Princip odpovědnosti v praxi

Odpovědnost podle GDPR s praktickými řešeními, které vyhoví všem.


Zkrácená verze:




Delší verze:


Princip odpovědnosti – to je nové těžiště GDPR – je odvozen z přenesení důkazního břemene o souladu s legislativou na správce. Tento posun měl jednoznačně dalekosáhlý účinek na celý systém zásad ochrany údajů v rámci GDPR.


Článek 5 odst. 1 GDPR uvádí celkem šest základních principů GDPR, a to: (1) zákonnost, spravedlnost a transparentnost, (2) omezením účelu, (3) minimalizací údajů, (4) přesnost, (5) omezením zpracování a (6) integritou a důvěrnost,


Článek 5 odst. 2 GDPR stanoví:

"Správce odpovídá za odstavec 1 („odpovědnost “) a je schopen prokázat jeho soulad.“

Článek 83 odst. 2 GDPR stanoví:

"Správce nebo zpracovatel je osvobozen od odpovědnosti ... pokud prokáže, že není v žádném případě odpovědný za událost, která způsobila škodu."


Přenesení důkazního břemene na správce je proto obecným přístupem GDPR. Tento mechanismus platí pro odpovědnost.


Podle původního zákona o ochraně osobních údajů a směrnice 95/46 byl subjekt údajů (tedy člověk) nebo dozorový orgán (v ČR je jím Úřad na ochranu osobních údajů) v pozici, aby prokázali, zda správce porušil zákon. Tento princip se v květnu 2018 změnil v pravý opak. Správce musí prokázat, že GDPR dodržuje.


Jak šel čas s principem odpovědnosti


Historicky byla odpovědnost definována v souvislosti s odlišným přístupem k ochraně údajů. V 80. letech stanovily pokyny OECD základní principy a poskytly správci širokou manévrovací prostor k tomu, jak tyto principy splnit. Zásady byly jasně dané, avšak opatření k jejich naplnění byla v rukou správců a na jejich uvážení. Pokyny OECD definují odpovědnost jednoznačně: „Správce údajů by měl nést odpovědnost za dodržování opatření, která uplatňují zásady uvedené výše.“

Např. zásada zákonnosti je jednou z hlavních zásad článku 5 GDPR a GDPR stanovuje velmi konkrétní způsoby, jak tuto zásadu naplnit. GDPR vyžaduje, aby jakékoli zpracování údajů bylo založeno na právním základě. Tyto právní základy jsou blíže stanoveny v článcích 6 až 9. Pokud neprokážete právní základ, např. že souhlas byl udělen svobodně, porušujete nejen článek 7 (ustanovení upravující souhlas a jeho parametry) GDPR, ale rovněž zásadu zákonnosti a zásadu odpovědnosti.

Stejný přístup platí i vůči ostatním zásadám uvedeným v článku 5 GDPR – jako např. transparentnost. Kdykoli správce neinformuje subjekty údajů podle článku 13 GDPR, porušuje nejen článek 13 GDPR, i všepřítomné zásady, jako je princip zákonnosti, transparentnosti a v neposlední řadě princip odpovědnosti.


Blíže k odpovědnosti


Uvedený příklady jednoznačně ilustrují, že princip odpovědnost prodchnul veškeré ostatní principy, na kterých je GDPR postaveno. Tento význam je zdůrazněn tím, že se v případě porušení této zásady ukládají nejvyšší pokuty až do výše 20 milionů EUR nebo do výše 4 % ročního obratu.


Odpovědnost není zmíněna pouze v článku 5 GDPR, který obsahuje hlavní principy GDPR, ale současně v souvislosti se souhlasem podle článku 7 odst. 1 GDPR a rovněž v článku 24 odst. 3 GDPR je zdůrazněna odpovědnost správce za prokázání souladu. Povinnost zpracovatelů prokázat správci svůj souhlas je zcela podstatná pro to, aby správce byl schopen prokázat svůj soulad s GDPR.


Zatímco důkazní břemeno za škody nese správce, interní dokumentace, která prokazuje dodržování povinností při plnění odpovědnosti, může hrát zásadní roli v jakémkoli soudním řízení o náhradu škody. Pokud vyvstane otázka, zda byla činnost správce byla v souladu s GDPR, může správce prokázat, že je v souladu s GDPR, právě prostřednictvím své interní dokumentace sloužící k naplnění zásady odpovědnosti.


Jak konkrétně v praxi postupovat?


GDPR poskytuje způsoby, jak uvést princip odpovědnosti do každodenní praxe. Různé dozorové orgány, zejména ty v SRN vyžadují vyšší (než GDPR stanovenou) úroveň prokazování odpovědnosti. Systematický přístup k interní dokumentaci je tedy klíčem pro realizaci souladu.

Příkladem je např. záznam o činnostech zpracování podle článku 30 GDPR a posouzení dopadů na ochranu údajů (DPIA) podle článku 35 GDPR. Vzhledem ke striktnímu požadavku odpovědnosti bude vyžadován holistický a systematický přístup k dokumentaci s implementací systému pro zpracování dat (DPMS).


Záznam o činnostech zpracování

  • Záznam o činnostech zpracování de-facto odpovídá popisu všech procesů správce, které souvisejí s osobními údaji.

  • Jaké osobní údaje a za jakým účelem se zpracovávají, na jakém právním základě a jak jsou zpracovávány.

  • Kdo má přístup k těmto údajům a kdo jsou jejich příjemci?

  • Jaký způsobem jsou osobní údaje zabezpečeny a je dané technické opatření adekvátní?

  • Dochází k převodu mimo EU a jaké záruky se na daný případ aplikují?

  • Kdy budou osobní údaje vymazány?

Záznam o zpracovatelských činnostech musí být koncipován tak, aby k němu měl dozorový orgán snadný přístup a ten pak použije tyto záznamy jako podklad pro provádění auditu.


Analýza dopadu zpracování dat (DPIA)


DPIA je osvědčená systematická metoda preventivního charakteru, která kontroluje, zda jsou zpracovatelské činnosti, které jsou potenciálně nebezpečné pro jednotlivce, v souladu s GDPR. DPIA se provádí jako určitá analýza rizik z pohledu cílové skupiny, tedy z pohledu fyzické osoby, jejíž data se mají zpracovávat. Analýza obsahuje odhad pravděpodobnosti a závažnosti rizika, zmírňující opatření a konečné hodnocení rizika. Kontrolní orgán (ÚOOÚ) již zveřejnil seznam, pro který druh operací zpracování údajů je DPIA povinný. Kromě toho musí být DPIA v obligatorních situacích uvedených na tomto seznamu schváleny právě ÚOOÚ.


Systém správy ochrany dat (SOSD)


Záznam o zpracovatelských činnostech a DPIA jsou dva hlavní nástroje odpovědnosti, které však dlouhodobě nebudou stačit k vytvoření dokumentace, která ukazuje úplný obraz o všech činnostech vyžadovaných k dosažení souladu s GDPR. Proto je vhodné a nutné stanovit SOSD. SOSD v současné době není zavedeným standardem. Vhodným a odpovědným přístupem je navrhnout SOSD analogicky k CMS (systém řízení dodržování předpisů).


Hlavními prvky SOSD jsou:

  • umístění inspektora ochrany údajů v hierarchii organizace správce,

  • systém vnitřních zásad ochrany údajů,

  • systém průběžného mapování

  • způsob provádění hodnocení rizik nových procesů týkajících se osobních údajů za účasti inspektora ochrany údajů a

  • včasné sdělení porušení zabezpečení údajů dozorovému orgánu a subjektu údajů.

  • Management některých procesů souvisejících s právy subjektů údajů (např. žádosti subjektu údajů)

Uvedené se dá realizovat několika postupy, od vedení prostřednictvím tabulek (spreadsheetu) a evidence v rámci cloudového uložení.


Záznamy o činnostech zpracování dat a DPIA lze integrovat do SOSD dodavatele softwarového řešení. (např. toto je v rámci systému PriviQ jádrem jeho řešení, kdy záznamy jsou generovány automaticky na základě datového mapování). Nejlepším přístupem bude implementace softwaru pro SOSD, který adresuje aktivity zúčastněným stranám a dokumentuje všechny související aktivity. ISMS a CMS obvykle vyžadují cyklický postup prostřednictvím metody „plánuj, konej, jednej, kontroluj“ alespoň jednou ročně, přičemž čím častěji, tím lépe.


Osvědčení podle článku 42 GDPR bude nakonec užitečným nástrojem k získání posvěcení dozorového orgánu s tím, že opatření přijatá správcem jsou způsobilá k dodržení zásady odpovědnosti.


6 zobrazení0 komentář