blog

GDPR stručně a jasně

Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (General Data Protection Regulation - GDPR) je považováno za prostředek posílení ochrany osobních údajů fyzických osob na území Evropské unie (EU). Ačkoli platí v celé EU od 25. května 2018, stále je pro mnoho lidí velkou neznámou.

Hlavním cílem GDPR je primárně posílení ochrany osobních údajů fyzických osob (subjektů údajů), a to nejen v digitálním prostředí, ale také v případě fyzických „papírových“ databází. Díky GDPR dále dochází ke sjednocení dříve rozdílných národních úprav členských států, čímž je posílena právní jistota a transparence na území EU.

GDPR zavádí množství principů a zásad. Jedním z nejvýznamnějších je tzv. princip zodpovědnosti správců (ti, kteří určují účel zpracování údajů) a zpracovatelů (ti, kteří zpracovávají údaje jménem správce). Správci a zpracovatelé mají za povinnost zavést technická, organizační a procesní opatření za účelem ochrany osobních údajů a zajištění, že jejich zpracování je prováděno v souladu s GDPR.

Zpracování osobních údajů a povinnosti správce
Zpracování osobních údajů, tedy informací o identifikované nebo identifikovatelné fyzické osobě, musí být prováděno zákonným a transparentním způsobem, pouze za konkrétním výslovně vyjádřeným účelem a pouze po stanovenou dobu. Po naplnění účelu zpracování musí být osobní údaje zlikvidovány. Takovéto zpracování osobních údajů je povinen správce dodržet a musí být schopen toto dodržení též doložit.

V případě, že chce správce zpracovávat osobní údaje, měl by si nejprve uvědomit, proč údaje potřebuje nebo chce získávat, aby o osobách nezaznamenával informace, které vůbec nepotřebuje. Rozsah údajů by měl být tedy jen minimální k dosažení cíle. Správce mimo jiné dbá na to, aby údaje byly přesné, a jejich přesnost ověřuje. Údaje by správce měl uchovávat pouze tak dlouho, dokud je to nezbytně nutné k naplnění účelu.

Správce může zákonně zpracovávat osobní údaje pouze na základě taxativně vymezených důvodů. GDPR upravuje šest důvodů, které zpracování údajů ospravedlňují. Pravděpodobně nejčastěji využívaným důvodem je souhlas subjektu údajů se zpracováním údajů o jeho osobě. Za souhlas je považován svobodný, konkrétní, informovaný a ničím nepodmíněný projev vůle člověka, jehož osobní údaje mají být zpracovávány. Souhlas je nutné vždy oddělit od ostatních sdělení a jeho poskytnutí není možné podmiňovat neposkytnutím služeb či produktu. V souhlasu musí být vedle účelu, pro který budou informace zpracovávány, uvedena také veškerá práva, kterými fyzická osoba disponuje, zejména pak právo na odvolání souhlasu. Nedílnou součástí souhlasu jsou pak kontaktní údaje správce, u kterého může osoba svá práva uplatnit. Správce musí být schopen udělení souhlasu doložit.

Dalšími zákonnými důvody pro zpracování osobních údajů jsou: plnění smlouvy, jejíž smluvní stranou je dotčená fyzická osoba, splnění právní povinnosti, ochrana životně důležitých zájmů fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci a oprávněný zájem správce, který se prokazuje tzv. balančním testem, v němž jsou porovnávány oprávněné zájmy správce a zájmy dotčené osoby. Bez ohledu na způsob získávání a důvod zpracování osobních údajů fyzických osob, musí být správce schopen doložit původ osobních údajů a oprávněnost jejich zpracování.

Pro naplnění povinností plynoucích z GDPR je správce (s určitými výjimkami) nucen vést záznamy o činnostech zpracování, které se s osobními údaji provádějí. Tyto záznamy je správce popř. zpracovatel povinen předložit na požádání dozorovému úřadu. K dozorovému úřadu je vázána i další významná povinnost, kterou je nutnost ohlásit dozorovému úřadu porušení zabezpečení osobních údajů do 72 hodin od okamžiku, kdy se o něm dozvěděl. Za určitých okolností vzniká tato oznamovací povinnost správce i vůči subjektu údajů.

Vedle uvedených povinností plynou z GDPR pro některé správce další obligatorní povinnosti např. jmenování pověřence, posouzení vlivu na ochranu osobních údajů. Mimo tyto uvedené povinnosti pak GDPR upravuje fakultativní postupy správců např. vypracování kodexů chování, žádost o vydání osvědčení.

S řadou povinností zejména pro správce a zpracovatele zavádí GDPR mimo jiné vysoké pokuty a sankce za jeho porušení. Sankce, jejichž horní hranice je stanovena na 10.000.000 EUR, resp. 2% z ročního globálního obratu u podniku, mají zajistit, aby této legislativě byla ze stran správců a zpracovatelů věnována maximální pozornost.

Na dodržování GDPR dohlíží dozorové úřady, v České republice je tímto úřadem Úřad pro ochranu osobních údajů.

Práva fyzických osob
GDPR posiluje postavení subjektů údajů a přiznává jim množství práv. Již při získávání údajů je třeba fyzické osoby informovat, proč své osobní informace poskytují, co se s nimi bude dít, i jaká práva ohledně svých údajů mají. Právo na poskytnutí informací mají subjekty údajů po celou dobu zpracování údajů o jejich osobě. Za určitých podmínek jsou oprávněny požadovat i kopii svých údajů, které má správce k dispozici. K dalším právům patří právo na opravu údajů, právo na omezení zpracování právo na výmaz resp. právo být zapomenut, právo vznést námitku či právo na přenositelnost údajů.

Postup správců
Každý správce osobních údajů by měl v souvislosti s GDPR provést právní posouzení postupů při zpracování osobních údajů (jaké údaje zpracovává, jakým způsobem, na základě jakého právního titulu atd.) a poté vypracovat návrh nutných změn pro zajištění souladu s GDPR. Téměř vždy je nutné revidovat smlouvy s fyzickými osobami zejména z důvodu uvedení účelu zpracování a informování subjektů o jejich právech. Dále je nutné stanovit vnitřní pravidla pro zpracování údajů a jejich zabezpečení a proškolit odpovědné osoby.

Pozice členských států
Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech, přesto GDPR poskytuje členským státům prostor pro vlastní pravidla, zejména pro pravidla týkající se zpracování zvláštních kategorií osobních údajů (citlivé osobní údaje). Členské státy též mohou stanovit výjimky z některých ustanovení např. pro audiovizuální oblast, zpravodajské a tiskové archivy, je-li to nutné za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu a informací.
Česká republika zatím této možnosti nevyužila, resp. dosud nepřijala adaptační zákon k GDPR, jehož návrh počítá s omezením některých povinností správců a oslabením některých práv subjektů např. pro žurnalisty.

ePrivacy
Nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, nazýváno též ePrivacy, má být doplňkem k GDPR. Ačkoli měla obě tato nařízení být účinná od 25. května 2018, ePrivacy se stále nachází v legislativním procesu. Smyslem ePrivacy je právně ošetřit komunikační systém on-line technologií, které nakládají s osobními údaji, tedy zajistit ochranu soukromí v elektronických komunikacích. Hlavní odlišnost oproti GDPR lze spatřovat v aplikovatelnosti. Nové nařízení mělo cílit nejen na ochranu fyzických osob, ale též osob právnických. Vedle jiného by ePrivacy mělo upravovat problematiku cookies, newsletterů, ale i aplikací typu Skype, Whatsapp aj. Kdy budou správci nuceni přijmout další opatření k ochraně osobních údajů v souvislosti s ePrivacy je zatím nejasné.

Díky dynamickému vývoji informačních technologií v posledních dekádách lze konstatovat, že počítačové programy jsou dnes prakticky všudypřítomné a život bez nich si lze v moderní společnosti jen stěží představit. Na vývoj a tvorbu počítačových programů jsou mnohdy vynakládány značné investice, a proto je potřeba jim zajistit dostatečnou právní ochranu.

Na úvod je třeba poznamenat, že ačkoliv autorský zákon s pojmem počítačového programu pracuje, český právní řád definici počítačového programu neobsahuje. Definicí počítačového programu se však zabýval např. Evropský patentový úřad, který v kauze „Clipboard formats I ca Microsoft“ uvedl, že počítačový program je sekvence počítačem vykonatelných instrukcí. Z hlediska technického je počítačový program zdrojovým kódem (algoritmem), který je zapsán v programovacím jazyku v podobě posloupnosti příkazů nebo instrukcí pro počítač.

Předmětem autorskoprávní ochrany je autorské dílo, které je vymezeno jako „dílo literární a jiné dílo umělecké nebo vědecké, které je jedinečným výsledkem tvůrčí činnosti autora a je vyjádřeno v jakékoliv objektivně vnímatelné podobě“. Pojmově tedy musí autorské dílo kumulativně splňovat dvě podmínky:

 jedná se o jedinečný výsledek tvůrčí činnosti autora (fyzické osoby);
 dílo je vyjádřeno v objektivně vnímatelné podobě.

Dle autorského zákona však dále existují i díla fiktivní (nebo také kvazidíla), kterým některý z výše uvedených znaků chybí. Jedním z takovýchto děl je právě počítačový program, který je autorským zákonem považován za autorské dílo, je-li původní v tom smyslu, že je autorovým vlastním duševním výtvorem.

Krom samotného počítačového programu může autorskoprávní ochraně podléhat i samotná dokumentace k programu, avšak pouze za předpokladu, že taktéž splňuje výše uvedené podmínky autorského díla.

Autorský zákon považuje za autora osobu, která autorské dílo vytvořila. U komplexnějších počítačových programů však není výjimkou, ne-li spíše pravidlem, že na jeho vývoji se podílí celá řada programátorů, analytiků a manažerů, případně i externích konzultantů. V takovýchto případech pak může být komplikované určit nositele autorských práv. Rozhodnou skutečností je pak to, zda je počítačový program vytvořen na základě smlouvy o dílo, nebo zaměstnanci (programátory) IT společnosti, která vývoj počítačového programu zastřešuje a financuje, nebo zda se jedná o autorské dílo samostatné fyzické osoby či skupiny osob (v takovém případě se jedná o tzv. kolektivní dílo).

Zaměstnanecké dílo
Autorský zákon ve svém § 58 odst. 1 stanovuje, že pokud je autorské dílo vytvořeno za účelem splnění povinnosti vyplývající z pracovněprávního či služebního vztahu, vykonává autorská majetková práva k dílu svým jménem a na svůj účet zaměstnavatel.

Pokud je tedy počítačový program vytvořen programátory, kteří jej vytvořili v rámci svého zaměstnání, jsou tito programátoři autory programu, neboť to jsou právě oni, kdo vytvořili zdrojový kód. Autorská majetková práva však svědčí zaměstnavateli – IT společnosti, která vývoj počítačového programu zastřešovala. Jinými slovy je to právě zaměstnavatel, který bude oprávněn počítačový program užívat, tj. zejména rozmnožovat a udělovat licence koncovým uživatelům (ať již bezúplatně či za úplatu).

Krom toho, pokud se zaměstnavatel s programátorem nedohodne jinak, je dle autorského zákona oprávněn ke zveřejnění počítačového programu, k jeho úpravám, zpracování včetně překladu, spojit jej s jiným dílem (počítačovým programem), zařadit jej do díla souborného, jakož i k tomu, uvádět počítačový program na veřejnost pod svým jménem.

Ačkoliv výkon autorským majetkových práv k počítačovému programu ve prospěch zaměstnance vyplývá přímo ze zákona, je více než vhodné, aby byl konkrétní vztah mezi IT společností a programátorem detailněji upraven pomocí smlouvy. Nepochybně se tak totiž může předejít zbytečným sporům. Smluvně by měly být upraveny především tyto aspekty vztahu: informační povinnost programátora při vývoji počítačového programu, předání zdrojových kódů a programové dokumentace a nakládání s nimi, souhlas ke změně počítačového programu prostřednictvím třetí osoby, povinnost mlčenlivosti atd.

Smlouva o dílo
Dle § 58 odst. 7 autorského zákona se počítačový program, který není kolektivním dílem, považuje za zaměstnanecké dílo i tehdy, bylo-li autorem vytvořeno na objednávku. Objednatel se v takovém případě považuje za zaměstnavatele, tj. po dokončení takovéhoto počítačového programu mu svědčí autorská majetková práva.

Je třeba upozornit, že nabytí autorských majetkových práv k počítačovému programu na základě smlouvy o dílo se uplatní pouze v případě, že je smlouva uzavřena s fyzickou osobou (programátorem), a nikoliv osobou právnickou (IT společností).

Jinými slovy není možné, aby počítačový program vytvořilo více programátorů, pak by se totiž jednalo o dílo kolektivní, nebo aby byl počítačový program vytvořen zaměstnanci IT společnosti. V těchto případech tedy bude nutné uzavřít licenční smlouvu, aby byl objednatel oprávněn k výkonu autorských majetkových práv.

Licence k počítačovému programu
Za předpokladu, že počítačový program nespadá do jedné z výše uvedených možností, je pro účely výkonu autorských majetkových práv nutné uzavřít licenční smlouvu.

Licenční smlouva je standardní nástroj, kterým vykonavatel autorských majetkových práv k počítačovému programu poskytuje právo k jeho užití jiným osobám. Zpravidla se tak děje za úplatu, avšak rozhodně se nejedná o podmínku. Vykonavatel nemusí profitovat pouze z licenčního poplatku hrazeného koncovým uživatelem, ale např. také tím, že umožní v programu distribuci reklamních sdělení (jako typický příklad lze uvést mobilní aplikace a hry).

Z formálního hlediska je právní úprava poměrně flexibilní a umožňuje uzavřít smlouvu písemně, ústně, ale i např. konkludentně (např. pouhým stažením programu z internetu či „odkliknutím“ políčka „souhlasím“ v licenčních podmínkách). Jedinou výjimku však tvoří výhradní licence, které je třeba vždy uzavřít písemně.

Obsah licenční smlouvy by měl odpovídat tomu, pro koho je počítačový program určen. Program totiž může být vyvíjen výlučně pro účely jednoho klienta (např. pro obchodní společnost, která si objednala vývoj programu pro své účetnictví) nebo naopak pro neomezený počet koncových uživatelů. Rozsah licenčních oprávnění by měl být proto nastaven podle potřeb konkrétního případu. Rozsah licence je možné omezit z hlediska časového, a dále např.:

 co do množstevního rozsahu užití počítačového programu (např. počtem autorizovaných osob, které s programem mohou pracovat);
 co do územního rozsahu užití počítačového programu (např. určením, že počítačový program může užívat pouze jediná pobočka na území konkrétního státu);
 co do účelu užití počítačového programu (např. tím, že program je možné užívat pouze pro daňové účely. V praxi nicméně není příliš často možné změnit účel bez samotného zásahu do počítačového programu. Takový zásah však vyžaduje zvláštní oprávnění od autora);
 co do způsobu užití počítačového programu (např. tím, že program má být užíván pouze konkrétním technickým rozhraním).

Zároveň je však možné nastavit rozsah licence tak, aby byla v jednotlivých výše uvedených bodech neomezená.

Další otázka, která by měla být v licenční smlouvě řešena je to, zda je možné počítačový program měnit, upravovat, překládat do jiného jazyka, spojit s jiným programem či zda je nabyvatel oprávněn poskytovat sublicenci.

Spektrum nastavení licenčního oprávnění je tedy velmi široké a z toho důvodu je vždy vhodné, aby licenční smlouvy byly sepsány individuálně pro každý jednotlivý případ zvlášť podle aktuální potřeby smluvních stran. Vzorové smlouvy, které jsou většinou volně na internetu k dispozici, nejsou pro účely licence k počítačovému programu vyhovující.

Každé dílo, které je jedinečným výsledkem tvůrčí činnosti autora, spadá pod ochranu autorských práv. Autorské právo k dílu vzniká okamžikem, kdy je dílo vyjádřeno v jakékoli objektivně vnímatelné podobě. Díla tedy není nutné přihlašovat či jinak registrovat. Autorskoprávní ochrana je ochranou ryze neformální. V praxi je však právě prokázání okamžiku vzniku ochrany díla značně problematické.

Vedle problematiky prokázání okamžiku vzniku ochrany díla, přináší komplikace také zjišťování osoby autora děl, které by třetí osoby měly zájem využívat. Nejjednodušším způsobem prokázání vzniku díla se jeví jeho prezentace na veřejnosti tzv. zveřejnění. U některých typů děl však tento způsob není vhodný nebo ani možný. V případě, že dílo není ihned zveřejněno, je vhodné jeho autorství a vznik zaznamenat jiným dostatečným způsobem.

Úschova autorského díla
Jedním ze způsobů zaznamenání autorství je úschova autorského díla. Notáři či advokáti poskytují službu úschovy autorských děl, která je vhodná k prokázání skutečností v eventuálním sporu. V případě úschovy jde o uložení hmotného substrátu autorského díla do notářské nebo advokátní úschovy na základě smlouvy o úschově na určitou dobu a za určitý poplatek. Úschova autorského díla nestvrzuje naplnění formálních požadavků kladených autorským zákonem na autorské dílo, ale má pouze procesní význam k doložení termínu vzniku daného díla.

Kolektivní správce autorských děl
K prokázání autorství a jeho vzniku se využívá též registrací či evidencí děl prováděných některými institucemi tzv. kolektivními správci. V České republice jsou těmito institucemi např. OSA (Ochranný svaz autorský pro práva k dílům hudebním), DILIA (Divadelní a literární agentura) či OAZA (Ochranná společnost zvukařů-autorů). Kolektivní správci, jejichž hlavní činností je zastupování majitelů autorských práv, jsou ti, kteří získají od státu oprávnění k výkonu kolektivní správy, čímž je míněna činnost vykonávána soustavně, pod vlastním jménem a na vlastní odpovědnost, avšak nejde o podnikání.
Ohlášením autorského díla u kolektivního správce vzniká pro případ sporu efektivní důkaz o autorství a jeho vzniku.

Registrace autorského práva v zahraničí
Ačkoli většina států na světě je účastníky Bernské úmluvy o ochraně literárních a uměleckých děl (176 členů), ze které plyne neformální charakter autorskoprávní ochrany, některé státy umožňují dobrovolnou formální registraci autorského díla u státního úřadu k tomu určeného. Ve většině případů platí, že státy stanoví jeden úřad (obvykle spadající pod ministerstvo kultury), u kterého je možné všechna autorská díla registrovat. V některých zemích však existuje i více úřadů a příslušnost toho nebo onoho úřadu závisí na typu díla. Tak je tomu např. v Brazílii, nebo Itálii.

Ne ve všech státech, ve kterých je možnost přihlášení autorského díla, je možné registrovat všechny typy autorských děl. Ačkoliv možnost registrace všech typů děl převládá, jako výjimku lze uvést např. Rusko a Německo. V Německu je možné přihlášení pouze anonymních a pseudonymních děl, v Rusku je zápis zase umožněn pouze pro počítačové programy a databáze.

Registrace autorského práva slouží obvykle pro evidenční účely a jako důkaz autorství a jeho vzniku v případě sporu. Odlišně je tomu pak v některých státech např. v Albánii či USA. V USA, přestože je autorskoprávní ochrana neformální, je k vymáhání autorských práv resp. k uplatnění všech zákonných nároků nutná předchozí registrace u státní instituce. Dále pak v Albánii závisí na registraci autorského práva platnost a účinnost smluv ohledně díla.

Jak plyne z výše uvedeného, v případě registrací existuje řada výjimek a odlišností dle státu přihlášení. Výjimky pak lze najít i v případě dobrovolnosti registrace. U některých typů děl je v určitých státech jejich registrace obligatorní. Tak je tomu např. v Jižní Africe a Turecku, kde je nutná registrace kinematografických děl. V Turecku je pak také vyžadována registrace pro zvukové záznamy.

Autorské dílo jako ochranná známka
Pro ochranu některých typů autorských děl, např. výtvarné dílo (logo) či literární dílo (slogan) připadá v úvahu využití institutu ochranných známek. V takovém případě je nutné, aby autorské dílo svými znaky naplňovalo definici ochranné známky, tedy musí jít o označení grafického znázornění určené k rozlišení výrobků nebo služeb jedné osoby od výrobků či služeb osoby druhé. S novelou zákona o ochranných známkách však bude od ledna 2019 možná také registrace jiných označení např. zvukových či pohybových.

Ochranná známka může být na základě přihlášky u Úřadu průmyslového vlastnictví zapsána do rejstříku ochranných známek na dobu 10 let. Ochrana vzniká zápisem do rejstříku s prioritou k datu podání přihlášky či uplatněním priority ze zahraničí dle mezinárodní smlouvy. Zápisem do rejstříku získává vlastník ochranné známky výlučné právo na její užívání a poskytnutí licencí. Vedle registrace ochranné známky pro území České republiky, je možné pro území Evropské unie přihlášení známky Společenství a pro vybrané státy pak zápis mezinárodní ochranné známky.