GDPR – General Data Protection Regulation

Obecné informace

  • Jedná se Obecné nařízení o ochraně osobních údajů (dále jen „Obecné nařízení“, nebo „Nařízení GDPR“) vydané Evropským parlamentem a Radou EU
  • Vstoupí v platnost 25.5.2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
  • Právo na ochranu osobních údajů není absolutní, musí být posuzováno se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Proto již nebude možné nakládat s osobními údaji fyzických i právnických osob jakkoliv, ale nařízení stanoví jasný a strukturovaný postup, jak osobní údaje subjektů chránit.
  • GDPR představuje nový právní rámec ochrany osobních údajů v evropském prostoru  s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji.
  • Evropští občané budou mít větší kontrolu nad svými osobními údaji.

Působnost osobní

  • GDPR se vztahuje na správce nebo zpracovatele, které pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování údajů
  • Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.
  • Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, je nutné její provedení, které bude vesměs v zákoně č. 273/2008 Sb., o Policii České republiky a též i v novelizovaném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů
  • Nařízení se vztahuje i na zpracovatele osobních údajů, kteří jsou usídleni mimo EU, ale využívají osobní údaje subjektů, kteří jsou residenty země EU
  • Nařízení se nevztahuje na osobní údaje zemřelých, ale členské státy si toto mohou upravit jinak

Působnost věcná

  • Ochrana údajů se vztahuje na všechny informace, týkající se identifikované nebo identifikovatelné FO. Obecné nařízení se netýká zpracování těch anonymních informací, podle kterých nelze FO identifikovat, ani zpracování informací pro vědecké nebo výzkumné účely.

Působnost místní

  • Obecné nařízení se vztahuje se na všechny členské státy EU a navíc ještě Norsko, Lichtenštejnsko a Island.
  • Nařízení GDPR se vztahuje i na ostatní země, pokud budou zpracovávat údaje občanů států EU, Norska, Lichtenštejnska a Islandu.

Definice osobních údajů dle GDPR

  • Genetické údaje - osobní údaje týkající se zděděných nebo získaných genetických znaků určité FO, které vyplývají z analýzy biologického vzorku dotčené FO, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, který umožňuje získat rovnocenné informace.
  • Osobní údaje o zdravotním stavu – veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném a budoucím tělesném nebo duševním zdraví subjektu údajů (zejména údaje shromážděné v průběhu registrace pro účely zdravotní péče, číslo přiřazené osobě za účelem jedinečné identifikace pro zdravotní účely, informace prováděné během testů, provádění anamnézy apod.).
  • Zvláštní ochranu zasluhují osobní údaje vypovídající o rasovém nebo etnickém původu. Zpracování fotografií není považováno za zpracování zvláštní kategorie osobních údajů.
  • Není taxativní výčet osobních údajů! Osobní údaje jsou veškeré údaje, kterými lze identifikovat konkrétní subjekt údajů (Př. IP adresa)

Zpracování osobních údajů – zásady a principy (čl. 5 Obecného nařízení)

  • Zásada transparentnosti
    • Pro FO musí být zpracování transparentní (např. FO musí být obeznámena, že osobní údaje jsou zpracovávány, shromažďovány, používány a konzultována, v jakém rozsahu jsou osobní údaje zpracované apod.). Veškeré tyto informace a sdělení musí být snadno přístupné a srozumitelné a podávané jednoduchým jazykem.
    • Subjekty musí být informovány o totožnosti správce a účelech zpracování osobních údajů.
    • Subjekty mají právo získat potvrzení a sdělení zpracovaných údajů, které se jich týkají.
    • Fyzické osoby musí být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním osobních údajů a jak mají v souvislosti s tím uplatnit svá práva.
    • Zpracování osobních údajů musí být nezbytné a přiměřené, měly by být zpracovány osobní údaje pouze tehdy, nemůže-li se účelu zpracování dosáhnout jinými prostředky.
    • Správce musí stanovit lhůty pro výmaz a přezkum případného zpracovávání osobních údajů.
  • Zásada účelového omezení
    • Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; výjimku z tohoto tvoří další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu a pro statistické účely.
  • Zásada minimalizace údajů
    • Osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.
  • Zásada přesnosti
    • Osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
  • Zásada omezeného uložení
    • Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického významu a pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů.
  • Zásada integrity a důvěrnosti
    • Osobní údaje musí být zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
  • Zásada souhlasu subjektu údajů se zpracováním osobních údajů
  • Zpracování osobních údajů je zákonné jen na základě souhlasu subjektu údajů nebo s ohledem na jiný legitimní základ stanovený právními předpisy (GDPR, jiný předpis EU nebo členského státu). Pokud je zpracování založeno na souhlasu subjektů údajů, bude muset být správce schopen doložit takovýto souhlas.
  • Zavádí se rodičovský souhlas při poskytnutí osobních údajů o dítěti pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Rodičovský souhlas není nutný v případě preventivních či poradenských služeb nabízených přímo dětem.
  • Princip odpovědnosti správce – Jedná se o odpovědnost správce za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Obecného nařízení a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.
  • Princip přístupu založený na riziku - v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme hovořit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu princip založený na riziku se uplatňuje zejména u nových povinností: ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, resp. subjektu údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace s Úřadem pro ochranu osobních údajů, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob

Zákonnost zpracování

Obecné nařízení stanoví 6 podmínek zákonnosti zpracování osobních údajů subjektů.

  • Subjekt údajů udělil souhlas se zpracováním osobních údajů pro jeden nebo více konkrétních účelů.
  • Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
  • Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
  • Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné FO.
  • Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
  • Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektů údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Obecně je zakázáno zpracovat osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace FO a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci FO (až na výjimky uvedené v čl. 9 odst. 2, Př. zpracování je nutné pro ochranu životně důležitých zájmů subjektů). Jedná se o zpracování zvláštních osobních údajů.

Práva subjektů údajů

  • Správce musí přijmout vhodná opatření, aby poskytl subjektům jasný, stručný a jednoduchý popis jejich práv a povinností.
  • Správce poskytne na žádost subjektu údajů informace o přijatých opatřeních, a to bez zbytečného odkladu, nejpozději do 1 měsíce od obdržení žádosti.
  • Pokud správce nepřijme opatření, o nějž subjekt údajů žádal, informuje správce subjekt údajů bezodkladně nejpozději do 1 měsíce o důvodech nepřijetí a možnostech podat stížnost u dozorového úřadu a žádat soudní ochranu. Podání žádostí je bezplatné, správce si může určit poplatek, pokud se jedná o opakovanou žádost, zjevně nedůvodnou a nepřiměřenou.
  • Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovány, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům a následujícím informacím:
    • Účely zpracování
    • Kategorie dotčených osobních údajů
    • Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
    • Plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria pro stanovení doby
    • Existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování
    • Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
    • Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
      • Správce poskytne kopii zpracovaných osobních údajů
  • Právo na opravu: subjekt údajů má právo, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, případně na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
  • Právo na výmaz („právo být zapomenut“): subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán některý z důvodů:
    • Osobní údaje již nejsou potřebné pro účely, které byly shromážděny nebo jinak zpracovány
    • Subjekt údajů odvolá souhlas a neexistuje žádný právní důvod pro zpracování
    • Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování
    • Osobní údaje byly zpracovány protiprávně
    • Osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu EU nebo členského státu
    • Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informací společnosti podle čl. 8 odst.
  • Právo na výmaz se neuplatní:
    • Pro výkon práva na svobodu projevu a informace
    • Pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen
    • Z důvodů veřejného zájmu v oblasti veřejného zdraví
    • Pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování
    • Pro určení, výkon nebo obhajobu právních nároků
  • Subjekt údajů má právo na omezení zpracování osobních údajů
  • Správce musí oznámit jednotlivým příjemcům, jímž byly osobní údaje zpřístupněny, veškeré opravy, výmazy nebo omezení zpracování, s výjimkou, kdy se to ukáže jako nemožné, nebo to vyžaduje nepřiměřené úsilí.
  • Subjekt údajů má právo na přenositelnost údajů: Správce mu své údaje musí poskytnout ve strukturovaném, běžně používaném a strojově čitelném formátu.
  • Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace, dokonce i když jsou osobní údaje zákonně zpracovány, protože je zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci. Poté je povinností správce prokázat, že jeho závažné zájmy převažují nad zájmy nebo základními právy a svobodami subjektů údajů. Subjekt osobních údajů má právo vznést námitku i proti zpracovávání osobních údajů pro účely přímého marketingu – subjekt na toto musí být výslovně upozorněn a musí toto právo být uvedeno odděleně od jiných informací.
  • Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeném výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

Správce a zpracovatel

  • Správce zavede vhodná opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Pak toto opatření musí být revidováno a aktualizováno, aby bylo v souladu s tímto nařízením. Př. dodržování schválených kodexů chování nebo schválených mechanismů pro vydávání osvědčení.
  • Správce zavede vhodné prostředky – Př. pseudonymizace aj., jejichž účelem je provádět zásady ochrany údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů
  • Správce zavede opatření, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Lze to např. zaručit schváleným mechanismus pro vydávání osvědčení podle čl. 42.
  • Zpracovatel je osoba, která provádí zpracování za správce. Zpracovatel nezapojí do zpracování dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracování se řídí smlouvou mezi zpracovatelem a správcem, která má určité náležitosti, které stanoví nařízení v čl. 28 odst. 3.
    • Předmět zpracování
    • Doba trvání zpracování
    • Povaha a účel zpracování
    • Typ osobních údajů
    • Kategorie subjektů údajů
    • Povinnosti a práva správce
    • Další povinnosti zpracovatele (Př. zpracovává osobní údaje na základě doložených pokynů správce, dodržuje podmínky pro zapojení dalšího zpracovatele apod.).
  • Každý správce nebo jeho zástupce vede záznamy o činnostech zpracování, za něž odpovídá.
  • Správce je odpovědný z titulu své funkce. Je povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s nařízením.
  • Správce a zpracovatel a případný zástupce správce a zpracovatele spolupracují na požádání s dozorovým úřadem při plnění jeho úkolů.

Povinnosti správce nebo zpracovatele vyplývající z nařízení GDPR

  • Zabezpečení osobních údajů subjektů
    • Správce a zpracovatel provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
      • Pseudonymizace a šifrování osobních údajů
      • Schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
      • Schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických a technických incidentů
      • Procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování
  • Zřízení pověřence pro ochranu osobních údajů
    • Pověřenec se musí jmenovat vždy v těchto případech:
      • Zpracování osobních údajů provádí orgán veřejné správy či veřejný subjekt
      • Hlavní činnost správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
      • Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů.
    • V jiných případech může pověřence jmenovat, vyžaduje-li to právo EU nebo členského státu, nebo skupina podniků.
    • Pověřenec může být pracovníkem správce nebo zpracovatele, nebo může plnit úkoly na základě smlouvy o poskytování služeb
    • Povinnosti pověřence stanovuje čl. 39 Obecného nařízení:
      • Poskytovat informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování osobních údajů o jejich povinnostech podle tohoto nařízení dalších předpisů Unie nebo členského státu.
      • Monitorovat soulad s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělování odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů.
      • Poskytovat poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho uplatňování.
      • Spolupracovat s dozorovým úřadem.
      • Působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle čl. 36, a případně vedlejší konzultace v jakékoliv jiné věci.

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

  • Předání osobních údajů třetí zemi nebo mezinárodní organizaci lze uskutečnit jen za splnění podmínek tohoto nařízení a zákonů jiné země.
  • Existuje vícero předání:
    • Předání založené na rozhodnutí o odpovídající ochraně
    • Předání založené na vhodných zárukách
    • Předání na základě výjimek
  • Více čl. 44-49 Nařízení GDPR.

Kodexy chování a vydávání osvědčení

Nařízení stanoví, že zpracování osobních údajů se bude také řídit kodexy chování vydanými v členských státech nebo Komisí EU. Osvědčení se poté vydá všem správcům nebo zpracovatelům, kteří prokáží, že jejich zpracování je v souladu s nařízením GDPR. Nařízení výslovně stanoví:

  • Členské státy, dozorové úřady, sbor a Komise podporují a zaštiťují vypracovávání kodexů.
  • Sdružení nebo jiné subjekty zastupující správce nebo zpracovatele vypracovávají kodexy chování nebo ty kodexy mohou upravovat či rozšiřovat, s cílem upřesnit uplatňování ustanovení nařízení
  • Kodexy mají všeobecnou platnost.
  • Za účelem uplatňování vhodných záruk (práva subjektů údajů), přijmou správci nebo zpracovatelé prostřednictvím smluvních nástrojů nebo jiných právních nástrojů závazné a vymahatelné závazky.
  • Monitorování souladu zpracovávání osobních údajů správcem nebo zpracovatelem s kodexem bude provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem.
  • Členské státy, dozorové úřady, sbor a Komise podpoří zavedení mechanismů pro vydávání osvědčení o ochraně osobních údajů a zavedení pečetí a známek dokládající ochranu osobních údajů pro účely prokázání souladu s tímto nařízením.
  • Osvědčení se vydává na dobu nejvýše 3 let a lze jej obnovit za stejných podmínek.
  • Subjektem pro vydání osvědčení to může být pouze subjekt stanovený v čl. 43 odst. 1 a), b): dozorový úřad, nebo vnitrostátní akreditační orgán určený v souladu s nařízením EU a s dodatečnými požadavky stanovenými dozorovým úřadem.

Nezávislé dozorové úřady

  • Náš dozorový úřad je ÚOOÚ – Úřad pro ochranu osobních údajů.
  • Jedná se o zcela nezávislý úřad.
  • Dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí.
  • Úkoly dozorového úřadu jsou mj.:
    • Monitorovat a vymáhat uplatňování tohoto nařízení
    • Zvyšovat povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám.
    • Poskytuje poradenství parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod FO v souvislosti se zpracováním
    • Podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení
    • Spolupracuje s dozorovými úřady v jiných členských státech
    • Zabývá se stížnostmi, které podá subjekt osobních údajů
    • Provádí šetření o uplatňování tohoto nařízení
    • Podporuje vypracování kodexů chování, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky dle tohoto nařízení
    • Provádí přezkum osvědčení
    • Plní veškeré další úkoly související s ochranou osobních údajů
  • Pravomoci dozorového úřadu jsou:
    • Nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů
    • Provádět vyšetřování formou auditů ochrany osobních údajů
    • Provádět přezkum osvědčení
    • Ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení
    • Získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých úkolů
    • Získat přístup do všech prostor, v nichž správce a zpracovatel působí.
  • Nápravné pravomoci dozorového úřadu jsou:
    • Upozornění, že zamýšlená operace zpracování pravděpodobně porušuje toto nařízení
    • Napomenutí, že zpracováním správce nebo zpracovatel porušili toto nařízení
    • Nařízení vyhovění žádostem subjektů údajů o výkon jeho práv podle tohoto nařízení
    • Nařízení uvést operaci zpracování v soulad s tímto nařízením
    • Nařízení oznámení, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů
    • Uložení dočasného nebo trvalého omezení zpracování
    • Nařídit opravu nebo výmaz osobních údajů
    • Odebrat osvědčení
    • Uložit správní pokutu
  • Vypracovává výroční zprávy o své činnosti.
  • Musí existovat vzájemná spolupráce mezi dozorovými úřady.

Evropský sbor pro ochranu osobních údajů

  • Zřizuje se Evropský sbor pro ochranu osobních údajů (jedná se o subjekt Unie s vlastní subjektivitou)
  • Je tvořen vedoucími dozorových úřadů z každého členského státu a evropský inspektor ochrany osobních údajů nebo jejich zástupci
  • Sbor zastupuje jeho předseda.
  • Sbor jedná vždy nezávisle a od nikoho nevyžaduje ani nepřijímá pokyny
  • Zajišťuje jednotné uplatňování nařízení GDPR.
  • Jeho úkoly spočívají zejména v:
    • Monitorování a zajišťování řádného uplatňování tohoto nařízení, aniž jsou dotčeny úkoly vnitrostátních dozorových úřadů
    • Poskytování poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení
    • Vydává pokyny, doporučení a osvědčené postupy týkající se postupů pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb
    • Prošetřuje z vlastního podnětu, na žádost některého ze svých členů nebo žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování tohoto nařízení.
    • Vydává pokyny, doporučení a osvědčené postupy za účelem dalšího vymezení kritérií a podmínek, které mají platiti pro rozhodnutí založená na profilování
    • Přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů
    • a další.
  • Rozhodnutí Sbor přijímá prostou většinou svých členů, nebo 2/3 většinou svůj jednací řád a provozní opatření.

Právní ochrana, odpovědnost, sankce

  • Právo podat stížnost u dozorového úřadu
    • Každý subjekt údajů má právo podat stížnost u svého dozorového úřadu, kde se domnívá, že došlo k údajnému porušení a pokud se domnívá, že zpracování osobních údajů je porušeno toto nařízení.
  • Právo na účinnou soudní ochranu vůči dozorovému úřadu
    • Každá fyzická nebo právnická osoba má právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.
  • Právo na účinnou soudní ochranu vůči správci nebo zpracovateli
    • Řízení proti správci nebo zpracovateli se zahajuje u vnitrostátních soudů
  • Právo na náhradu utrpěné újmy od správce nebo zpracovatele
    • Kdokoliv, kdo utrpěl v důsledku porušení tohoto nařízení hmotnou nebo nehmotnou újmu, má právo na náhradu utrpěné újmy od správce nebo zpracovatele (čl. 82). Tím je dána i odpovědnost za újmu správce či zpracovatele
  • Ukládání správních pokut
    • Každý stát si může stanovit vlastní sankce.
    • Okolnosti, ke kterých se přihlíží při ukládání pokut:
      • Povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena.
      • Zda k porušení došlo úmyslně nebo z nedbalosti.
      • Kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů
      • Míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků aj.
    • Nařízení GDPR stanoví sankce:
      • Před uložením správní pokuty má dozorový orgán mnoho možností, jak upozornit na neuvedení v souladu s GDPR (Př. písemné upozornění, napomenutí, nařízení dočasného nebo trvalého omezení zpracovávání apod.)
      • Správní pokuta ve výši 10 000 000 EUR nebo jedná-li se o podnik až do výše 2 % celkového ročního obratu celosvětově za předchozí rok, podle toho, která hodnota je vyšší.
      • Správní pokuta ve výši 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
      • Je na členském státu, do jaké míry je možné ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném českém státě.

Ustanovení týkající se zvláštních ustanovení zpracování osobních údajů

  • Pro novinářské, umělecké a akademické zpracování osobních údajů budou platit výjimky
  • Zpracování a přístup veřejnosti k úředním dokumentům zajistí členský stát
  • Zpracování národních identifikačních čísel zajistí legislativa členského státu
  • Zpracování v souvislosti se zaměstnáním: je to na členských státech

 

Manuál pro zaměstnavatele

Neexistuje jednotný postup, jak uvést vaše zpracovávání osobních údajů v soulad s GDPR. Nařízení GDPR poskytuje pouze obecná ustanovení, jak se má zpracovávání osobních údajů subjektů zabezpečit, technická stránka zpracovávání záleží již na konkrétním správci nebo zpracovateli osobních údajů. Každá společnost nakládá s osobními údaji za jiným účelem, proto i uvedení v soulad s GDPR každá společnost bude provádět jiným způsobem.

Pro přehlednost přikládáme slovník nejdůležitějších pojmů, které nařízení GDPR používá:

  1. Osobní údaje = veškeré informace o identifikované nebo identifikovatelné FO (= „subjekt údajů“); identifikovatelná osoba je FO, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této FO)
  2. Zpracováním = jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
  3. Omezení zpracování = označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu
  4. Profilování = jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k FO, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu
  5. Pseudonymizace = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné FO
  6. Evidence = jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný nebo rozdělený podle funkčního či zeměpisného hlediska
  7. Správce = FO nebo PO, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li tyto účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení
  8. Zpracovatel = FO nebo PO, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
  9. Příjemce = FO nebo PO, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany osobních údajů pro dané účely zpracování
  10. Porušení zabezpečení osobních údajů = porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovaných osobních údajů
  11. Podnik = jakákoliv FO nebo PO vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost
  12. Dozorový úřad = nezávislý orgán veřejné moci zřízený členským státem podle čl. 51

Jak postupovat, abych zpracovávání osobních údajů subjektu uvedl v soulad s nařízením GDPR?

  1. Nejprve byste si měnili analyzovat váš systém stávajícího zpracování osobních údajů. Za jakým účelem osobní údaje zpracováváte? Kdo jsou vašimi subjekty? Na jakém trhu se pohybujete? Pokud máte zaměstnance, vašimi zákazníky jsou fyzické osoby, nejčastěji OSVČ nebo spotřebitelé, osobní údaje zpracováváte za účelem marketingu a vytváření databáze osobních údajů, máte automatizované nástroje, které vytváří profily nebo modely chování subjektů údajů, pak se na vás nové nařízení GDPR jistě bude vztahovat.
  2. Uveďte svoje zpracování osobních údajů do souladu s nařízením GDPR do 25.5.2018. Nařízení GDPR neposkytuje přesný, jasný a strukturovaný postup, jak „správně“ zpracovávat údaje, předepisuje pouze cíle, které musí všichni správci nebo zpracovatelé jednotně naplnit a je pouze na nich, jaké technické nástroje k tomu použijí.

Jaké novinky nařízení GDPR přináší?

GDPR stanoví nové povinnosti správcům a zpracovatelům a subjektům osobních údajů nová práva.

V odůvodnění nařízení GDPR se dočteme, že „ochrana osobních údajů by měla být zakomponována do všech fází řízení.“ To znamená, že kterékoliv řešení, systém nebo opatření správce nebo zpracovatel bude uvádět na trh, vždy musí být v souladu s ochranou osobních údajů stanovenou v tomto nařízení. GDPR stanoví také demonstrativní výčet prostředků, jak ochránit osobní údaje subjektů (Př. pseudonymizace).

Správci často uzavírají v praxi zpracovatelské smlouvy se zpracovateli, kteří za ně obstarávají ochranu osobních údajů. GDPR nově stanoví konkrétní náležitosti, které musí zpracovatelská smlouva zprostředkovávat.

Povinnosti správců a zpracovatelů

1) Ochrana osobních údajů musí být vždy v souladu s nařízením GDPR

Pokud správce nebo zpracovatel půjde na trh s novým řešením nebo marketingovými triky, musí být vše vždy v souladu s tímto nařízením.

Správci a zpracovatelé jsou zodpovědní za zabezpečení všech osobních údajů subjektů, se kterými pracují.

2) Ruší se oznamovací povinnost ÚOOÚ toho, kdo hodlá zpracovávat osobní údaje nebo je měnit

3) Je nutné komunikovat se subjekty údajů

Pokud budete vyžadovat od subjektu osobní údaje, vždy musíte sdělit, kdo jste, za jakým účelem jeho osobní údaje shromažďujete a jak dlouho je budete zpracovávat.

4) Zákaz nekontrolovatelného marketingu

Subjekty osobních údajů mají právo nepřistoupit na přímý marketing, který využívá jejich osobní údaje, např. profilování. Je nutné, aby s tímto přímým marketingem samotní subjekty údajů souhlasili. V případě, že správce nebo zpracovatel využívají profilování, musí své zákazníky o tom informovat a dát subjektu údajů možnost toto odmítnout.

5) Musíte umožnit subjektům přístup k jejich osobním údajům, aby je mohly použít jiné společnosti

Pokud správce provádí ochranu osobních údajů na základě souhlasu subjektů, nebo automatizovanými prostředky, tak mají povinnost je subjektům poskytnout ve strukturované formě a strojově čitelném formátu (Př. poskytovatelé energetiky nebo telekomunikace).

6) Je třeba aplikovat nadstandartní ochranu osobních údajů týkajících se zdraví, rasy, sexuální orientace, náboženského a politického přesvědčení

7) Poskytnutí „práva být zapomenut“ všem subjektům osobních údajů

Požádá-li subjekt osobních údajů o vymazání osobních údajů, správce nebo zpracovatel je musí vymazat, pokud to nenaruší svobodu projevu nebo možnost vědeckého zkoumání.

8) Jmenování pověřence ochrany osobních údajů (DPO – Data Protection Officer)

Pokud jste veřejnoprávním subjektem nebo zpracová­váte citlivé (zvláštní) kategorie osobních údajů či systematic­ky a rozsáhlým způsobem zpracováváte osobní údaje, musíte jmenovat ve své společnosti pověřence ochrany osobních údajů.

9) Povinnost posuzovat vliv konkrétních zpracování osobních údajů subjektů a v případě rizikových zpracování vypracovat analýzu, kterou konzultují s pověřencem osobních údajů (pokud ho společnost má) a někdy i konzultovat s dozorovým úřadem formu zpracování osobních údajů před samotným zahájením (DPIA – Data Protection Impact Assessmant)

Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí.

Společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu.

Společnosti nebo instituce, které v rozsáhlém objemu zpracovávají citlivé osobní údaje anebo systematicky monitorují veřejně přístupné prostory. Příkladem této kategorie společností jsou bezpečnostní agentury, zdravotní pojišťovny nebo nemocnice.

10) Oznámení porušení ochrany osobních údajů ÚOOÚ

Správce osobních údajů by měl nově ohlásit dozorovému úřadu do 72 hodin ztrátu, zničení nebo změnu zpracovaných osobních údajů. Dále pokud tato ztráta, zničení nebo změna nese velké riziko pro práva a povinnosti subjektů osobních údajů, má povinnost jim to ohlásit. Povinnost správců tedy bude zavést systémy, které toto budou monitorovat.

11) Povinnost vyžádat si souhlas od subjektů se zpracováním osobních údajů

V souvislosti s Nařízením GDPR je nutné si vždy od kohokoliv vyžádat souhlas se zpracováním jeho osobních údajů. Pokud se bude jednat o dítě, je nutné se vyžádat i rodičovský souhlas.

12) Veškeré souhlasy musí být sepsány v jasném a srozumitelném jazyce pro subjekty osobních údajů

Veškeré souhlasy a licence bude třeba přezkoumat, zda jsou srozumitelné pro člověka s průměrným rozumem.

13) Vedení záznamů o činnostech zpracování

Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

14) Přenášení osobních údajů subjektů do třetích zemí

Pokud správce nebo zpracovatel přenáší údaje do třetích zemí mimo EU, musí přijmout příslušná právní opatření podle Nařízení GDPR.

15) Konzultace s ÚOOÚ před samotným zpracování osobních údajů

Pokud si nejste jisti, jestli s osobními údaji subjektů nakládáte podle zákona, můžete se obrátit na ÚOOÚ, který vám poskytne poradenství ohledně právní úpravy Nařízení GDPR.

Jaký je vhodný postup přípravy?

  1. Analýza stávajícího stavu zpracovávání osobních údajů ve Vaší společnosti
  2. Praktické řešení
    1. Úprava vnitřních norem a procesů společnosti
    2. Určení, zda společnost potřebuje pověřence pro ochranu osobních údajů
    3. Zajištění bezpečnosti zpracování osobních údajů
  3. Realizační fáze – uvést vše do chodu a pravidelně udržovat vzdělání zaměstnanců

Pár drobných rad

  1. Zkontrolujte si a revidujte souhlasy se zpracováním osobních údajů.

Každý zákazník musí být informován, k jakému účelu svoje osobní údaje poskytuje, komu, jak dlouho budou u správce nebo zpracovatele uchované a kdo všechno tyto osobní údaje může obdržet. Novinkou je rodičovský souhlas se zpracováním osobních údajů u dětí, v České republice to bude nejspíše dítě mladší 16 let (stále ještě není vydaná zákon, který to má upravovat).

  1. Zkontrolujte si smlouvy se zpracovateli osobních údajů.
  2. Pokud budete mít pochybnosti, obraťte se na externí odborníky, kteří Vám s úpravou Nařízení GDPR pro Vaši společnost pomohou.

Sankce na nedodržení nařízení GDPR

  1. Sankce se týkají porušení, nezavedení nebo nepřipravenost na nové nařízení.
  2. Při ukládání sankcí přihlíží dozorový orgán k:
    • Povaze, závažnosti a délce trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování
    • Zda došlo k porušení úmyslně nebo z nedbalosti
    • Kroky podniknuté správcem nebo zpracovatelem ke zmírnění škod způsobených subjektům údajů apod.
  3. Za porušení následujících ustanovení se uloží pokuta až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
    • Porušení povinnosti správce a zpracovatele podle čl. 8, 11, 25-39, čl. 42 a čl. 43
      • Pokud správce nebo zpracovatel zpracuje osobní údaje dítěte nezákonně, a to tím způsobem, že osobní údaje nebudou podloženy rodičovským souhlasem
      • Pokud správce nebo zpracovatel neinformuje subjekty osobních údajů, že není schopen je identifikovat.
      • Správce nebo zprostředkovatel nezabezpečí technicky osobní údaje subjektů, nevede záznam o činnostech zpracování, nespolupracuje s dozorovým úřadem.
      • Správce nebo zpracovatel nezajistí bezpečnostní technikou:
        • Pseudonymizaci a šifrování
        • Neustálou důvěrnost, integraci, dostupnost a odolnost systémů a služeb zpracování
        • Obnovitelnou dostupnost osobních údajů a přístup k nim včas v případě fyzických a technických incidentů
        • Proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
      • Správce nebo zpracovatel nevypracuje posouzení vlivu zpracování osobních údajů.
      • Správce nebo zpracovatel nekonzultuje předem nové zpracování osobních údajů subjektů.
      • Správce nebo zprostředkovatel nezřídí pověřence ochrany osobních údajů
  4. Sankci může uložit dozorový orgán v maximální výši 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti, podle toho, která částka bude vyšší. Jedná se o:
    • Porušení základní zásady pro zpracování, včetně podmínek týkající se souhlasu a zpracovávání zvláštních kategorií osobních údajů
    • Porušení práva subjektů (poskytování transparentních informací od správce, poskytování informací subjektům osobních údajů o jejich zisku jejich osobních údajů, právo na opravu, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů)
    • Předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci v rozporu s Nařízením GDPR
    • Jakékoliv povinnosti vyplývající z právních předpisů České republiku ohledně zpracování osobních údajů v souladu s právem na svobodu projevu a informací, s principem veřejnosti a v souvislosti se zaměstnáním.
    • Nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem nebo neposkytnutí přístupu dozorovému úřadu do všech prostor, kde správce nebo zpracovatel působí.
  5. Před uložením pokuty má dozorový orgán mnoho možností, jak upozornit na neuvedení v souladu s GDPR (Př. písemné upozornění, napomenutí, nařízení dočasného nebo trvalého omezení zpracovávání apod.)
  6. Nejvyšší pokuta může být uložena jak malé společnosti, tak velké bez ohledu na počet zaměstnanců.

 

Autoři:
Mgr. Hedvika Hartmanová
JUDr. Vojtěch Steininger, LL.M.
 

Hartmanová & Steininger, advokáti
Maiselova 3
CZ – 110 00 Praha 1
Česká republika


Email: info@hast-ak.com
Internet: www.hast-ak.com

Copyright © 2017


Právní stav k 1.9.2017.

Tento informační materiál byl zpracován s nejvyšší pečlivostí. Přesto autoři neodpovídají za správnost údajů, pokynů nebo případných rad, ani za tiskové chyby.

Tento informační materiál je včetně všech svých částí chráněn autorským zákonem. Jakékoli použití bez souhlasu autorů je nepřípustné a trestné. To platí obzvláště pro zhotovování kopií, překlady a jakékoli použití v elektronické podobě.

Tento materiál slouží pouze jako všeobecná a předběžná informace o aktuálních tématech, nejedná se o poradenství. Nezohledňují se v něm žádné zvláštní okolnosti ani zvláštní požadavky případných adresátů. Jeho adresáti by si proto měli vždy vyžádat příslušné profesionální právní služby k uvedeným informacím. I přes pečlivé sestavení tohoto materiálu nemohou autoři zaručit přesnost a úplnost informací zde obsažených a nepřebírají jakoukoliv odpovědnost za konání nebo zdržení se konání na základě informací obsažených v tomto materiálu.

Informace pro spotřebitele       Podmínky používání, ochrana osobních údajů

Copyright © 2014 - JUDr. Vojtěch Steininger, LL.M., Mgr. Hedvika Hartmanová. Všechna práva vyhrazena.

Webovou prezentaci vytvořil a spravuje SMART-page.cz

Souhlasím s podmínkami používání těchto webových stránek, včetně použití souborů cookies.