Nový zákon o zpracování osobních údajů z pohledu zaměstnavatele
1. Úvod: Vážení klienti a obchodní partneři, ČR má od 24. dubna 2019 nová pravidla pro oblast ochrany soukromí ke GDPR.
2. Legislativní aspekty: Vyhlášením ve Sbírce zákonů totiž nabyl účinnosti zákon o zpracování osobních údajů (zákon č. 110/2019 Sb.) a příslušný doprovodný zákon. Současně došlo k derogaci (ke zrušení) zákona č. 101/2000 Sb., o ochraně osobních údajů. Jmenovaný právní předpis navazuje na obecné nařízení o ochraně osobních údajů (GDPR), které samozřejmě platí automaticky dál. Na jednotlivých členských zemích EU pak bylo, aby si některé oblasti práva upravily a upřesnily v podobě vlastní právní normy. Výše uvedený zákon nakládání s osobními údaji zpřesnil a do určité míry rovněž zjednodušil a současně stanovil některé, konkrétní exempce (výjimky).
3. Praktické použití tzv. adaptačního zákona ve firmách: Nejen pro zaměstnavatele, nýbrž i pro další osoby, které zpracovávají osobní údaje z důvodu plnění právních povinností, je užitečné, že v takovém případě nejsou povinni zpracovávat obávané posouzení vlivu (tzv. DPIA). Navíc právní předpis výslovně umožní publikaci informací o zpracování takových údajů na webových stránkách a zřejmě tedy nebude nutné s těmito informacemi zaměstnance každého jednotlivě seznamovat (srov.: https://www.epravo.cz/top/clanky/adaptacni-zakon-k-gdpr-byl-konecne-prijat-109122.html).
Velmi zásadní je také ta skutečnost, že právní norma nikde nestanoví povinnost mlčenlivosti zaměstnanců ohledně osobních údajů (takovou povinnost sice stanoví, ale ta je zařazena až do části zákona, která se vztahuje pouze na zpracování údajů orgány veřejné moci). Taková právní povinnost neexistuje ostatně ani v GDPR, proto důrazně doporučujeme zařadit povinnost mlčenlivosti do pracovních smluv se zaměstnanci, kteří pracují s osobními údaji (srov.: https://www.maceklegal.cz/co-zmeni-novy-zakon-o-zpracovani-osobnich-udaju.html)!
4. Zahraniční praxe v udělování sankcí ve firmách: V České republice dosud Úřad pro ochranu osobních údajů nesankcionoval žádný podnikatelský subjekt za porušení GDPR, nicméně v členských státech Evropské unie už padly první pokuty.
Polský Úřad ochrany osobních údajů tak informoval o uložení sankce ve výši 943 000 polských zlotých (přibližně 220 000 EUR). Tato správní sankce byla uložena za nesplnění informační povinnosti. Úřad informoval, že až šest milionů subjektů práva o zpracování vůbec nevědělo, a tím pádem nemohly ani vykonat práva, která jim podle GDPR náleží. Společnost, které byla pokuta udělena, data získala z veřejně přístupné obdoby našeho živnostenského a obchodního rejstříku a v kauze argumentovala tím, že splnit informační povinnost vůči subjektům, u kterých nedisponovala e-mailovou adresou, by bylo příliš finančně nákladné. S ohledem na skutečnost, že společnost disponovala telefonními čísly a poštovními adresami subjektů, polská státní správa na tuto právní argumentaci nepřistoupila (srov. https://www.dreport.cz/blog/techlaw-zpravodaj-ochrana-osobnich-udaju-duben-2019/).
V Praze dne 3. května 2019
Mgr. Petr Jezdinský, právník