domů napište mi

Jak na VaK

vodovody a kanalizace - víc než jen potrubí

Projekt Jak na VaK má za cíl přinášet vyvážený a objektivní právně-ekonomický a právně-technický pohled na právo vodovodů a kanalizací. Právo je intelektuální výzva, ne suchá summa paragrafů.

Ochrana osobních údajů v rámci GDPR

GDPR změní právní ochranu osobních údajů odběratelů, nejde však o revoluci

Vodárny o svých zákaznících, odběratelích, zpracovávají celou řadu osobních údajů. Nikoho nepřekvapí, že se jedná třeba o jméno, datum narození a adresu, ale řadu pracovníků zákaznických center možná zaskočí, že mezi osobní údaje patří také údaj o počtu osob obývajících připojenou nemovitou věc, číslo vodoměru nebo třeba údaj o odběru v odečtovém období.

V posledním zhruba roce je ochrana osobních údajů nejen ve vodárenství dalším populárním právnickým tématem. Je tomu tak z důvodu, že dne 27. dubna 2016 byla vydána a dne 25. května 2018 vstoupí v účinnost inovovaná pravidla ochrany osobních údajů, obsažená v Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Nařízení je také známo pod zkratkou GDPR čili general data protection regulation alias „dží dý pí ár“.

Stávající pravidla ochrany osobních údajů

Pojďme si připomenout pár základních pravidel, která v oboru ochrany osobních údajů již platí a budou platit i nadále.

Úhelným kamenem veškerého zpracovávání osobních údajů je účel, proč vodárny údaje potřebují zpracovávat, nejčastěji půjde o plnění odběratelské smlouvy a o ochranu majetkových zájmů vodáren. K těmto účelům vodárny nepotřebují souhlas odběratelů se zpracováváním údajů, půjde však jen o základní údaje, které jsou nezbytně potřeba. K údajům, které už nejsou nezbytně potřeba, např. k číslu bankovního účtu odběratele, ke kontaktní adrese, e-mailu, telefonu apod. se už souhlas odběratelů bude vyžadovat. Souhlas může být i mlčky daný, např. v podobě vyplnění kolonky s příslušným údajem.

Účel zpracovávání údajů musí vodárny stanovit předem, přičemž údaje, které získají pro stanovený účel, nemůže být využíván pro jiný účel. Tedy např. údaje z evidence obyvatel, které zpracovává obecní úřad obce, nemohou být rutinně využívány pro doplňování databáze odběratelů, byť by obec sama provozovala obecní vodovod. Bylo by to možné, pokud to obci umožní odběratelé svými souhlasy.

Při každém zpracovávání osobních údajů, ať se souhlasem nebo bez souhlasu odběratelů, odběratelé musejí obdržet kontaktní údaje na vodárny a na jejich případného pověřence a současně musejí být odběratelé poučeni o tom, jaké kategorie údajů pro jaké účely bude správce užívat, zda jejich poskytnutí je povinné (např. počet obyvatel připojené nemovité věci), či dobrovolné (např. kontaktní e-mail), jaké důsledky bude mít, neposkytne-li odběratel požadované údaje, zda a které údaje budou vodárny předávat dalším osobám (např. inkasním společnostem), že mají odběratelé právo na bezplatný přístup ke všem svým údajům, že se mohou domáhat opravy, blokace či likvidace svých nesprávných údajů, po jak dlouhou dobu budou údaje zpracovávány a možnost odvolat souhlas se zpracováváním. Korunou poučovací povinnosti vodáren vůči odběratelům je i sdělení, že mohou proti zpracovávání kdykoliv vznést námitku a že se mohou se svými stížnostmi obracet na Úřad pro ochranu osobních údajů.

Proč GDPR

Především je potřeba zdůraznit, že GDPR není revolucí, nýbrž jen evolucí, tedy jen pokrokem, a nikoliv převratem v oboru ochrany osobních údajů. GDPR nahrazuje evropskou směrnici z r. 1995, přičemž hlavním motivem byla reakce na mezitím nastalý technologický pokrok v oblasti informačních a komunikačních technologií. V současnosti se osobní údaje zpracovávají daleko sofistikovaněji a komplexněji než před dvaceti lety, používají se nové způsoby, např. profilování či automatizované zpracování osobních údajů. Kdo v r. 1995 jen mohl tušit takový rozvoj internetu, že vzniknou cookies, Facebook, cloudy, chytrá měřidla atd.? Nadto se ukázalo, že standardy ochrany osobních údajů byly v jednotlivých členských státech EU na jiné úrovni, neboť záleželo na tom kterém státě, jak dobře směrnici přenesl do svého právního řádu a jak dobře reagoval na následný vývoj v právní úpravě dosažený výkladem směrnice v jednotlivých rozsudcích Evropského soudního dvora.

Evropské směrnice zavazují jen členské státy, tedy právní úpravu obsaženou ve směrnici musí každý členský stát přenést do svého právního řádu např. zákonem. Proti tomu evropské nařízení, např. GDPR, má přímou účinnost, takže ve všech členských státech bezprostředně zavazuje každého jednotlivého člověka či právnickou osobu, aniž by k tomu potřebovalo národní zákon. Tedy právní úprava obsažená v nařízení platí ve všech členských státech shodně, byť se její výklad a užití samozřejmě mohou trochu odlišovat.

K provedení GDPR nejspíše bude vydán český zákon. Ten se bude věnovat několika dílčím tématům, která GDPR přenechává národní právní úpravě. Text chystaného zákona můžete nalézt zde.

Nová pravidla udílení souhlasu ke zpracovávání údajů

GDPR na podstatě výše uvedených pravidlech nic nemění, nicméně dosavadní pravidla často zpřesňuje a řeší je mnohem podrobněji, aby nemohlo docházet ke sporům o jejich obsahu či k jejich snadnému obcházení. Např. dosud bylo možné, aby souhlas se zpracováváním údajů předvyplnil provozovatel internetových stránek zaškrtnutím příslušného políčka a aby poučení o zpracovávání údajů bylo natolik obsáhlé a mnohomluvné, že jej takřka nikdo neměl sílu začít číst, natožpak dočíst do konce.

Proto GDPR zpřesňuje způsoby udělení souhlasu se zpracováním osobních údajů. Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení odběratele ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas odběratele s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas.

Má-li odběratel vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván. Prohlášení o souhlasu navržené vodárnami mělo být ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky.

Transparentnost a poučení

Změny v ochraně osobních údajů lehce připomínají přístup k bezpečnosti a ochraně zdraví při práci. GDPR nově formuluje zásadu transparentnosti. Na jejím základě se vyžaduje, aby všechny informace určené veřejnosti a odběratelům byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i za užití vizualizace.

Účel zpracovávání údajů bude moci být za určitých okolností změněn, resp. údaje využity též pro jiný účel. Slovy GDPR tomu bude v případě, kdy je nový účel slučitelný s účely, pro které byly osobní údaje původně shromážděny, např. údaje pro provozování vodovodu budou moci být využity pro nově vyvstalé provozování kanalizace. V každém případě by mělo být zajištěno, že bude odběratel informován o těchto jiných účelech a o svých právech, včetně práva vznést námitku.

Vodárny budou povinny reagovat na jakýkoliv podnět, resp. žádost odběratele týkající se ochrany jeho osobních údajů, a to ve lhůtě do 30 dnů. Pokud odběratelově žádosti nebudou vodárny chtít vyhovět, budou muset své rozhodnutí nejen sdělit, nýbrž i vysvětlit, tedy řádně odůvodnit. Odběratel má právo na bezplatný přístup ke svým osobním údajům, aby se mohl přesvědčit, co vlastně o něm vodárny vědí. Je-li žádost o přístup k údajům zjevně nedůvodná nebo nepřiměřená, zejména protože se opakuje, vodárny mohou uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo odmítnout žádosti vyhovět.

Výše zmíněné profilování dostane pevná pravidla. Podstatou profilování je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Příkladem profilování je např. analýza, jaké knihy si čtenář půjčuje, zda se nezajímá o palné zbraně či výbušniny a současně o náboženská učení. Profilování pro účely bezpečnosti státu bude možné i bez souhlasu, zatímco pro komerční účely bude možné jen se souhlasem dotčené osoby, např. k analýze, zda dotyčný má u svého telefonu tarif či zda dobíjí kredit, zda tak činí po malých částkách, nota bene až po vyčerpání kreditu (tento typ zákazníka je zvýšeně rizikový např. pro poskytování spotřebitelského úvěru).

Prevence, prevence, prevence

Základem ochrany osobních údajů je prevence, a když se něco nepovede, součinnost s dotčenými odběrateli a úřadem. Vodárny by měly posoudit rizika spojená se zpracováním údajů odběratelů a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování by se měla vzít v úvahu rizika, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě. GDPR vyžaduje vyšší technickou a organizační bezpečnost při zpracovávání osobních údajů.

Zpracovávání by mělo být činěno se záznamem, což je de facto informace o interních pravidlech zpracovávání a typovém průběhu konkrétního druhu operace zpracovávání osobních údajů. Vzhledem k tomu, že vodárny zpracovávají údaje pravidelně, záznamy musejí provádět bez ohledu na velikost svého podniku. GDPR požaduje, aby při rozsáhlém a systematickém zpracování osobních údajů vodárny přistoupily ke jmenování pověřence na ochranu osobních údajů (DPO - Data Protection Officer). Při rizikových zpracováních osobních údajů GDPR požaduje předchozí provedení posouzení vlivu na ochranu osobních údajů (DPIA - Data Protection Impact Assessment) a případně též konzultaci s Úřadem pro ochranu osobních údajů. Předávání údajů ke zpracování třetí osobě bude i nadále možné. GDPR stanovuje, že správce může zpracováním pověřit pouze zpracovatele, který poskytuje dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavede technická a organizační opatření, která budou splňovat požadavky GDPR zejm. na bezpečnost zpracování.

Nová práva odběratelů

GDPR zachovává stávající práva odběratelů a zakládá jim též práva nová, zejm. právo být zapomenut. To znamená, že údaje, které již vodárny aktivně nepotřebují, např. údaje o odběru či vypouštění, k nimž došlo např. před pěti lety, za něž již odběratel zaplatil vodné a stočné, musejí být na žádost odběratele vymazány, resp. anonymizovány. Anonymizace spočívá v tom, že údaj o objemu odběru či vypouštění bude „odpojen“ od jakékoliv identifikace odběratele či jeho odběrného místa, tedy se z toho stane údaj o nedohledatelném odběrateli a odběrném místě.

GDPR zavádí také právo na přenositelnost údajů, přičemž cílí zejména na klienty bank nebo telefonních operátorů. Vzhledem k přirozenému monopolu vodárenství se právo odběratelů na přenositelnost údajů uplatní jen při změně provozovatele.

Oproti stávajícím pravidlům dojde ke zrušení rejstříku zpracovávání osobních údajů, vedeného Úřadem pro ochranu osobních údajů, a s tím související ohlašovací povinnosti ze strany vodáren. Tato povinnost bude v GDPR zrušena proto, že přináší administrativní a finanční zátěž, aniž přispívá ke zlepšení ochrany osobních údajů.

Aspoň špetka revoluce

GDPR přece jen ve třech oblastech přináší spíše revoluci než evoluci, zavádí se povinnost »sebeudavačství«, dále se drasticky zvyšují možné pokuty za přestupky proti pravidlům ochrany osobních údajů a zavádí se povinnost ustanovit pověřence pro ochranu osobních údajů (viz další kapitolu).

Pravidlo »sebeudavačství« spočívá v tom, že každé porušení pravidel musí vodárny oznámit nejpozději do 72 hodin jak dotčenému odběrateli, tak i na Úřad pro ochranu osobních údajů. V oznámení by měla být popsána povaha daného případu a obsažena doporučení pro odběratele, jak případné nežádoucí účinky zmírnit.

K sebeudání nemusí dojít, je-li nepravděpodobné, že porušení pravidel bude mít za následek riziko pro práva a svobody fyzické osoby (oznámení vůči úřadu), resp. vysoké riziko (oznámení vůči odběrateli), např. že přesto nedošlo k neoprávněnému přístupu k osobním údajům (ve vztahu k úřadu), resp. údaje nelze nijak relevantně zneužít (ve vztahu k odběrateli). Např. pracovnice zákaznického centra zapomene zamknout skříň s odběratelskými smlouvami, když odchází na oběd, nicméně uzamkne kancelář a do jejího návratu do kanceláře nevstoupil. Nicméně »sebeudavačské« pravidlo se vůči úřadu uplatní, pokud v době polední pauzy v kanceláři proběhl např. úklid, neboť nelze vyloučit pravděpodobnost, že uklízečka do smluv nahlížela, zatímco vůči odběratelům k »sebeudání« nebude muset dojít, protože ve smlouvách nebude nic, co by nebylo možné zjistit z veřejných registrů, např. z katastru nemovitostí.

GDPR zavádí možnost ukládat mnohem vyšší pokuty za porušení pravidel ochrany osobních údajů. Dnes může pokuta činit až 10 mil. Kč, po novu bude možné uložit pokutu až do výše ekvivalentu 20 milionů € nebo 4 % celosvětového obratu podniku. Pokuta tedy nově může být mnohem citelnější, nicméně i nadále bude platit pravidlo, že při rozhodování o výši pokuty by se měla zohlednit povaha, závažnost a doba trvání přestupku, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči vodárnám nařízena, dodržování oborového kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor.

Pokuta v žádném případě nesmí být likvidační. I proto český prováděcí zákon bude omezovat maximální výši pokuty na 10 milionů Kč, tedy se zdaleka nevyužije maximum možného.

Je třeba míti pověřence(?)

Pověřence pro ochranu osobních údajů zřejmě musejí ustanovit všechny vodárny ovládané obcemi. Pravidlo se vztahuje na orgány veřejné moci, např. obce, které si své vodovody či kanalizace samy provozují, a dále na veřejné subjekty. GDPR nedefinuje, co je veřejným subjektem. Ze směrnice Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru vyplývá, že veřejnoprávním subjektem je subjekt zřízený za zvláštním účelem uspokojování potřeb veřejného zájmu, který nemá průmyslovou nebo obchodní povahu, má právní subjektivitu a je financován převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty nebo je těmito subjekty řízen, nebo v jeho správním, řídicím nebo dozorčím orgánu je více než polovina členů jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty. Tato definice je takřka totožná s definicí veřejného zadavatele obsaženou v zákoně o zadávání veřejných zakázek, k němuž existuje již poměrně rozsáhlá judikatura.

Z toho lze usuzovat, že veřejnoprávními subjekty budou např. dobrovolné svazky obcí nebo soukromoprávní společnosti, které jsou převážně ovládány obcemi, např. technické služby s právní formou s.r.o., v níž jsou obce ovládajícími osobami. Tedy i tyto subjekty by měly ustanovit pověřence. Ovšem chystaný český prováděcí zákon, v jehož návrhu je řečeno, že Za veřejný subjekt … se považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu, tuto situaci zamotá. Z této definice by totiž vyplývalo, že se nevztahuje na společnosti zřízené podle soukromého práva, např. na obchodní společnosti. Bude však velmi záležet, jaký obsah tomuto pojmu nakonec vtiskne Soudní dvůr EU, který dosud pojem veřejného subjektu v oblasti veřejného zadávání pojímal spíše šířeji než úžeji.

U soukromých vodárenských společností není jednoznačné, zda pověřenec musí být ustanoven nebo ne. V případě užívání chytrých měřidel se zjevně jedná o rozsáhlé a systematické zpracovávání osobních údajů odběratelů, tedy zde nevznikají pochybnosti. Nicméně u vodáren, které zpracovávají jen několik málo kategorií údajů a odečty vodoměrů dělají např. jen jednou ročně, se již o rozsáhlém a systematickém zpracovávání hovořit patrně nedá. Z opatrnosti je však potřeba doporučit i těmto subjektům, aby přesto pověřence jmenovaly.

Pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly, zejm. vodárnám poskytovat poradenství v oblasti ochrany osobních údajů, monitorovat soulad činnosti vodáren s GDPR, spolupracovat s Úřadem pro ochranu osobních údajů a být pro něj kontaktním místem. Rovněž odběratelé se mohou se svými žádostmi či stížnostmi obracet přímo na pověřence. Vodárny, které pověřence ustanoví, jsou povinny zveřejnit kontaktní údaje pověřence a sdělit je Úřadu pro ochranu osobních údajů.

Pověřenec musí být přímo podřízen vrcholovým řídícím pracovníkům vodáren a nesmí se podílet na výkonu zpracovávání údajů, nesmí se tedy jednat o člověka, v jehož běžné náplni práce je zacházení s osobními údaji, nastavování bezpečnostních opatření apod., tedy nesmí jít o pracovníka zákaznického oddělení, IT specialistu apod.

O své činnosti je pověřenec povinen zachovávat mlčenlivost o osobních údajích a bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, se kterými se seznámil při plnění úkolů pověřence nebo v souvislosti s nimi. Tato povinnost trvá i po skončení výkonu činnosti pověřence.

Pověřenec za svou činnost nesmí být nijak sankcionován ani propuštěn. Pověřenec nemusí být interním zaměstnancem, může se jednat o externího spolupracovníka, činného např. na základě příkazní smlouvy. Pověřenec nakonec může být nejen fyzická, ale i právnická osoba. Ve stanoviscích ministerstva vnitra a Úřadu pro ochranu osobních údajů se lze dočíst, že i externí smluvní vztah by měl chránit pověřence před svévolným ukončením smlouvy ze strany správce osobních údajů (vodáren), tedy že smlouva by měla být ukončitelná jen z podobných důvodů jako pracovní smlouva podle zákoníku práce. Podrobnosti k tomu chystaný prováděcí český zákon však žádné nestanovuje.

Závěrem

Kromě několika zcela nových pravidel stávající principy ochrany osobních údajů GDPR v zásadě jen opakuje, zpřesňuje a prohlubuje. Dosud platí a i nadále bude platit, že osobní údaje mohou být zpracovávány pouze korektně, zákonným a transparentním způsobem, přičemž zpracovávání je omezeno, resp. předurčeno účelem zpracovávání, ke zpracovávání by mělo docházet pouze v co možná minimálním rozsahu, tedy nezpracovávat kategorie údajů, které pro stanovený účel nejsou potřeba, mohou být zpracovávány jen přesné údaje, je nutné přijmout technická a organizační opatření na ochranu údajů před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, přičemž údaje mohou být uchovávány jen po nezbytnou dobu.

GDPR je nutné především vnímat jako vhodnou příležitost k tomu, aby vodárny interně komplexně oprášily problematiku zpracovávání osobních údajů svých odběratelů, zejm. aby došlo k aktualizaci vnitřních předpisů a postupů tak, aby odpovídaly pravidlům GDPR, zejm. výše uvedeným zásadám.

8. ledna 2018
Podpořte projekt Jak na VaK. Stačí poslat dotaz. Stačí o něm říci kolegovi či známému.