Věděli jste, kam až sahá vliv GDPR? Není pochyb o tom, že GDPR dopadá na zpracování osobních údajů, které je alespoň částečně automatizované a probíhá na úrovni elektronických databází. Do jaké míry se však GDPR vztahuje na osobní údaje shromažďované v listinné podobě?
GDPR a jeho dopad na manuální zpracování osobních údajů z pohledu SDEU
GDPR pouze uvádí, že o zpracování osobních údajů dle GDPR jde tehdy, jedná-li se o neautomatizované zpracování údajů, které jsou obsaženy v evidenci, nebo do ní mají být zařazeny. Jasný závěr, co je v případě fyzického shromažďování osobních údajů zpracováním dle GDPR, z nařízení bohužel nevyplývá. Nicméně určité hranice lze s jistou mírou představivosti dovodit z nového rozsudku SDEU C‑17/25 Jehovan Todistajak (Svědci Jehovovi).
SDEU se v rozsudku mimo jiné zabývá otázkou, zda podomní kazatelská činnost, při které dochází ke sběru osobních údajů (jmen, příjmení, adres, náboženského vyznání) na poznámkách členů náboženské společnosti, je zpracováním osobních údajů dle unijní úpravy. V tomto případě SDEU případ rozhodoval na podkladu dříve účinné směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice“).
I přesto, že se SDEU bohužel konkrétně nevyjádřil k dopadu rozsudku na zpracování osobních údajů dle GDPR, je vhodné z něj vycházet pro posouzení nyní účinné právní úpravy v GDPR, kde o manuální zpracování jde v případě, kdy jsou údaje obsaženy v „evidenci“. Pojmy „rejstřík“ a „evidence“ je pro účely výkladu GDPR možné zaměnit, jelikož anglické znění směrnice i GDPR využívá jednoznačnějšího pojmu „filing system“.
Dle čl. 3 směrnice unijní úprava dopadá na manuální zpracování osobních údajů, které jsou obsaženy v rejstříku nebo do něj mají být zařazeny. Rejstřík, obdobně jako evidence dle čl. 4 odst. 6 GDPR, je ve směrnici definován, a to jako „jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska“.
Unijní úprava dopadá i na nepořádné
Na základě ustanovení směrnice SDEU konstatoval, že pojem „rejstřík“ se vztahuje na každý soubor osobních údajů shromážděných v rámci podomní kazatelské činnosti, který zahrnuje jména a adresy, jakož i jiné informace o navštívených osobách, jsou-li tyto údaje uspořádány podle určených kritérií, na jejichž základě jsou v praxi snadno dohledatelné pro účely pozdějšího použití. K tomu, aby takový soubor spadal pod pojem „rejstřík“, není nezbytné, aby obsahoval specifické kartotéky nebo seznamy anebo jiné systémy sloužící k vyhledávání.
Z bodů 15 a 27 odůvodnění směrnice vyplývá, že rejstřík musí být uspořádaný podle určitých kritérií tak, aby údaje byly snadným způsobem dohledatelné. V případě členů společnosti byly údaje sbírány jako referenční pomůcky na základě rozdělení podle zeměpisných oblastí tak, aby usnadnily organizování následných návštěv u již navštívených osob. Tato kritéria postačila k naplnění znaků zpracování údajů dle unijní úpravy.
Manuální zpracování v praxi
Jaká kritéria však budou obecně dostačující k tomu, aby se jednalo o rejstřík (evidenci), a tedy o zpracování dle GDPR? Za předpokladu, že bude možné posléze osobní údaje snadno nalézt, mělo by jít o jakákoliv i na první pohled nepříliš zřejmá kritéria.
Zpracováním osobních údajů dle GDPR by tak mělo být například i skladování všech získaných vizitek v určené krabici. Účelem vizitek je možnost subjekty v budoucnu kontaktovat a případně s nimi navázat spolupráci. V případě zájmu o kontaktování subjektu je poměrně snadné vizitku v krabici nalézt a se subjekty komunikovat bez ohledu na to, že vizitky nejsou roztřízeny podle žádného seznamu či systému.
Stejně tak by mělo postačit, pokud jsou v krabici či šuplíku obsaženy listinné poznámky s kontaktními údaji osob pro účely budoucí spolupráce.
I takto na první pohled nevinné shromažďování papírových poznámek může být považováno za zpracování dle GDPR, z čehož pro osobu poznámky shromažďující vyplývají příslušná ustanovení GDPR. Rozhodné pro posouzení konkrétního případu však vždy bude, zda lze ve shromáždění nalézt alespoň jednoduché kritérium, na základě kterého bude možné údaje v budoucnu snadno dohledat.
Nejste si jisti, zda uchování kontaktů či jiných údajů ve vašem šuplíku je zpracováním osobních údajů dle GDPR? Dejte nám vědět – ve spolupráci s Vámi Vaši činnost posoudíme a vymyslíme pro Vás vhodné řešení.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora