27. 02. 2018
Postavení insolvenčních správců ve vztahu k GDPR je stále nejasné
Nařízení EU o ochraně osobních údajů obecně známé jako GDPR nabývá účinnosti již v květnu. Přestože měla odborná veřejnost dva roky na seznámení se a implementaci povinností s GDPR souvisejících, v situaci, kdy je insolvenční dlužník správcem osobních údajů, je role insolvenčního správce stále značně problematická.
Insolvenční správci jsou specifickou skupinou subjektů, která přichází do styku s osobními údaji nejen v rámci své vlastní interní činnosti, ale také v situaci, kdy na ně v rámci insolvenčního řízení přechází část povinností dlužníků. Proto je nezbytná jejich dostatečná a důsledná příprava na plnění nadcházejících povinností ještě před tím, než GDPR vstoupí v platnost.
Insolvenční správce se v rámci zpracování osobních údajů může dostat do třech různých situací, které doprovází specifické požadavky. „Nejproblematičtější rolí insolvenčního správce je situace, kdy je insolvenční dlužník správcem osobních údajů. GDPR ani výkladová stanoviska Úřadu pro ochranu osobních údajů, případně Pracovní komise WP 29 nám bohužel příliš vodítek, jakým způsobem s takovými osobními údaji nakládat a na koho a v jakém rozsahu přecházejí povinnosti správce osobních údajů, nedávají. To je pochopitelně velmi rizikové. Zejména v případě, kdy insolvenční dlužník nakládal s rozsáhlým souborem osobních údajů, případně se zvláštními kategoriemi osobních údajů dle článku 9 GDPR. Je nutné pečlivě uvážit, jakým způsobem budou nadále osobní údaje zpracovávány,“ vysvětluje nejednoznačnou situaci JUDr. Jan Onheiser, advokát, zakládající partner společnosti Onheiser Miechová advokátní kancelář s.r.o. a dodává: „Na insolvenčního správce budou kladeny vysoké nároky zabezpečení osobních údajů, které získal od dlužníka, resp. které spravoval dlužník. Nejasné zůstává postavení insolvenčního správce vůči subjektům údajů. Subjekt údajů je oprávněn vůči správci osobních údajů požadovat plnění povinností dle článku 12 až 22 GDPR, není však zřejmé, zda a v jakém rozsahu přechází tyto povinnosti na insolvenčního správce.“
Insolvenční správce dále může nakládat s osobními údaji insolvenčních dlužníků, které spravuje v souvislosti s výkonem své činnosti dle Insolvenční zákona (zákon č. 182/2006 Sb.) Také v tomto případě jsou povinnosti insolvenčního správce dány povinnostmi správce osobních údajů dle GDPR. A dále se dostává do pozice běžného správce osobních údajů, kdy jako každý jiný správce osobních údajů i vystupuje. Typicky se jedná o osobní údaje zaměstnanců nebo spolupracujících osob.
Nyní tedy záleží na odpovědnosti každého jednotlivého insolvenčního správce, jaký postoj k ochraně osobních údajů zaujme, protože výklad předpisu není snadné dovodit. Je na profesních asociacích zastupujících insolvenční správce, aby ve spolupráci s Úřadem na ochranu osobních údajů na dané téma co nejdříve zahájili odbornou diskuzi, případně přijali kodexy chování ve smyslu článku 40 GDPR. Jak situaci vyřešit se pokusí nastínit i seminář Ochrana osobních údajů v insolvenčním řízení. Jeho závěry však nebude možné považovat za konečné, nicméně by měly být předmětem další odborné diskuze.
„V rámci insolvenčních řízení bude docházet k paradoxní situaci – insolvenční správce má chránit údaje, které jsou dnes ze zákona v insolvenčním rejstříku veřejně dostupné. Za nedodržení ochrany jsou velké pokuty. Bude zajímavé sledovat, jak se celé odvětví s aplikací lidově řečeno „popere“.“ dodává Tomáš Valášek, výkonný ředitel Insolvence 2008 a.s.
Tisková zpráva: Insolvence 2008