzická či právnická osoba, orgán veřejné moci agentura nebo jiný subjekt, kterému jsou poskytnuty osobní údaje, vyjma těch orgánů veřejné moci, kterým jsou osobní údaje poskytnuty v rámci zvláštního šetření na základě zákona. Výjimka o poskytnutí osobních údajů vybraným orgánům veřejné moci se bude vztahovat např. na poskytnutí údajů orgánům činným v trestním řízení, správci daně v daňovém řízení apod. Příjemcem může být ale také např. pracovník správce, který neoprávněně získal osobní údaje ostatních zaměstnanců.

Do styku s osobními údaji mohou přijít i třetí strany. Třetí stranou je podle článku 4 bodu 10 Nařízení GDPR fyzická či právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt oprávněný ke zpracování osobních údajů, pokud se nenacházejí v pozici subjektu údajů ani správce či zpracovatele, anebo osoby přímo podléhající správci či zpracovateli, kterou tito zpracováním pověřili.

Důležitými procesy, kterými mohou během zpracování osobní údaje procházet, jsou pseudonymizace a anonymizace. Pseudonymizace je jednou z forem zabezpečení osobních údajů přímo doporučenou Nařízením GDPR a definovanou v článku 4 bodu 5 tohoto nařízení. Dochází přitom k tomu, že údaje již nemohou být přiřazeny ke konkrétnímu subjektu údajů bez použití dodatečných informací. Princip si lze ilustrovat na příkladu, kdy pro určení fyzické osoby je namísto rodného čísla použit alfabetický kód, k němuž jsou v jiných evidencích přiřazeny údaje typu jméno, příjmení, adresa ad., takto fungují např. naše základní registry V systému ORG jsou založeny bezvýznamové identifikátory, které jako jediné dokáží propojit data v jednotlivých základních registrech. Podrobnosti viz https://www.uoou.cz/o-projektu-is-org/ds-1939/archiv=0&p1=1933.

Anonymizace je na rozdíl od pseudonymizace nevratný proces, během kterého jsou zcela přerušeny vazby osobních údajů ke konkrétní fyzické osobě, kterou tak již nebude možné identifikovat ani na základě dodatečných informací. Po provedení pseudonymizace se pořád jedná o osobní údaje (byť pseudonymizované), které je nutno zpracovávat v souladu s regulací GDPR, zatímco po provedení anonymizace, již ke zpracování osobních údajů nedochází a na takové údaje se ochrana stanovená v Nařízení GDPR vztahovat vůbec nebude. V České republice např. anonymizují orgány veřejné moci některé osobní údaje zveřejňované v registru smluv, Ministerstvo vnitra za tím účelem připravilo speciální nástroj pro anonymizaci dokumentů Dostupný na: http://www.mvcr.cz/clanek/registr-smluv.aspx?q=Y2hudW09MTA%3d  a doporučilo jej používat všem povinným subjektům při zveřejňování smluv v tomto registru.

Při zpracování osobních údajů může docházet k profilování, kterým je podle článku 4 bodu 4 Nařízení GDPR automatizované zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, např. rozbor nebo odhady pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, chování či spolehlivosti a dalších. 

Pokud probíhá profilování výhradně za použití prostředků informačních technologií (elektronicky), bez zásahu fyzických osob a výsledek takového profilování má právní účinky pro fyzické osoby, které jsou předmětem profilování, nebo se jich obdobným způsobem významně dotýká, jedná se dle článku 22 Nařízení GDPR o automatizované individuální rozhodování. Typickým příkladem je zamítnutí on-line žádosti o úvěr na základě plně automatizovaného posouzení kredibility žadatele. Automatizované individuální rozhodování Nařízení GDPR až na výslovně uvedené výjimky zakazuje. Lze jej použít v situaci, kdy je nezbytné k uzavření či plnění smlouvy anebo je povoleno právem EU či členského státu (např. pro účely monitorování podvodů a daňových úniků, včetně jejich předcházení) případně subjekt údajů udělil výslovný souhlas s takovým zpracováním Více viz Vodítka k automatizovanému individuálnímu rozhodování a profilování Evropského sboru pro ochranu osobních údajů, dostupná na stránkách Úřadu pro ochranu osobních údajů na: https://www.uoou.cz/schvalene-pokyny/d-28603.

Především orgány veřejné moci, ale i některé soukromoprávní subjekty (fyzické stejně jako právnické osoby), kteří zpracovávají osobní údaje, jsou povinny jmenovat pověřence pro ochranu osobních údajů, někdy označovaného jako DPO z anglického Data Protection Officer. V Nařízení GDPR je pověřenci věnován celý 4. oddíl, resp. články 37 až 39, jeho jmenování je v některých případech povinné, může být ale ustanoven i dobrovolně. Pověřenec je kontaktní a poradní osobou subjektů údajů (např. zaměstnanců vůči zaměstnavateli jakožto správci), působí jako poradce správce či zpracovatele a spolupracuje s dozorovým úřadem Více Viz Pokyny týkající se pověřenců pro ochranu osobních údajů Evropského sboru pro ochranu osobních údajů, dostupné na: https://www.uoou.cz/schvalene-pokyny/d-28603..

Dozorovým úřadem definovaným v článku 51 a násl. Nařízení GDPR je v České republice Úřad pro ochranu osobních údajů. Můžete se v této souvislosti setkat se zkratkou DPA z anglického Data Protection Authority.

Některých správců se týká povinnost provést posouzení vlivu na ochranu osobních údajů označované také jako DPIA (z anglického Data Protection Impact Assessment). Posouzení vlivu spočívá v auditu, který je správce povinen zajistit před započetím zpracování osobních údajů, pokud naplní podmínky definované v článku 35 a násl. Nařízení GDPR. Posouzení zahrnuje parametry zpracování údajů (operace a účely zpracování), popis nezbytnosti, přiměřenosti a rizik zpracování i plánovaná opatření ke snížení či eliminaci rizik Více Viz Pokyny k posouzení vlivu na ochranu osobních údajů Evropského sboru pro ochranu osobních údajů, dostupné na: https://www.uoou.cz/schvalene-pokyny/d-28603. Za určitých okolností je správce údajů povinen zamýšlené zpracování konzultovat navíc s dozorovým úřadem.

3. Stručná rekapitulace GDPR

Pro naplnění Nařízení GDPR je nezbytné respektovat zásady zpracování osobních údajů a dbát na naplňování práv subjektů údajů, tedy fyzických osob, jejichž údaje jsou předmětem zpracování.

Zásady zpracování osobních údajů

Každý správce i zpracovatel je povinen dodržovat zásady definované v článku 5 Nařízení GDPR, jedná se o:

• zákonnost, korektnost a transparentnost zpracování osobních údajů;
• účelové omezení zpracování – osobní údaje mohou být zpracovávány výhradně pro předem stanovené legitimní účely, a to způsobem s těmito účely slučitelným;
• minimalizace údajů, resp. rozsahu zpracovávaných osobních údajů, který musí odpovídat účelu zpracování;
• přesnost zpracovávaných osobních údajů – zahrnuje i aktualizaci a opravu údajů;
• omezení doby uložení – osobní údaje mohou být zpracovávány (uloženy) jen po nezbytnou dobu, která odpovídá účelu zpracování;
• integrita a důvěrnost osobních údajů – správce osobních údajů musí zabezpečit zpracování osobních údajů, aby nedošlo k jejich zneužití, to zejména znamená, že přijme vhodná technická a organizační opatření na ochranu osobních údajů;
• odpovědnost za prováděné zpracování, tedy za dodržování těchto zásad a schopnost prokázat jejich dodržování v souladu s článkem 5 Nařízení GDPR.

Zákonnost zpracování (právní tituly)

Zásada zákonnosti zpracování vyžaduje existenci některého z právních titulů (důvodů) zpracování uvedených v článku 6 Nařízení GDPR.

Splnění právní povinnosti, kterou správci ukládá právo EU nebo právo členského státu (například zaměstnavatel je povinen zpracovávat osobní údaje zaměstnanců v rozsahu, který vyplývá z obsahu mzdového listu, jehož náležitosti definuje zákon o daních z příjmů a další národní právní předpisy).

Plnění smlouvy včetně předsmluvních jednání, resp. opatření přijatých před uzavřením smlouvy na žádost subjektu údajů, to je typický právní titul např. při zpracování osobních údajů uchazečů o zaměstnání v rámci náboru nových zaměstnanců.

Souhlas subjektu údajů, požadován je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů uděluje svolení ke zpracování svých osobních údajů správcem. V případě zvláštní kategorie osobních údajů musí být udělen výslovný souhlas se zpracováním těchto údajů. V běžné účetní nebo daňové praxi nejsou souhlasy fyzických osob potřeba a neměly by proto být vyžadovány. Výjimkou může být např. situace, kdy dojde k pořízení kopie občanského průkazu subjektu údajů, aniž by k tomu byl dán právní základ ze zákona.

Nezbytnost zpracování pro ochranu životně důležitých zájmů subjektu údajů (nebo jiné fyzické osoby), např. zpracování pro humanitární účely, v době přírodních katastrof apod.

Splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci v rozsahu pověření správce, to se týká osobních údajů zpracovávaných v různých veřejných rejstřících a registrech jako je např. živnostenský či obchodní rejstřík anebo registr smluv.

Nezbytnost pro účely oprávněných zájmů správce nebo třetí strany, za podmínky, že nepřeváží základní práva a svobody subjektů údajů, mezi tyto účely lze řadit zejména ochranu práv a právních nároků správce, ale také opatření přijatá správcem k ochraně majetku a zamezení podvodům, stejně jako přímý marketing cílený na stávající zákazníky, kterým je nabízeno zboží a služby správce.  

Transparentnost

Správce je povinen zajistit, že subjekty údajů budou dostatečně informováni o zpracování jejich osobních údajů, stejně tak musí přijmout postupy pro výkon práv subjekty údajů.

V souladu se zásadou transparentnosti je správce povinen poskytnout subjektům údajů dostatečné a pravdivé informace o zpracování jejich osobních údajů, zejména o rozsahu, účelech a právních titulech zpracování, případných dalších příjemcích osobních údajů a o době zpracování, to vše dostupnou formou, jednoznačným a srozumitelným jazykem.

Práva subjektu údajů

Informační povinnost správce slouží k naplnění práva subjektu údajů na informace, které musí být poskytnuty již v okamžiku získání osobních údajů.  V praxi tedy např.  v náborovém inzerátu, na registračním formuláři, dotazníku pro sběr údajů apod.

Pokud o to subjekt údajů požádá, je správce povinen informovat ho o osobních údajích, které o něm zpracovává a případně mu poskytnout kopii těchto údajů. Tím je naplněno právo subjektu údajů na přístup. Při poskytnutí kopie zpracovávaných osobních údajů nesmí ovšem správce ohrozit bezpečnost osobních údajů jak samotného subjektu, tak ani jiných osob.

Subjekt údajů má právo na opravu chybných či nepřesných údajů, popř. na jejich doplnění a právo na výmaz („právo být zapomenut“) osobních údajů v okamžiku, kdy pomine účel a právní titul pro jejich zpracování. Právo na výmaz se uplatní také v případě, kdy subjekt údajů odvolá souhlas se zpracováním svých osobních údajů a neexistuje jiný právní titul ...