FAQ
Jaké právní tituly pro zákonnost zpracování osobních údajů se nejčastěji použijí v advokátní praxi?
Zákonnost zpracování je upravena v článku 6 GDPR. V advokátní praxi se nejčastěji využije právní titul zpracování je nezbytné pro: splnění smlouvy [čl. 6 odst. 1 písm. b)], splnění právní povinnosti [čl. 6 odst. 1 písm. c)] a účely oprávněných zájmů [čl. 6 odst. 1 písm. e)]. Dále je možno využít jako právního titulu pro zpracování souhlas [čl. 6 odst. 1 písm. a)], ale pouze tehdy, kdy nelze aplikovat žádný jiný právní titul. Souhlas může subjekt údajů kdykoliv odvolat. Souhlasy je nutno interně evidovat, přičemž tato evidence musí být systematická a přehledná (s vyznačením doby, po kterou jsou osobní údaje na základě souhlasu zpracovávány). V advokátní praxi se bude zpracování založené na souhlasu subjektů údajů využívat pravděpodobně minimálně, mnohem častější budou jiné zákonné tituly pro zpracování (splnění smlouvy, plnění právní povinnosti, případně oprávněný zájem).
Je nutné připojištění při poskytování právních služeb advokáta v oblasti GDPR?
Připojištění není potřeba. Pokud jde o poskytování právních služeb týkajících se aplikace GDPR, jde o aplikaci unijního práva, které je kryto rámcovou pojistnou smlouvou (viz čl. III odst. 2 písm. a)). Rovněž poskytování právních služeb podle českého práva adaptující právní řád na GDPR je kryto stejně jako poskytování právních služeb v jakékoli jiné oblasti českého práva. A pokud jde o otázku výkonu funkce pověřence pro ochranu OÚ, tak tato činnost není poskytováním právních služeb, a proto není možno se na tuto činnost připojistit (což samozřejmě nemusí platit pro individuální pojištění).
Jak má advokát postupovat v případě ohlášení kontroly Úřadu pro ochranu osobních údajů?
ČAK zastává názor, že kontrolní pravomoc ÚOOÚ nesmí prolamovat zvláštním zákonem uloženou a ústavně garantovanou povinnost mlčenlivosti advokáta. Vzhledem k povinnosti mlčenlivosti advokát v žádném případě nesmí vydat jednotlivý klientský spis ke kontrole ÚOOÚ.
Minimálně v počátečním období se plánuje, že zástupce ČAK bude přítomen u každé kontroly advokáta ze strany ÚOOÚ. Detailní postup je uveden v metodice pro advokáty.
Jak postupovat v případě, že advokát obdrží žádost o přístup k osobním údajům od jiné osoby než klienta (např. zástupce protistrany)?
Ve vztahu k žádostem o přístup, týkajících se klientských spisů a podaných jinými osobami než klientem, se doporučuje tyto žádosti zamítnout s odkazem na existující povinnost mlčenlivosti, tj. neposkytovat ani informaci, zda kancelář osobní údaje příslušného subjektu údajů zpracovává, či nikoliv. I zamítnutí žádosti musí být vyřízeno ve stanovené lhůtě – tedy do jednoho měsíce od obdržení žádosti s možností prodloužení až o dva měsíce, avšak pouze v odůvodněných případech.
Stačí informaci ke GDPR zaslat klientovi e-mailem a nechat si to také emailem potvrdit?
Pro splnění informační povinnosti se doporučuje využít webové stránky advokáta/kanceláře, při elektronické komunikaci do zápatí mailu uvést odkaz na tento web, a dále jako samostatnou přílohu ke smlouvě (VZOR viz sekce vzory). Zpětné potvrzení mailem není nutné.
Je vhodné do plných mocí doplnit ustanovení o souhlasu se zpracováním OÚ?
Dokumentaci doplnit lze, nicméně nikoliv ustanovením o souhlasu, ale informací, že subjekt byl seznámen se zásadami zpracování osobních údajů (informační povinnost).
Je vhodné zapracovat informaci ke GDPR do příkazních smluv nebo samostatnou listinou, jak to např. dělají banky?
Doporučuje se informační povinnost zapracovat přílohou ke smlouvě (VZOR viz sekce vzory), využít webové stránky advokáta/kanceláře a příp. odkazem na webové stránky v zápatí mailové korespondence. V případě dodavatelů (zpracovatelů – osob, které pro advokáty dodávají služby a advokáti jim předávají osobní údaje, typicky mzdové účetní nebo dodavatelé IT podpory) bude nutno také udělat dodatky ke smlouvám obsahující záruky zajištění odpovídající ochrany OÚ (dle čl. 32 GDPR).
Může být jeden pověřenec pro ochranu OÚ jmenován pro více evropských poboček jednoho nadnárodního správce?
Ano, GDPR uznává výkon funkce pověřence na úrovni EU. Pověřenec ale musí zároveň splňovat podmínky disponibility časové, místní i jazykové, proto lze doporučit jmenování pověřence lokálního pro zastoupení v místní pobočce.
Bude souhlas klienta, či informace jemu, nutná i ve skončených, ale prozatím neskartovaných věcech, protože dosud neuplynula pětiletá lhůta? Nebo, což by bylo rozumné, jen ve věcech neskončených? Jak postupovat u osob, jejichž obhajobu či zastoupení advokát nepřevzal, ale s klientem jednal?
Souhlas není u klientů nutný vůbec, právní titul pro zpracování OÚ je plnění smlouvy, nutná je informační povinnost a u stávajících klientů přichází v úvahu splnění zveřejněním na webu. Co se týká osob, u kterých nebylo převzato zastoupení/obhajoba, ale s kterými bylo jednáno, tak pokud si advokát vede evidenci takových osob, vyřeší stejným způsobem, pokud si evidenci takových osob nevede, nejde se o zpracování, a tedy nespadá pod úpravu GDPR.
Jakým způsobem bude technicky probíhat předání dat v případě žádosti o uplatnění práva na přenositelnost?
GDPR definuje výměnný formát jako strukturovaný, strojově čitelný, běžně používaný. Vhodným formátem pro předání se jeví např. formát ZIP. Je nutno zdůraznit, že právem na přenositelnost nesmí být dotčena práva a svobody jiných osob.
Je možno uvést příklad použití právního titulu podle čl. 6 odst. 1, písm. d) GDPR, kdy zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v advokátní praxi?
K využití tohoto právního titulu dojde pouze výjimečně, např. pokud dojde ke kolapsu osoby v prostorách advokátní kanceláře a bude nutno okamžitě zjistit totožnost, příp. příčinu jejího zdravotního stavu pro poskytnutí okamžité první pomoci, příp. zavolání rychlé záchranné služby (nahlédnout do kapes, ověřit totožnost, příp. najít průkaz diabetika apod.).
Jaké jsou základní předpoklady pro splnění zásad zpracování osobních údajů advokátem a doložení splnění zásady odpovědnosti (dle čl. 5 odst. 2 GDPR)?
Doporučuje se minimálně:
Vést dokumentaci o procesu zpracování osobních údajů (např. interní směrnice zpracování osobních údajů)
Vést dokumentaci o zpracování osobních údajů (záznamy o činnostech zpracování, VZOR viz sekce vzory)
Plnit informační povinnost vůči subjektům údajů (VZOR viz sekce vzory)
Popsat proces naplnění práv subjektů údajů (VZOR žádosti a odpovědi viz sekce vzory)
Revidovat smlouvy (se zaměstnanci, klienty, zpracovateli)
Revidovat souhlasy a zavést jejich evidenci
Zavést/revidovat proces hlášení bezpečnostních incidentů
Provést analýzu ohledně povinnosti jmenovat/nejmenovat pověřence pro ochranu osobních údajů a závěry zdokumentovat, v případě nutnosti jmenování pověřence zveřejnit jeho kontaktní údaje a nahlásit jmenování pověřence na ÚOOÚ
Provést analýzu rizik zpracování OÚ a zavést proces pravidelného testování, posuzování a hodnocení technických a organizačních opatření pro zajištění vhodné úrovně zabezpečení OÚ odpovídající danému riziku
Provést analýzu, zda je nutné zpracovat posouzení vlivu na ochranu osobních údajů (DPIA). V případě závěru analýzy, že konkrétní zpracování může být vysokým rizikem pro práva a svobody subjektů údajů, DPIA vypracovat (pokud nelze využít výjimky stanovené ÚOOÚ)
Jak je to se zpracováním OÚ u OSVČ?
Úplně stejně jak u fyzických osob, jde o subjekt údajů a GDPR se na ně vztahuje.
Nové odpovědi na dotazy od 30.4.2018
Zda/jakým způsobem by měla být otázka zpracování osobních údajů upravena mezi AK a klienty, kteří jsou právnickými osobami?
GDPR v čl. 4 jako subjekt údajů, na nějž se vztahuje působnost GDPR, definuje jako fyzickou osobu, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor. Ačkoliv na právnické osoby se působnost GDPR nevztahuje (podobně jako ve stávající legislativě), doporučuje se i v rámci smluvního vztahu s právnickými osobami pamatovat na možnost zpracování osobních údajů fyzických osob, které právnickou osobu zastupují. Jako vhodné opatření lze doporučit zejména naplňování informační povinnosti (konkrétním ustanovením do smlouvy, zveřejněním na webových stránkách, v elektronické komunikaci – lze i odkazem na webové stránky v zápatí zprávy).
Jak ošetřit vztah mezi AK a spolupracujícími advokáty z hlediska GDPR?
Domníváme se, že na spolupracující advokáty je nutno hledět jako na samostatné správce osobních údajů (v některých případech nelze vyloučit ani společné správcovství osobních údajů dle čl. 26 GDPR). Nelze totiž opomenout, že osobně odpovědným za výkon advokacie je právě samostatný advokát, který je při výkonu své činnosti nezávislý (srov. ustanovení § 3, 21 a 25 zákona o advokacii). Samostatný advokát odpovídá za řádné zpracování osobních údajů klientů v tom rozsahu, ve kterém mu jsou svěřeny AK za účelem naplňování činnosti a poskytování služeb.
Postavení samostatného správce však nevylučuje zvláštní právní úpravu vztahu ve smlouvě o spolupráci. Jako nutné minimum lze doporučit zahrnout do smlouvy vzájemnou informační povinnost, povinnost zajistit řádné předávání, uchování a vyřazování osobních údajů, principy zpracování, vědomé ochrany a zabezpečení osobních údajů. Současně je nutno spolupracující advokáty zahrnout i do pravidelného systému informování (znalosti interních předpisů) a proškolování v oblasti GDPR a o tomto vést záznamy.
Musí mít advokát pověřence pro ochranu osobních údajů, když vykonává činnost sám?
Domníváme se, že s největší pravděpodobností nikoliv. Povinnost jmenování pověřence (DPO) je stanovena z důvodů popsaných v čl. 37 GDPR, přičemž v oblasti advokacie bude výjimečně připadat v úvahu situace vymezená v odst. 1 písm. c) („hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v čl. 9 a OÚ týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10“). Tyto podmínky naplní advokátní kanceláře, specializující se v rámci své hlavní činnost na rozsáhlou právní pomoc v oblasti trestního práva anebo agendy, při níž ve velkém rozsahu dochází ke zpracování osobních údajů zvláštních kategorií (spotřebitelské spory, náhrada škod a újem na zdraví). Pro všechny jiné poskytovatele advokátních služeb platí, že DPO nebudou velmi pravděpodobně muset jmenovat.
Doporučuje se, aby si každý správce (advokát/advokátní kancelář) provedl analýzu, zda DPO jmenovat nebo ne, závěry zdokumentoval a založil do dokumentace související s GDPR.
Kdy má advokát povinnost zpracovat posouzení vlivu dopadu na ochranu osobních údajů (DPIA)?
Advokát nejprve provede analýzu rizik (VZOR viz sekce vzory), zda zpracování osobních údajů nepředstavuje zpracování s vysokým rizikem pro práva a svobody subjektů údajů. I v případě poskytovatelů právních služeb lze předpokládat, že budou existovat zpracování osobních údajů, která by na základě analýzy mohla být zařazena do skupiny „zpracování s vysokým rizikem pro práva a svobody subjektů údajů“. Nicméně na základě empirických poznatků a případně i snahy po minimálním administrativním zatížení některých správců docházejí evropské nebo národní orgány k závěru, že zpracování posouzení vlivu na ochranu osobních údajů v těchto případech není třeba provádět.
Toto se týká např. i výkonu praxe samostatným advokátem. DPIA s největší pravděpodobností v tomto případě není třeba provádět (podle rec. 91 GDPR „zpracování by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky.“).
Jak postupovat v případě uprchlých osob a nesvéprávných?
Ochrana osobních údajů je na evropské i národní úrovni (v ČR jakožto součást obecné ochrany osobnosti a soukromí podle občanského zákoníku a dalších předpisů) definičně vázána na jakoukoliv fyzickou osobu bez ohledu na její svéprávnost anebo fakt, že se jedná o osobu uprchlou. Právní maximy ochrany osobních údajů tak platí i pro správce vedoucí evidenci o těchto osobách.
V obou zmíněných případech lze poukázat na specifické postavení subjektů, o nichž jsou v evidenci advokáta i zvláštní kategorie osobních údajů (např. informace o zdravotním stavu odůvodňující omezení svéprávnosti). To zvyšuje obecný standard ochrany osobních údajů (zejm. v oblasti jejich zabezpečení a ochrany).
S odkazem na čl. 30 odst. 5 GDPR v případě, že advokát nevykonává zastupování v oblasti trestních případů, z jakých důvodů má zpracovávat seznamy o činnostech, jestliže nezaměstnává dalších 250 osob ve své kanceláři?
Vzhledem k nesprávnému ukotvení výjimky v právním předpisu se tato výjimka téměř neuplatní, což bývá kritizováno i na úrovni dozorových a kontrolních orgánů (např. v rámci WP 29). Důvodem tohoto závěru je, že tato výjimka se uplatní pouze v minimálním počtu případů, kdy „zpracování (osobních údajů) není příležitostné.“ To však v případě advokátů (a lze uzavřít, že téměř u žádného podnikatele podle obecných anebo zvláštních předpisů) nebude naplněno nikdy (povinné evidence oborové – advokátní spisy, kniha o prohlášeních o pravosti podpisu, obecné podnikatelské – účetnictví, daňová evidence, personálně-mzdová evidence, specifické evidence – jsou systematické v čase, struktuře a rozsahu).
Co se rozumí organizačními a technickými opatřeními předjímanými GDPR pro účely zajištění ochrany a zabezpečení osobních údajů?
GDPR žádnou definici těchto opatření neposkytuje, rovněž tak stanoviska WP 29 a dalších orgánů s tímto pojmem pracují jako s mimoprávní notorietou. Ustanovení čl. 25 ani 32 GDPR nelze považovat za úplné definice v legislativním smyslu slova, spíše za příkladmé výčty možných opatření a principů ochrany a zabezpečení osobních údajů.
Jisté vodítko poskytuje v oblasti automatizovaných evidencí (informačních systémů a elektronických spisoven) zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), který v § 5 definuje katalog konkrétních organizačních a technických opatření (např. řízení rizik, bezpečnostní politika, fyzické zabezpečení, kryptografické prostředky apod.).
Jaký je minimální standard pro ochranu osobních údajů dle GDPR?
GDPR nedefinuje žádný minimální, ani optimální standard ochrany osobních údajů. Nařízení je vystavěnou na principu posuzování a řízení rizika konkrétního zpracování (tzv. risk-based approach), tj. v případě každého jmenovitého zpracování je potřeba minimální standard ochrany stanovit právě s ohledem na rizika s ním spojená. Z tohoto důvodu je potřeba zohlednit obsah evidencí a přizpůsobit jim standard ochrany (např. v případě klientských věcí je vhodné rozlišovat, zda jde o spisy obsahující zvláštní kategorie osobních údajů, u pracovně-právních evidencí usilovat o co nejmenší fyzický rozsah evidencí a jejich zpřístupnění minimálnímu počtu osob apod.).
Obdrží zástupce obchodní společnosti, za kterou uzavírá smlouvy připravované advokátem, od něj sdělení podle čl. 14 GDPR? Osobní údaje zástupce jsou v této smlouvě obsažené, byť je pouze zástupcem smluvní strany.
Domníváme se, že nikoliv. Informace o zpracování osobních údajů není nezbytné poskytovat v rozsahu, ve kterém subjekt údajů již příslušné informace má (čl. 14 odst. 5 GDPR, rec. 62 GDPR). Pokud se jedná o zaměstnance obchodní společnosti, statutární orgán anebo jinou osobu v podobném postavení, měla by jí informace, že její údaje budou předmětem připravovaných smluv, stejně jako právní titul pro takové uvedení do smlouvy již známé. Jinak řečeno, ve vztahu k zástupci obchodní společnosti vzniká informační povinnost na straně správce, tj. zmíněné obchodní společnosti.
Má advokát v souvislosti s informacemi ke GDPR povinnost ve vztahu k subjektům údajů v souvislosti s ověřovací knihou, včetně subjektů, kterým v minulosti ověřil podpis? Nejedná se vždy o klienty AK. Jak v tomto případě postupovat? Advokát nemá webové stránky.
Domníváme se, že nikoliv. Informace o zpracování osobních údajů není nezbytné poskytovat v rozsahu, ve kterém subjekt údajů již příslušné informace má (čl. 14 odst. 5 GDPR, rec. 62 GDPR). Tento závěr platí tím spíše pro záznamy pořízené před datem účinnosti GDPR, a to přesto, že ověřovací kniha je nepochybně specifickou evidencí osobních údajů. ČAK v této souvislosti upozorňuje, že rozsah a obsah evidence v tomto případě stanoví příslušný komorový předpis (viz https://www.cak.cz/scripts/detail.php?id=2920).
Dotaz se týká likvidace dat a zpracování údajů v elektronické podobě. Advokátní spis je nutno vést pět let po ukončení, dalších pět let je nutno vést účetní doklady. Jak je to s elektronickou podobou? Je nutno kvůli GDPR po pěti letech vymazat i jednotlivé složky s ukončenými mandanty, když už vzhledem k jejich právům neexistuje důvod spis vést, kromě skutečnosti, že lze čerpat informace a znalosti ze starých případů a využívat dokumenty jako vzory? Nebo je nutno na již podaných podáních vymazat všechny osobní údaje a v takové podobě si případně svá podání a rešerše zachovat?
V popsaném případě bohužel neexistuje po uplynutí stanovené pětileté lhůty právní titul ani důvod pro další zpracování klientských věcí (ledaže by tyto měly nějaké pokračování, vazbu na jinou běžící věc, která by odůvodňovala držbu dokumentů advokátem apod.), takže advokát by po jejím uplynutí měl osobní údaje vyloučit z dalšího zpracování a nejlépe zlikvidovat (tak zcela jednoznačně naplní zásadu omezeného uložení osobních údajů dle čl. 5 odst. 1 písm. e) GDPR).
Na druhou stranu, řečená zásada je konstruována coby uložení „ve formě umožňující identifikaci subjektů údajů po (určitou) dobu“ . Pakliže budou tedy původní dokumenty upraveny způsobem, který vyloučí další zpracování osobních údajů v podáních/rešerších (vymazáním osobních údajů z obsahu, vlastností a metadat dokumentu anebo důsledná anonymizace), lze vytvořené dokumenty dále používat coby vzory písemností. I když je i anonymizace jako proces považována za zpracování osobních údajů, výsledný produkt, tedy vzorový dokument obsahující jen anonymizované údaje, již nespadá do působnosti GDPR.
Je možno zaslat vzor pro archivní a skartační řád? Pokud ne, bude dostačující do záznamů uvést, že z důvodu advokátních předpisů advokát uchovává spis pět let po ukončení zastoupení a účetní a daňové doklady deset let od ukončení daňového plnění (zjednodušeně)?
Ačkoliv lze vytvoření archivačního a skartačního řádu coby nástroje pro řízení životního cyklu informací v kanceláři advokáta jen doporučit, považujeme v případě výkonu advokacie samostatným advokátem výše uvedené prohlášení do záznamů pro doložení souladu s GDPR za dostačující. Nelze však zapomenout na další lhůty stanovené právními předpisy, které by v záznamech měly být uvedeny (účetní, daňové dokumenty, personální evidence).
Ohledně dotazu: „Bude souhlas klienta, či informace jemu, nutná i ve skončených, ale prozatím neskartovaných věcech, protože dosud neuplynula pětiletá lhůta? Nebo, což by bylo rozumné, jen ve věcech neskončených? Jak postupovat u osob, jejichž obhajobu či zastoupení advokát nepřevzal, ale s klientem jednal? ČAK odpovídá: Souhlas není u klientů nutný vůbec, právní titul pro zpracování OÚ je plnění smlouvy, nutná je informační povinnost a u stávajících klientů přichází v úvahu splnění zveřejněním na webu. Co se týká osob, u kterých nebylo převzato zastoupení/obhajoba, ale s kterými bylo jednáno, tak pokud si advokát vede evidenci takových osob, vyřeší stejným způsobem, pokud si evidenci takových osob nevede, nejde se o zpracování, a tedy nespadá pod úpravu GDPR.“
Desítky advokátů nemá webové stránky. U stávajících klientů, jejichž věci nejsou skončené, lze informační povinnost vyřešit osobním jednáním, písemně či e-mailem. Ve výše uvedené odpovědi však ČAK neodpověděl, zda je nutná informační povinnost i ve vztahu ke klientům, jejichž věc je před 25.5.2018 skončena, neskartována a archivována vzhledem k neuplynutí pětileté skartační lhůty. Nebo tomu lze rozumět tak, že část odpovědi, “že právním titulem pro zpracování OÚ je plnění smlouvy”, znamená, že informační povinnost se netýká skončených (archivovaných a neskartovaných) věcí?
Naplňování informační povinnosti je založeno na principu nejvyššího racionálně možného úsilí. Advokát, který nemá webové stránky, by proto měl zajistit, aby byl schopen vůči svým klientům naplňovat informační povinnost jinou cestou (např. předložením předtištěného dokumentu, poskytnutím poučení, na které je odkazováno ve smlouvě apod.).
Co se týká stávajících klientů, jejichž věci však již byly uzavřeny a čekají na skartaci, resp. klientů, s nimiž již byl právní vztah ukončen, popř. nejsou pro advokáta kontaktní, představovalo by důsledné naplňování informační povinnosti neúměrné úsilí na straně advokáta coby správce. V tomto případě se proto informace neposkytují (s odkazem na rec. 62 GDPR ve spojení s čl. čl. 14 odst. 5 písm. b) GDPR.
Týká se GDPR i advokáta, který advokacii nevykonává a platí pouze udržovací poplatek Komoře?
Působnost GDPR dopadá na všechny správce, zpracovatele i subjekty údajů, a to bez ohledu na skutečnost, zda aktuálně vykonávají činnost, v jejímž rámci dochází ke zpracování osobních údajů, právně kvalifikovaným způsobem (tzn. podobně jako praktikující advokát).
Jinak řečeno, i advokát, který má pozastavenou činnost, avšak drží klientskou dokumentaci a byť jen občasně komunikuje s klienty (např. za účelem vracení spisů apod.), je osobou povinnou podle GDPR v postavení správce. Je tedy i nadále např. povinen vyřizovat žádosti a stížnosti týkající se uplatnění práv subjektů údajů, zabezpečovat a chránit osobní údaje subjektů, poskytovat součinnost Komoře a ÚOOÚ, pokud bude předmětem kontroly.
V případě, že klient samostatnému advokátovi poskytne (především v oblasti rodinného práva) své lékařské zprávy, nebo lékařské zprávy svých dětí nebo pedopsychologické zprávy svých dětí, nebo pouze potvrzení o pracovní neschopnosti z důvodu odročení soudního jednání, nebo znalecký posudek v oblasti psychologie, psychiatrie, sexuologie, potřebuje mít pověřence?
Domníváme se, že nikoliv. Advokát v takovém případě nenaplní požadavky čl. 37 odst. 1 písm. b) ani c) GDPR, zejména proto, že takové zpracování nenaplní požadavek rozsáhlého zpracování v rámci výkonu hlavní činnosti (ten bývá dle pravidelných vyjádření zástupců ÚOOÚ dosahován až v řádech vyšších stovek až tisíců záznamů).
Může advokát u klienta, u něhož je v režimu příkazní (příp. historicky mandátní) smlouvy vykonávat i funkci pověřence a jaký zvolit právní režim výkonu pověřence vzhledem ke specifickému postavení pověřence jakožto nového institutu (např. další příkazní smlouva nebo některá pracovní smlouva)?
S odkazem na čl. 37 odst. 6 GDPR lze funkci pověřence vykonávat jako zaměstnanec (tedy jakýkoliv typ pracovní smlouvy) nebo na základě smlouvy o poskytování služeb (např. příkazní smlouva). V případě advokátů, kdy výkon advokátní činnosti nelze sloučit s pracovně-právním poměrem u klienta, se jako vhodná úprava vzájemného vztahu jeví např. příkazní smlouva.
Advokát může vykonávat pro klienta i funkci pověřence, ale nejedná se o poskytování právních služeb ve smyslu zákona o advokacii. S ohledem na možný střet zájmů při výkonu funkce pověřence a povinnosti zastupovat zájmy klienta jako advokát se doporučuje ve vzájemné smlouvě vymezit činnosti, které nelze pro vyloučení střetu zájmů vykonávat (např. že advokát nebude zastupovat klienta před soudem v případě týkajícím se ochrany osobních údajů). Advokát v roli pověřence by měl především důsledně vyloučit všechny formy právního zastoupení a poskytování právního poradenství jak v oblasti zpracování a ochrany osobních údajů, tak v oblastech, kterých se zpracování těchto údajů nezbytně nutně týká (např. pracovněprávní problematika, e-commerce a marketing apod.). V detailu odkazujeme na Doporučení CCBE ohledně klíčových nových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s obecným nařízením o ochraně osobních údajů (GDPR) ze dne 19. 5. 2017.
Na konci je však vždy na úvaze každého advokáta, aby zvážil vlastní odpovědnost ve vztahu ke klientovi a vyloučil případný střet zájmů.
Může advokát vykonávat funkci pověřence pro ochranu osobních údajů pro svého klienta? Pakliže advokát funkci pověřence pro ochranu osobních údajů pro svého klienta vykonává, jde z jeho strany o poskytování právních služeb?
Ano, advokát může vykonávat pro klienta i funkci pověřence, ale nejedná se o poskytování právních služeb ve smyslu zákona o advokacii. S ohledem na možný střet zájmů při výkonu funkce pověřence a povinnosti zastupovat zájmy klienta jako advokát se doporučuje ve vzájemné smlouvě vymezit činnosti, které nelze pro vyloučení střetu zájmů vykonávat (např. že advokát nebude zastupovat klienta před soudem v případě týkajícím se ochrany osobních údajů).
V detailu odkazujeme na Doporučení CCBE ohledně klíčových nových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s obecným nařízením o ochraně osobních údajů (GDPR) ze dne 19.5.2017. Je na úvaze každého advokáta, aby zvážil jeho odpovědnost ve vztahu ke klientovi a vyloučil případný střet zájmů.
Obecné požadavky na výkon funkce DPO a stanovisko IAPP a CCBE
Požadavky na výkon funkce pověřence pro ochranu osobních údajů (DPO) obsažené v čl. 38 (podpůrně i v bodu 97 odůvodnění) a minimální soubor úkolů pověřence v čl. 39 GDPR jsou záměrně vymezeny poměrně vágně a široce.
Mezinárodní organizace IAPP (International Association of Privacy Professionals) doporučuje, aby funkci pověřence pro ochranu osobních údajů zastával zkušený právník anebo auditor informačních systémů (nejlépe nadto licencovaný jako samostatný účetní a/nebo CFA), který je orientován na ochranu osobních údajů a nebo technologické právo.
IAPP doporučuje, aby u DPO byla zajištěna schopnost výkonu povinností a úkolů nezávislou formou a schopnost pracovat bez instrukce správce ohledně výkonů úkolů (potažmo schopnost odmítat takové instrukce). Z tohoto důvodu bude v řadě situací vznikat imanentní konflikt zájmů (kontrola sama sebe v procesech, kde právník zpracovává ve své hlavní / další činnosti osobní údaje, situace, kdy jako DPO bude advokát řešit práva subjektů, vůči nimž by se pak měl bránit coby zástupce správce), jednak řada z nich nebude mít odpovídající schopnosti v oblasti informačního managementu / ICT technologií.
V Německu se o této problematice v kontextu GDPR i dřívější právní úpravy (německé společnosti mají povinnost jmenovat osobu tzv. Datenschutzbeauftragter - DSB) vede intenzivní debata a existuje již i rozhodovací praxe federálních i zemských úřadů (zejm. bavorského BayLDA). Zmíněné úřady už několikrát rozhodovaly o situaci, kdy byl DSB/DPO jmenován zaměstnanec s jinou pracovní rolí u správce. V jednom případě byl správce pokutován BayLDA za to, že jako DSB jmenoval (a přes opakované žádosti úřadu nezměnil) osobu IT manažera společnosti. Úřad nemožnost tohoto souběhu funkcí odůvodnil právě konfliktem zájmů (zaměstnanec kontroluje sám sebe a není nestranný).
Rovněž tak se BayLDA v nedávné době vyjadřoval k možnosti jmenování členů právního oddělení do rolí DSB/DPO. Dovodil, že za určitých okolností mohou být všichni tito interní pracovníci diskvalifikováni z výkonu funkce DPO. Hlavním argumentem byla možnost, že tito pracovníci budou zastupovat správce ve sporech z ochrany osobních údajů (zejm. proti zaměstnancům anebo spotřebitelům) - pak jsou v konfliktu zájmů a nemohou být nezávislí.
Ostatně, tento závěr potvrzuje i WP 29 ve své guideline k DPO (WP 243), když říká, že pojmově jsou z role DPO vyloučeni všichni C-level manažeři (COO, CFO, CIO, personální ředitel, marketingový ředitel, vedoucí lékař apod.).
V této souvislosti nelze opominout, že nejmenování DPO anebo jmenování nezpůsobilého DPO je správním deliktem postihovaným základní sazbou sankce (tj. až do 10 mil. € / 2 % světového obratu společnosti/skupiny).
V případě, že advokát vykonává advokacii jako společník společnosti s ručením omezeným, může vedle toho založit samostatnou společnost s ručením omezeným, která bude vykonávat pouze činnosti spojené s funkcí pověřence pro ochranu osobních údajů? Může být za podmínek uvedených v předchozí větě pověřencem pro ochranu osobních údajů přímo společnost s ručením omezeným s tím, že činnosti a úkoly pověřence v rámci této společnosti s ručením omezeným vykonává konkrétní osoba k tomu určená?
Ano, advokát může založit samostatnou společnost pro výkon činnosti pověřence.
Ano, pověřencem může být i právnická osoba, přičemž se doporučuje určit jednu konkrétní fyzickou osobu odpovědnou za výkon činnosti pověřence u konkrétního správce.
Jaké je stanovisko ČAK k otázce samotné slučitelnosti výkonu činnosti pověřence pro ochranu osobních údajů s výkonem advokacie advokátem, a to zejména s ohledem na otázku zachovávání advokátního tajemství a mlčenlivosti, a dále k otázce slučitelnosti výkonu činnosti pověřence pro ochranu osobních údajů advokátem pro klienta s poskytováním jiných právních služeb tomuto stejnému klientovi.
Advokát může vykonávat pro klienta i funkci pověřence, ale nejedná se o poskytování právních služeb ve smyslu zákona o advokacii. S ohledem na možný střet zájmů při výkonu funkce pověřence a povinnosti zastupovat zájmy klienta jako advokát se doporučuje ve vzájemné smlouvě vymezit činnosti, které nelze pro vyloučení střetu zájmů vykonávat (např. že advokát nebude zastupovat klienta před soudem v případě týkajícím se ochrany osobních údajů). Advokát v roli pověřence by měl především důsledně vyloučit všechny formy právního zastoupení a poskytování právního poradenství jak v oblasti zpracování a ochrany osobních údajů, tak v oblastech, kterých se zpracování těchto údajů nezbytně nutně týká (např. pracovněprávní problematika, e-commerce a marketing apod.).
V ostatním viz odpovědi výše.
V jakém postavení je advokát vůči klientovi – správce nebo zpracovatel? A dále v jakém postavení je advokát vůči třetím osobám – protistraně klienta (dlužníkům aj.)? Je v postavení samostatného správce/společného správce/zpracovatele? Na skutečnosti, že by byl absurdní výklad, kdy by měl advokát předem povinnost tyto osoby informovat o zpracování jejich osobních údajů, se jistě shodneme – to lze dovodit případně i z výjimky dle čl. 14 odst. 5 písm. d) GDPR. Nicméně to neřeší další povinnosti, které jsou GDPR na správce kladeny.
Advokát je dle našeho názoru nepochybně správce osobních údajů klienta, protistrany a všech osob s věcí spojených (druhého právního zástupce, všech svědků apod.). Tyto osobní údaje zpracovává legitimně a po právu k naplnění smlouvy o poskytování právních služeb, naplnění právní povinnosti (§ 25 a 3 ZA) a k výkonu oprávněného zájmu klienta.
Advokát informaci poskytnout nemůže, a existuje pro to celá řada argumentů. Poskytování informací by v řadě případů vedlo k maření účelu zastoupení, advokát by porušil povinnost advokátní mlčenlivosti a mohl klientovi předčasným sdělením informace způsobit reálné škody a újmy. Nadto, jak správně uvedeno ve stanovisku CCBE, povinnosti dle čl. 14 GDPR nejsou bezbřehé a právě na výluku z této povinnosti pro účely zachování povinnosti mlčenlivosti se dá spolehnout. Rovněž tak se bude pravděpodobně možné spolehnout na možnost odložení informační povinnosti podle připravovaného zákona o zpracování osobních údajů.
CCBE v této věci ve svém doporučení ze dne 2/12/2016 uvádí:
V čl. 14 odst. 5) je stanovena výslovná výjimka z informačních požadavků správce, pokud osobní údaje nebyly získány od subjektů údajů, v případě, kdy se na údaje vztahuje PT (profesní tajemství)/PPM (právo na profesní mlčenlivost). Zejména pak odstavec 5) omezuje použití prvních čtyř odstavců článku 14 (upravující informace, které mají být poskytnuty v případech, kdy osobní údaje nebyly získány od subjektu údajů), jestliže „osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti“. Proto například když advokát při výkonu své profese shromáždil od klienta údaje o třetí osobě, pak není povinen naplnit informační požadavky stanovené v čl. 14 odst. 1) až 4).
Kromě toho článek 23 omezuje rozsah povinností a práv stanovených v článcích 12 až 22 „jestliže takové omezení respektuje podstatu základních práv a svobod a představuje opatření v demokratické společnosti nezbytné a přiměřené, s cílem zajistit: [...] g) prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných profesí“.
Tento článek může posloužit advokátním komorám a dalším jako základ snah o to zajistit, aby členské státy za účelem ochrany informací, na něž se vztahuje PT/PPM, přiměřeným způsobem omezily následující články:
- Článek 13: „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“
- Článek 15: „Právo subjektu údajů na přístup k osobním údajům“
- Článek 16: „Právo na opravu“
- Článek 17: „Právo na výmaz („právo být zapomenut“)“. V této souvislosti je důležité poukázat na odst. 3 písm. e), který již obsahuje omezení, kterých by se mohli dovolávat advokáti v souvislosti s činnostmi při zpracovávání, které jsou nezbytné „pro určení, výkon nebo obhajobu právních nároků“. Advokátní komory mohou usilovat o to, aby se tato výjimka rozšířila tak, že bude zahrnovat i právní činnosti advokátů ve sporných řízeních, jejichž součástí je zpracování údajů, na něž se vztahuje PT/PPM.
- Článek 18: „Právo na omezení zpracování“
- Článek 19: „Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování“
- Článek 20: „Právo na přenositelnost údajů“
- Článek 21: „Právo vznést námitku“
- Článek 22: „Automatizované individuální rozhodování, včetně profilování“
Zamýšlí Česká advokátní komora přijetí jednotného kodexu dle článku 40 GDPR, který by předávání osobních údajů mezi advokáty usnadnil, případně zda není úmysl přijmout jednotný celojustiční kodex, který by výše nastíněnou problematiku řešil?
V dohledné době o vypracování kodexu dle čl. 40 GDPR pro advokáty ČAK neuvažuje, čímž není vyloučeno vypracování kodexu v pozdější době, jakmile bude zavedena praxe ÚOOÚ pro přijímání a připomínkování kodexů.
Úmysl vypracování příp. celojustičního kodexu není ČAK znám. ČAK nemá ani informace o tom, že by takový kodex byl připravován na straně Ministerstva spravedlnosti.
Musí advokát zašifrovat emailovou korespondenci, pokud obsahuje zvláštní kategorii osobních údajů?
GDPR nestanoví žádný minimální standard pro konkrétní bezpečnostní opatření v případě zpracování jmenovitých kategorií osobních údajů. Zabezpečení osobních údajů by mělo reflektovat jejich citlivost a důležitost pro subjekty osobních údajů.
Povinnost šifrovat korespondenci není v GDPR striktně stanovena, advokát je povinen přijmout vhodná technická a organizační opatření pro zajištění patřičné úrovně zabezpečení dle čl. 32 GDPR. Konkrétní opatření by měla vycházet z provedené analýzy rizik. Jako minimální opatření se doporučuje např. zaheslování souboru s daty obsahující zvláštní kategorie osobních údajů a sdělení hesla jinou cestou než e-mailem (telefonem, sms, heslovou knihou). Alternativou může být využívání zabezpečených online úložišť pro výměnu informací, kam je možné se přihlásit jenom přístupem přes poslaný odkaz a zadáním hesla.
Jak má postupovat samostatný advokát při implementaci GDPR? Musí dle metodiky provádět všechna opatření doporučovaná ČAK, tj. zpracovávat směrnici, vést záznamy o činnostech zpracování, provádět analýzu rizik, provádět DPIA či jmenovat pověřence?
Minimální povinnosti pro splnění souladu s GDPR byly zodpovězeny již dříve v otázce „Jaké jsou základní předpoklady pro splnění zásad zpracování osobních údajů advokátem a doložení splnění zásady odpovědnosti (dle čl. 5 odst. 2 GDPR)?“
Podrobný postup pro samostatné advokáty viz dokument v sekci VZORY „00_Doplneni metodiky_Postup pro samostatne advokaty“
Doporučuje se minimálně:
- vést dokumentaci o procesu zpracování osobních údajů (např. interní směrnice zpracování osobních údajů nebo pravidla OOÚ – viz VZOR 06 v sekci vzory). V případě samostatného advokáta není nutno vydávat směrnici, ale stačí stručně popsat proces, např. tzv. zásady pro zpracování osobních údajů s min. následujícím obsahem: jak plní informační povinnost, jak probíhá proces naplnění práv subjektů údajů, jaká jsou přijata opatření k zabezpečení OÚ, příp. závěry analýz (jmenování/nejmenování DPO, analýza rizik zpracování OÚ, příp. závěr, zda je nutno zpracovat posouzení vlivu/DPIA)
- vést dokumentaci o zpracování osobních údajů (záznamy o činnostech zpracování, VZOR viz sekce vzory)
- plnit informační povinnost vůči subjektům údajů (VZOR viz sekce vzory)
- popsat proces naplnění práv subjektů údajů (VZOR žádosti a odpovědi viz sekce vzory)
- revidovat smlouvy (se zaměstnanci, klienty, zpracovateli), výjimečně se zabývat souhlasy
- zavést proces hlášení bezpečnostních incidentů
- provést posouzení ohledně povinnosti jmenovat/nejmenovat pověřence pro ochranu osobních údajů a závěry zdokumentovat (zapsat do dokumentace – pravidel OOÚ), ve výjimečném případě nutnosti jmenování pověřence zveřejnit jeho kontaktní údaje a nahlásit jmenování pověřence na ÚOOÚ
- provést analýzu rizik zpracování OÚ (VZOR viz sekce vzory) a zavést proces pravidelného testování, posuzování a hodnocení technických a organizačních opatření pro zajištění vhodné úrovně zabezpečení OÚ odpovídající danému riziku, a zároveň během této analýzy vyhodnotit,
- zda je nutné zpracovat posouzení vlivu na ochranu osobních údajů (DPIA). Podle recitálu 91 GDPR „zpracování by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky.“ V případě závěru analýzy, že konkrétní zpracování může být vysokým rizikem pro práva a svobody subjektů údajů, DPIA vypracovat (pokud nelze využít výjimky stanovené ÚOOÚ).
Musí samostatný advokát se dvěma koncipienty vydávat vnitřní směrnici o nakládání s osobními údaji, když neshromažďuje jiné údaje než ty, které mu dobrovolně předávají klienti, předávat klientovi ke každé smlouvě poučení týkající se GDPR a jmenovat pověřence?
Nikoliv. V podrobnostech zodpovězeno viz výše v otázce Jak má postupovat samostatný advokát při implementaci GDPR?
Je třeba pro každý jednotlivý případ poskytnutí právní pomoci na základě smlouvy o poskytnutí právních služeb vést evidenci Záznamů o činnostech zpracování? A pokud ano, je tak třeba činit v každém jednotlivém případě v rozsahu uvedeném v Metodice ČAK v části 6.1.?
Nikoliv. Co se týká záznamů o činnostech zpracování, tyto neslouží k evidenci jednotlivých případů, ale jsou obecným záznamem o způsobu zpracování osobních údajů v rámci prováděných agend. I z tohoto důvodu jsou zhotovovány bez konkrétních údajů klienta anebo jiného subjektu (jak je i uvedeno v příloze metodiky – příklad vyplněného záznamu).
Výjimečně je možné, že samostatný advokát bude mít např. pouze i jenom jednu agendu, a to pouze klientskou. Tato situace nastane např. tehdy, pokud samostatný advokát vykonává činnost zcela sám a pouze vlastními silami, nemá žádného zaměstnance nebo externího zpracovatele – poskytovatele služeb, kterému by předával osobní údaje (např. IT dodavatel, externí mzdová účetní, překladatelské služby atp.).
Metodika bez rozlišení počtu advokátů v kanceláři uvádí, že každý advokát spadá do kategorie subjektů, kteří provádějí rozsáhlé zpracování a s tímto souvisí nutnost analýzy rizik a posouzení vlivu na ochranu osobních údajů. Musí toto provádět i samostatný advokát?
Základní analýza rizik zpracování OÚ slouží k posouzení stavu zabezpečení a ochrany osobních údajů a hodnocení přiměřenosti přijatých technických a organizačních opatření pro zajištění vhodné úrovně zabezpečení. Bez aspoň základní analýzy rizik není žádný správce, a to ani samostatný advokát, schopen racionálně vyhodnotit a doložit (dle čl. 24 ve spojení s čl. 5 odst. 2 GDPR, jímž se zavádí zásada odpovědnosti), zda přijatá opatření jsou vhodná a dostatečná. Proto se doporučuje tuto základní analýzu (nebo posouzení) provést vždy, a také ji pravidelně opakovat.
Co se týká posouzení vlivu na ochranu osobních údajů, správce na základě provedené analýzy rizik posoudí, zda zpracování osobních údajů nepředstavuje zpracování s vysokým rizikem pro práva a svobody subjektů údajů. I v případě poskytovatelů právních služeb lze předpokládat, že budou existovat zpracování osobních údajů, která by na základě analýzy mohla být zařazena do skupiny „zpracování s vysokým rizikem pro práva a svobody subjektů údajů“. Nicméně na základě empirických poznatků a případně i snahy po minimálním administrativním zatížení některých správců docházejí evropské nebo národní orgány k závěru, že zpracování posouzení vlivu na ochranu osobních údajů v těchto případech není třeba provádět.
Toto se týká např. i výkonu praxe samostatným advokátem. DPIA s největší pravděpodobností v tomto případě není třeba provádět (podle rec. 91 GDPR „zpracování by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky.“). Očekává se vydání stanoviska ÚOOÚ k DPIA – návod na vyhodnocení, zda se na konkrétní zpracování vztahuje požadavek na posouzení vlivu na ochranu osobních údajů, doporučuje se sledovat stránky ÚOOÚ.
ČAK doporučuje dodatkování (doplnění) smlouvy o poskytování právních služeb ve vztahu ke GDPR (např. informační povinnost). Je tato povinnost dána a jak případně z hlediska jejího splnění postupovat ve vztahu ke klientům, s nimiž smlouva není uzavírána, tj. jimž byl advokát ustanoven soudem (nutná obhajoba) nebo určen ČAK, a to včetně případů, které jsou již skončeny, ale dosud neuplynula pětiletá letá lhůta pro skartování? Ve skončených věcech se přitom vesměs jedná o klienty, kteří nejsou kontaktní a jejichž pobyt není advokátovi znám. Advokát nemá webové stránky.
Naplňování informační povinnosti je založeno na principu nejvyššího racionálně možného úsilí. Advokát, který nemá webové stránky, by proto měl zajistit, aby byl schopen vůči svým klientům naplňovat informační povinnost jinou cestou (např. předložením předtištěného dokumentu, poskytnutím poučení, na které je odkazováno ve smlouvě apod.). Tato povinnost se týká i situací, ve kterých byl advokát ustanoven, neboť v daném případě nelze očekávat, že rozsah informací zpracovávaných o klientovi je tomuto subjektu znám.
Co se týká stávajících klientů, jejichž věci však již byly uzavřeny a čekají na skartaci, potažmo nejsou kontaktní, představovalo by důsledné naplňování informační povinnosti neúměrné úsilí na straně advokáta coby správce. V tomto případě se proto informace neposkytují (s odkazem na rec. 62 GDPR ve spojení s čl. čl. 14 odst. 5 písm. b) GDPR.
Je advokát při výkonu funkce pověřence pro ochranu osobních údajů pojištěn v rámci hromadného pojištění advokátů, tj. zda je tato činnost považována za výkon advokacie či nikoliv?
Pojištění se na tuto činnost nevztahuje, neboť nejde o výkon advokacie, ale o jinou činnost advokáta dle § 56 a násl. zákona o advokacii. Rámcovou smlouvou s Generali Pojišťovnou a.s. není pojištěna činnost pověřence pro ochranu osobních údajů. Ani navazující individuální pojistné smlouvy advokátů pojištění pověřence nepokrývají. Pro činnost pověřenců je Generali Pojišťovna a.s. připravena nabídnout produkt profesního pojištění.