Čas letí, máme za sebou horké léto a už třetí měsíc, co nabylo účinnosti nařízení GDPR. Podařilo se ho ve vaší firmě úspěšně zavést, nebo s implementací vyčkáváte až na to, jaké budou výsledky rozhodovací praxe dozorových orgánů, kdy padnou první pokuty a zda vše okolo GDPR nebylo jen mnoho povyku pro nic?

Vězte, že otálení se vám nemusí vyplatit, a to zejména pokud jste členem statutárního orgánu společnosti. Víte, kdo je vlastně odpovědný za řádnou implementaci GDPR?

Je pravda, že odpověď na tuto otázku v samotném textu GDPR nenaleznete. Je potřeba vycházet z českých právních předpisů, zejména zákona č. 89/2012 Sb., tedy občanského zákoníku (OZ), a zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (ZOK).

Z OZ a ZOK vyplývá, že (i) statutární orgán společnosti je generálním zástupcem společnosti jednajícím jejím jménem, kterému náleží (ii) obchodní vedení společnosti, a který (iii) by měl plnit své zákonné povinnosti s péčí řádného hospodáře. Musí mít tedy potřebné znalosti, být pečlivý a vůči společnosti loajální. Obchodním vedením společnosti se pak rozumí její každodenní vedení, kam patří i implementace nových právních předpisů. Ve výsledku tedy je a bude za zavedení GDPR odpovědný statutární orgán v rámci svých zákonných povinností.

Co když ale statutární orgán není odborníkem na regulaci osobních údajů? Neznamená to nic víc ani míň, že když nemá v této oblasti požadovanou odbornost a znalosti, musí takovou osobu pro společnost zajistit. A jako „řádný hospodář“ musí takového odborníka vybrat s náležitou péčí a loajalitou a s ohledem na podnikatelské aktivity společnosti. V opačném případě hrozí, že společnosti v důsledku nesprávné implementace GDPR vznikne škoda (např. kvůli udělení pokuty), nebo může dojít i na trestní odpovědnost dané společnosti.

V případě, že statutární orgán zajistí odpovídajícího odborníka, a společnost přesto utrpí škodu, nemusí se obávat důsledků porušení péče řádného hospodáře, pokud jednal v dobré míře, informovaně a v obhajitelném zájmu společnosti (tzv. pravidlo podnikatelského úsudku). Zjednodušeně: Když statutární orgán vybere odborníka na regulaci osobních údajů z okruhu uznávaných specialistů, nemusí se až tolik obávat, že porušil svou povinnost jednat jako řádný hospodář. Nicméně je nutné při výběru vhodného kandidáta na pozici pověřence pamatovat na skutečnost, že neuposlechnutí pokynu či doporučení pověřence může mít za následek udělení přísnější sankce. Pokud si tedy společnost vybere nedostatečně kvalifikovaného pověřence, veškerou odpovědnost za nesprávný úsudek bere na svoje bedra.

Trestní odpovědnost

Od 1. prosince 2016 trestní zákoník postihuje i neoprávněné nakládání s osobními údaji. Co se týká trestní odpovědnosti právnických osob, ta je upravena v zákoně č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů (TOPO).

Obecně platí, že společnosti lze za spáchání trestného činu dle TOPO uložit různé tresty od zákazu činnosti, peněžitého trestu, uveřejnění rozsudku až po zrušení společnosti, přičemž některé tresty lze ukládat vedle sebe. Například peněžitý trest lze uložit vedle zákazu určité činnosti a podobně.

V trestním zákoníku (dle § 180) najdeme v souvislosti s osobními údaji tři skutkové podstaty, a to:

1. Neoprávněné zpracovávání osobních údajů, které byly o subjektu údajů shromážděny v souvislosti s výkonem veřejné moci

Tato skutková podstata bude naplněna v případě, že údaje získané o fyzických osobách budou neoprávněně zveřejněny, zpřístupněny, uchovávány či využívány při realizaci veřejné moci.

2. Protiprávní přisvojení osobních údajů shromážděných o subjektu údajů při výkonu veřejné moci

I když by pojem „přisvojení“ patrně také mohl být podřazen pod pojem zpracování, jsou mezi těmito pojmy jisté rozdíly. V případě přisvojení osobních údajů dotyčný zpravidla překoná nějakou překážku či vyvine extra úsilí, aby k osobním údajům získal neoprávněný přístup a případně tyto dále využil či zneužil.

3. Porušení státem uložené či uznané povinnosti mlčenlivosti neoprávněným zveřejněním, sdělením či zpřístupněním osobních údajů třetím osobám.

Tato skutková podstata je podstatně širší než předchozí dvě, protože se týká všech osobních údajů, které jsou chráněny povinností mlčenlivosti, i těch, které nebyly získány při výkonu veřejné moci.

Tuto skutkovou podstatu lze naplnit v případě, že někdo poruší státem uloženou nebo uznanou povinnost mlčenlivosti a osobní údaje, které získal v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě. Typicky jde o oblasti zdravotnictví či bankovnictví, kde veškeré osobní údaje podléhají mlčenlivosti podle zvláštních zákonů nebo jsou chráněny mlčenlivostí podle zákona o ochraně osobních údajů, jako je tomu například ve školství.

Kdy půjde o trestný čin právnické osoby?

Aby mohla být společnost za trestný čin postižena, musí jeho skutkovou podstatu v jejím zájmu nebo v rámci její činnosti naplnit buď člen statutárního orgánu, nebo další osoba ve vedoucím postavení, která za společnost nebo jejím jménem jedná. Skutkovou podstatu mohou však naplnit i další osoby ve vedoucím postavení, které vykonávají ve společnosti řídící nebo kontrolní činnost, nebo osoby, které vykonávají rozhodující vliv na řízení společnosti.

V určitých situacích může být společnost postižena i za činnost řadového zaměstnance. Jde o případy, kdy je skutková podstata naplněna v rámci jeho pracovních povinností na základě rozhodnutí nebo pokynu orgánu společnosti nebo osob uvedených výše nebo proto, že tyto osoby neprovedly taková opatření, která měly provést dle právních předpisů nebo která lze po nich spravedlivě požadovat, aby ke spáchání trestného činu nedošlo.

Typickými příklady jsou situace, kdy společnost nenastaví řádné vnitřní procesy, dostatečně nezajistí bezpečnost osobních údajů, nezajistí řádným způsobem likvidaci osobních údajů, archivaci nebo výkon práv subjektů údajů a podobně.

Aby mohlo být nějaké jednání kvalifikováno jako trestný čin, posuzuje se také, zda byla dotčené osobě či osobám způsobena vážná újma na právech, tj. do jakých práv bylo zasaženo, jaké následky takové jednání mělo, jaká byla intenzita újmy atd. Jinak se tedy bude posuzovat situace, kdy osobní údaje jedné osoby budou neoprávněně zpřístupněny jednomu příjemci, a situace, kdy budou neoprávněně zveřejněny osobní údaje více osob, třeba na internetu.

Pro úplnost se uvádí, že Česká republika (orgány moci soudní, výkonné a zákonodárné) je vyloučena z okruhu pachatelů dle TOPO, a to bez ohledu, zda jedná v soukromoprávní věci (např. majitel nemovitosti či zaměstnavatel) nebo při výkonu veřejné moci. Na druhou stranu jednání, které by jinak pod TOPO spadalo, bude postižitelné jako správní delikt. Dle TOPO nemají trestní odpovědnost ani územní samosprávné celky při výkonu veřejné moci.

Zproštění odpovědnosti

Od 1. prosince 2016 TOPO přináší možnost vyvinění se z trestní odpovědnosti za činnost členů statutárního orgánu, vedoucích či řídících pracovníků nebo zaměstnanců při výkonu práce. Společnost se této odpovědnosti zprostí, pokud prokáže, že vynaložila veškeré úsilí, které na ní bylo možno spravedlivě požadovat, aby spáchání protiprávního činu uvedenými osobami zabránila.

Pokud tedy společnost doloží, že vynaložila úsilí na to, aby zavedla odpovídající vnitřní procesy, které byly skutečně v praxi implementovány, a jejich dodržování náležitě kontrolováno, je možné, že bude případné trestní odpovědnosti zproštěna.

Na druhou stranu pamatujte, že zproštění trestní odpovědnosti neznamená, že příslušný dozorový orgán (Úřad pro ochranu osobních údajů) nezahájí správní řízení pro podezření ze spáchání správního deliktu, jehož skutková podstata mohla být naplněná jiným skutkem, než pro který bylo vedeno trestní řízení, a to i kdyby tyto skutky časově a fakticky souvisely.

Ušetřete si nepříjemnosti

I s ohledem na možnost trestněprávní odpovědnosti, péči řádného hospodáře a obchodní vedení se doporučuje, aby společnosti, respektive jejich statutární orgány odpovědné za implementaci GDPR, věnovaly zpracování osobních údajů náležitou pozornost. Ušetří si tak možné pozdější starosti a komplikace, pokud by v rámci jejich činnosti došlo k porušení ochrany osobních údajů, které daná společnosti spravuje či zpracovává. V této souvislosti stojí za zmínku i varování státních zástupců, kteří vyzývají firmy k zavedení tzv. compliance programů, které nesmí zůstat jen na papíře.

„Compliance management systém musí odpovídat velikosti firmy. Není to tedy o papíru, ale o realitě – o tom, jak je systém implementován v praxi,“ vysvětlil žalobce.

Náklady na správnou implementaci a dodržování zásad odpovídajících nařízení GDPR jsou v porovnání s výše uvedenými tresty a astronomickými pokutami, které hrozí, zanedbatelné.

Z pohledu TOPO je tak dodržování souladu s GDPR pravidly jedním z nejnáročnějších compliance programů, které byste měli ve svých společnostech zavést za účelem zmírnění trestní odpovědnosti právnické osoby za neoprávněné nakládání s osobními údaji.

Na základě dosavadní zkušenosti s velmi povrchním zaváděním GDPR do života organizací nabízíme novou službu tzv. GDPR auditu, jehož hlavním smyslem je kontrola plnění požadavků nařízení v jednotlivých oblastech včetně kontroly veškeré povinné dokumentace. Prověříme vám, zda-li implementované změny, dokumenty a nově zavedená technická nebo organizační opatření jsou funkční a odpovídají požadavkům GDPR. Dokumenty to vše začalo, teď je třeba je uvést do reálného života.

Článek byl převzat s laskavým svolením autorky Mgr. Evy Škorničkové, www.gdpr.cz