Co je zpracování osobních údajů?
Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování ve smyslu obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, nikoli nahodilou, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování.
Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně osobních údajů.
Co se rozumí pojmem automatizovaně?
S pojmem „automatizovaně“ se lze především setkat u vymezení působnosti obecného nařízení, které se vztahuje na zpracování osobních údajů, které je prováděno zcela či částečně automatizovaně a dále na zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Subjekt údajů má také právo nebýt předmětem automatizovaného rozhodování s právními či obdobnými účinky.
Definice automatizace však obsažena není. Automatizaci lze vyložit tak, že jde o zpracování pomocí informačních systémů, tj. prostřednictvím softwaru, který je z logiky věci automatizovaný. Lze tedy zjednodušit, že automatizovaně znamená prostřednictvím výpočetní techniky.
Co je osobní údaj?
Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, de facto změněn.
Je nutné si uvědomit, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.
Byť je definice osobního údaje poměrně široká, je nutné vzít v potaz, že aplikace obecného nařízení nastává až při jejich zpracování.
Kdo je subjekt údajů?
Subjektem údajů je výlučně fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz.
Obecné nařízení a priori vylučuje svoji působnost na údaje o zesnulých osobách.
Definice subjektu údajů je obsahově totožná jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů.
Kdo je správce?
Správcem je subjekt, nerozhodné jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Z povahy věci musí být u každého zpracování správce. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.
Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.
V případě právnické osoby je správcem daná právnická osoba, nikoli její některý zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková. Pojem správce nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, změněn.
Kdo je zpracovatel?
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce na základě pokynů správce. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar).
Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět s osobními údaji jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobním údajům, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců). Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště) apod.
Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, změněn.
Co se rozumí profilováním?
Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k profilování docházelo i v době před účinností. Profilování není a priori obecným nařízením zakázáno, nevyžaduje se a priori souhlas subjektu údajů. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.
