Lawya

Zpět na blog

GDPR: Jaké jsou aktuální otázky po půl roce účinnosti?

GDPR: Jaké jsou aktuální otázky po půl roce účinnosti?

Začátek roku 2018 se nesl v duchu intenzivních, někdy možná až zběsilých příprav veřejných i soukromých subjektů na účinnost GDPR. Po magickém datu 25. května se spíše zdá, že GDPR již není hlavním tématem dne v médiích, ale ani v praktickém fungování. Co její půlroční účinnost přinesla? 

(Ne)automatizace

Přinesla zejména praktické zkušenosti, ale zároveň vyvolala mnohé otázky související s běžným životem. Porovnávání postupů „před a po“ nastává zejména pro ty správce a zpracovatele, pro které je ochrana osobních údajů novinkou, a nikoliv pouze potvrzením plnění povinností dle předchozí právní úpravy nebo osvědčení předchozí dobré praxe.

Jednou ze základních nejasností je vůbec výklad klíčových pojmů, se kterými GDPR pracuje.

Čl. 2 odst. 1 GDPR pracuje s tím, že se celá úprava GDPR vztahuje mimo automatizovaného zpracování i na „neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny“. Právě nesprávný výklad věcné působnosti vede často k tomu, že na Úřad pro ochranu osobních údajů se obracejí subjekty i s dotazy, problémy nebo bezpečnostními incidenty, které vlastně ani do působnosti Úřadu pro ochranu osobních údajů nespadají.

Nejasnosti v praxi

Byť povinnost uzavřít zpracovatelskou smlouvu byla zakotvena již v předchozí právní úpravě a pro správce a zpracovatele by tento institut neměl být novinkou, v praxi není zcela jasné, jak posoudit některé činnosti, jako například poskytování pracovnělékařských služeb, hostingu nebo správy IT sítě. Problémy rovněž nastávají i v situacích, kdy zpracovatel odmítá nebo ztěžuje uzavření zpracovatelské smlouvy, což vede k narušení stávajících dodavatelských vztahů, nebo strany uzavřou zpracovatelskou smlouvu podle čl. 28 GDPR, která ale neobsahuje všechny požadavky dle odst. 3.

Samostatným tématem, který každý správce nebo zpracovatel vnímá individuálně, je vyřizování žádostí subjektů údajů. Protože GDPR neobsahuje podrobnější úpravu procesu vyřizování žádostí, nabízí se důležité otázky, jak postupovat při ověřování identity žadatele, jak spočítat lhůtu pro vyřízení, pokud správce nebo zpracovatel musí přistoupit k odeslání výzvy k doplnění nebo objasnění žádosti, nebo jak vykládat povinnosti poskytnout „kopie zpracovávaných údajů“ podle čl. 15 odst. 3 GDPR.

Nadužívání souhlasu a funkce pověřence

Vyžadování souhlasu se zpracováním osobních údajů i u těch činností zpracování, které mají jiný právní titul, je v praxi stále častým pochybením. Nadužívání souhlasu se zpracováním osobních údajů tedy nezabránila ani výkladová činnost Úřadu pro ochranu osobních údajů.

V souvislosti s výkonem funkce pověřence pro ochranu osobních údajů se v nedávné době objevily názory, které tvrdí, že tato funkce je určena výhradně pro osoby fyzické, a nikoliv pro osoby právnické. Protože GDPR výslovně neobsahuje ustanovení, které by tuto funkci omezovalo pouze ve vztahu k fyzickým osobám, nabízí se možnosti dalšího výkladu příslušných ustanovení, pokynů pracovní skupiny WP 29 nebo i obdobných ustanovení ve vnitrostátní právní úpravě.

Výše uvedená témata jsou pouze příkladem toho, jak GDPR funguje v praxi a jaké nejasnosti nám za relativně krátkou dobu své účinnosti přineslo. Protože se jedná o zajímavé otázky, které si jistě zaslouží bližší zamyšlení, budeme se jim věnovat v navazujících článcích v nejbližších týdnech.

Nevíte si s GDPR rady nebo potřebujete s čímkoliv v této oblasti poradit? Neváhejte se obrátit na nás.

NAŠE KANCELÁŘ

LAWYA, advokátní
kancelář s.r.o., Lipová
906/1, 602 00 Brno

Máte zájem o naše služby?

Napište nám

  • This field is for validation purposes and should be left unchanged.