Na jakých zásadách je obecné nařízení postaveno?
Zásady lze ve stručnosti shrnout na:
- zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně,
- omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
- minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
- přesnost – osobní údaje musí být přesné,
- omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
- integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.
Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce.
Zásady zpracování zároveň můžeme označit za základní stavební kameny každého zpracování. Jde o souhrn zásad, které musí být při zpracování osobních údajů dodržovány.
Co se rozumí právními důvody zpracování osobních údajů?
Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být ze strany správce hovořeno o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by je zlikvidovat.
Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.
Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?
Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
- subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
Co znamená souhlas se zpracováním osobních údajů?
Souhlas (viz definice článek 4 odst. 1 bod 11 obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.
Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.
Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Souhlas se využívá tam, kde správce nemůže zpracování podřadit pod jiný právní důvod (např. správce si nezajišťuje souhlas se zpracováním osobních údajů, pokud osobní údaje zpracovává pro plnění smlouvy se subjektem údajů, nebo pro zpracování v pro účely nezbytné personální agendy apod.).
Evropský sbor pro ochranu osobních údajů k tématu vydal Pokyny.
Musím mít ke každému zpracování osobních údajů souhlas subjektu údajů?
Nemusíte. Zejména tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti, se souhlas se zpracováním osobních údajů neuplatňuje. Souhlas by bylo nutné získat pro zpracování, která nelze podřadit pod tato zpracování:
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
Souhlas subjektu údajů není typicky uplatňován pro zpracování nezbytné pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).
Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?
Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí, ledaže subjekt údajů souhlas vyjádří dodatečně (např. na smlouvě zaškrtnutím k tomu určeného políčka – souhlas bude představovat pouze zaškrtnuté políčko). Zároveň nesmí být uzavření smlouvy (např. na poskytnutí služby) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů.
Je souhlas odvolatelný?
Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např. provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.
Jak je to se souhlasy udělenými před účinností obecného nařízení?
Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami obecného nařízení. Zákon č. 110/2019 Sb., o zpracování osobních údajů, dále uvádí, že souhlas udělený podle zákona č. 101/2000 Sb. se považuje za souhlas podle obecného nařízení, ledaže způsob jeho udělení nebyl v souladu s obecným nařízením. Způsob udělení musí odpovídat zejména podmínkám v článku 7 obecného nařízení.
Lze zpracovávat osobní údaje zveřejněné na internetu?
V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který byl v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), je další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce musí využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení. V úvahu může nejčastěji připadat ustanovení článku 6 odst. 1 písm. f), které musí být v každém konkrétním případě zvlášť posuzováno.
Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování. Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.
