Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy

 

Cesta: Titulní stránka

 

GDPR v otázkách a odpovědích

Úřad pro ochranu osobních údajů vydal soubor otázek a odpovědí, které se vztahují k této novince na poli ochrany dat.
 

 
 
Obsah
  1. OBECNÉ NAŘÍZENÍ
  2. NOVÉ PŘÍSTUPY A POVINNOSTI
  3. NEJDŮLEŽITĚJŠÍ POJMY
  4. ZÁSADY A PRÁVNÍ DŮVODY ZPRACOVÁNÍ
  5. ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ (CITLIVÉ ÚDAJE)
  6. PRÁVA SUBJEKTU ÚDAJŮ
  7. SPRÁVCE, ZPRACOVATEL
  8. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
  9. POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
  10. PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH ZEMÍ
  11. SANKCE, POKUTY
  12. RŮZNÉ




1. Obecné nařízení

Co znamená Obecné nařízení o ochraně osobních údajů?

Obecné nařízení představuje nový právní rámec ochrany osobních údajů v evropském prostoru, které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak Obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, resp. zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny či je jím umožněno je upravit na vnitrostátní úrovni (nebo dokonce i stanoveno, že mají být upraveny).

Charakteristická pro Obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a tudíž i sjednocující účinek, jelikož jednotná pravidla pro zpracování osobních údajů budou platit v každém státě EU a třech vyjmenovaných. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí Obecného nařízení.

Celý název je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).

Anglická zkratka Obecného nařízení, se kterou se lze setkat v odborných textech či hovoru, je GDPR (General Data Protection Regulation).

Proč muselo dojít k revizi právního rámce ochrany osobních údajů?

K revizi bylo přikročeno z toho důvodu, že současný právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami lety (např. v oblasti profilování, automatizace zpracování osobních údajů atd.). Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích činilo problémy.

Cílem Obecného nařízení je přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektu údajů a v neposlední řadě je snahou dosáhnout sjednoceného výkladu Obecného nařízení a dozoru jednotlivými dozorovými úřady.

S nařízením jsem nikdy nepracoval, má nějaké zvláštnosti?

Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují povinnosti a práva. Jistou zvláštností nařízení oproti zákonu je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a tato ustanovení jsou v některých případech výkladem či do jisté míry důvodovou zprávou k některým ustanovením vlastního textu nařízení. Je tak vhodné při práci s nařízením sledovat i jednotlivé recitály, které se např. týkají konkrétního článku či institutu nařízení. Dále je nutné vzít v potaz, že celý právní rámec bude dotvářet adaptační zákon, kterým bude novelizovaný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů a který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k Obecnému nařízení.  Kompletní právní rámec ochrany osobních údajů tak bude tvořen Obecným nařízením a adaptovaným zákonem o ochraně osobních údajů.

Co znamená datum použitelnosti Obecného nařízení?

Použitelnost znamená jinými slovy účinnost Obecného nařízení, tedy datum, od kdy se Obecné nařízení začne používat neboli aplikovat.

Byť je Obecné nařízení v současné době platné, není ještě účinné (použitelné), tj. prošlo již legislativním procesem, je to tudíž schválený platný dokument, ale jeho účinnost nastane až 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů budou řídit Obecným nařízením.

Nyní běží pro správce a zpracovatele dvouletá lhůta, aby uvedli ke dni použitelnosti Obecného nařízení svá zpracování osobních údajů do souladu s Obecným nařízením.

Co bude se současným zákonem o ochraně osobních údajů?

Jelikož Obecné nařízení stanovuje práva a povinnosti při zpracování osobních údajů, v tomto rozsahu zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů nahrazuje. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

Kdo se bude muset Obecným nařízením řídit?

Obecným nařízením se bude především, pokud jde o povinnosti, řídit subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem osobních údajů.  Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Pokud jde o práva vyplývající z Obecného nařízení, ta vyplývají fyzické osobě, což je subjekt údajů. Dále se Obecným nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který bude uplatňovat svěřené pravomoci za účelem plnění stanovených úkolů.

Na jaké činnosti Obecné nařízení nedopadá?

Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz článek 2 odst. 2 písm. c) Obecného nařízení], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.

Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, je nutné její provedení, které bude vesměs v zákoně č. 273/2008 Sb., o Policii České republiky a též i v novelizovaném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.




2. Nové přístupy a povinnosti

Na jakých nových přístupech je Obecné nařízení založeno?

Lze hovořit o dvou nových přístupech, na kterých je Obecné nařízení založeno.  Novými přístupy jsou princip odpovědnosti správce a přístup založený na riziku.

Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Obecného nařízení a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme hovořit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu princip založený na riziku se uplatňuje zejména u nových povinností: ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, resp. subjektu údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace s Úřadem pro ochranu osobních údajů, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.
 

Jak budu jako správce dokládat soulad zpracování?

Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správci, jak výslovně zmiňuje Obecné nařízení, napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování.

Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví).

Osvědčení má sloužit k prokázání souladu zpracování s Obecným nařízením.

Záznamy o činnostech zpracování obsahují informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí. Tato povinnost je stanovena v článku 30 Obecného nařízení, přičemž někteří správci jsou vyňati z nutnosti vést záznamy o činnostech zpracování.

Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které Obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.

Kdo bude vydávat kodexy a osvědčení?

Kodexy budou moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů přičemž návrh kodexu musí být předložen Úřadu pro ochranu osobních údajů, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictvím.

Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů.

Jaké nové povinnosti Obecné nařízení přináší?

Je nutné zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly detailněji pouze rozpracovány a zpřesněny (např. nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů atd.). Obecné nařízení na těchto základech přináší nástavbu spočívající v dodatečných nových povinnostech, které pro české správce budou nové.

Jde zejména o tyto nové povinnosti:

Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence, jsou ostatní nové povinnosti založeny na přístupu založeném na riziku, tj. jejich uplatnění je vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů. Avšak byť u povinnosti ustanovit pověřence není přímo pracováno s pojmy riziko či vysoké riziko, odráží se v této povinnosti do určité míry též přístup založený na riziku, jelikož pro určitá zpracování, resp. určité subjekty, je povinností ustanovit pověřence pro ochranu osobních údajů.

Kdy musí správce provést posouzení vlivu na ochranu osobních údajů?

Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.

Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
  • u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
  • u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
  • u rozsáhlého systematického monitorování veřejně přístupných prostorů

Kdy musí správce konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů?

Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.

Co jsou záznamy o činnostech?

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla Obecným nařízením zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s Obecným nařízením.

Kdo nemusí vést záznamy o činnostech zpracování?

Vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.




3. Nejdůležitější pojmy

Definice pojmů jsou obsaženy v článku 4 odst. 1 Obecného nařízení.

Co je zpracováním osobních údajů?

Zpracováním je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Zpracování ve smyslu Obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování.

Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Co je osobní údaj?

Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů de facto změněn.

Kdo je subjekt údajů?

Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož Obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

Definice s totožným obsahem jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Co se rozumí profilováním?

Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k profilování dochází i v současné době. Profilování není a priori zákonem o ochraně osobních údajů či Obecným nařízením zakázáno. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.

Kdo je správce?

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.

Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.

Pojem správce nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů změněn.

Kdo je zpracovatel?

Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců).

Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.

Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů změněn.




4. Zásady a právní důvody zpracování

Na jakých zásadách je Obecné nařízení postaveno?

Zásady lze ve stručnosti shrnout na zásady:
  • zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně,
  • omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
  • minimalizace údajů- osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
  • přesnost - osobní údaje musí být přesné,
  • omezení uložení- osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.
Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 Obecného nařízení.  Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 Obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též kodexy a osvědčení.

Co se rozumí právními důvody zpracování osobních údajů?

Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.

Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Co znamená souhlas se zpracováním osobních údajů?

Souhlas (viz definice článek 4 odst. 1 bod 11 Obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů.

Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.

Je souhlas odvolatelný?

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.

Jak to bude se současnými souhlasy za použitelnosti Obecného nařízení?

Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami Obecného nařízení. To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 Obecného nařízení, například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.

Můžu zpracovávat osobní údaje zveřejněné na internetu?

Osobní údaje patří subjektům údajů a ty musí v některých případech, zejména v zákonem stanovených případech, strpět jejich zveřejnění např. ve veřejném rejstříku. Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož Obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti Obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 5 odst. 1 Obecného nařízení.

Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce měl absenci právního důvodu. Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.




5. Zvláštní kategorie osobních údajů (citlivé údaje)

Proč se rozlišují zvláštní kategorie osobních údajů?


Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci.  Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé a jimž je poskytnuta ještě zvýšená ochrana při jejich zpracování. Zvýšená ochrana se projevuje zejména ve stanovených zvláštních právních důvodech, na základě kterých je lze zpracovávat, vázanost některých institutů na jejich zpracování, jako hlavní činnosti (např. posouzení vlivu, ustavení pověřence), důraz na jejich zvýšené zabezpečení.

Jaké údaje spadají do zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Jejich výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který již nebude považován za zvláštní kategorii osobních údajů, ale podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů mají zvláštní režim v článku 10 Obecného nařízení.

Kdy lze zvláštní kategorie osobních údajů zpracovávat?

Zvláštní kategorie osobních údajů lze zpracovávat, pokud:
  • subjekt údajů udělil výslovný souhlas,
  • zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
  • zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
  • zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
  • zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
  • zpracování je nezbytné z důvodu významného veřejného zájmu,
  • zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
  • zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
  • zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.




6. Práva subjektu údajů

Jaká jsou práva subjektu údajů?


Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů jako celku, jelikož subjekt údajů je často ve slabším postavení než správce a tudíž vybalancovávají vztah mezi ním a správcem.

Subjekt údajů má právo na to být informován o zpracování jeho osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v Obecném nařízení subjektu údajů poskytl, resp. zpřístupnil. Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 Obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě subjektu údajů, patří právo na přístup k osobním údajům, právo opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování.

Co se rozumí přístupem k osobním údajům?

Přístupem k osobním údajům se rozumí právo subjektu údajů získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Co když jsou údaje nepřesné?

Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

Co znamená právo být zapomenut?

Právo na výmaz (být zapomenut) představuje v Obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.
Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů,
nebo vyplývají z jeho podstaty.

Co znamená právo na přenositelnost údajů?

Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.
Společné podmínky k aplikaci práva na přenositelnost:
  • musí jít o zpracování založené na právním důvodu, souhlasu či smlouvě,
  • zpracování se provádí automatizovaně.
Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

K právu na přenositelnost údajů byl ze strany skupiny WP29 vydán výkladový materiál dostupný zde: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=23461.
 
Kdy lze vznést námitku proti zpracování osobních údajů?

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?

Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.

Nelze tak například automatizovaně pokutovat řidiče překročující rychlost, aniž by pokutu nepřezkoumal člověk. Nebo nelze automatizovaně odmítnout žádost o úvěr, aniž by žádost nepřezkoumal člověk.

Zákaz automatizovaného individuálního rozhodování je stanoven i v § 11 odst. 6 současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?

Pokud se jedná o žádost podle článků 15 až 22 Obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Mohu si jako správce účtovat náklady v souvislosti s výkonem práv subjektu údajů?

Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článku 15 až 22 a 34 Obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.

Co když subjekt údajů zneužívá své právo?

Zneužitím nelze a priori rozumět výkon práv subjektu údajů. O zneužití práva subjektem údajů lze hovořit zejména tehdy, pokud se žádosti opakují a jsou zjevně nedůvodné či nepřiměřené. V takovém případě může správce uložit přiměřený poplatek nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost dokládá správce.




7. Správce, zpracovatel

Za co správce odpovídá?


Správce odpovídá za dodržování povinností kladených Obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž dodržování zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených Obecným nařízením.

Mohou být společní správci?

Ano, nově Obecné nařízení výslovně počítá i s možností tzv. společných správců. Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností.

Jak se mě, jako správce, dotkne Obecné nařízení?

Každého správce se Obecné nařízení dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na Obecné nařízení. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami Obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti Obecného nařízení).

Pokud správce řádně plní povinnosti vyplývající ze současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, nemělo by Obecné nařízení pro něj představovat výrazný problém, se kterým by si neporadil.

Důležité též je nezapomenout na osvětu zaměstnanců.

Jak na vztah správce – zpracovatel?

Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky Obecného nařízení a byla zajištěna ochrana práv subjektu údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 Obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, lze požadované náležitosti zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.

Může zpracovatel zapojit do zpracování jiného zpracovatele?

Jde o tzv. řetězení zpracovatelů, které není a priori zakázáno, nicméně je nutné, aby správce k tomuto dal písemné svolení zpracovateli. Svolení může být dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.




8. Zabezpečení osobních údajů

Jak musí správce zabezpečit osobní údaje?

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s Obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.

Co se rozumí porušením zabezpečení osobních údajů?

Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.

Kdy a co musí správce při bezpečnostním incidentu ohlásit Úřadu pro ochranu osobních údajů?

Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Právě používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.

V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.

Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.

Kdy a co musí správce při bezpečnostním incidentu oznámit subjektu údajů?

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.

Jak se určí riziko porušení zabezpečení?

Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví).

Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku. Porušení zabezpečení se tak musí provést komplexně, nikoli izolovaně a vyšlé riziko následně určí eventuální povinnost oznámit porušení zabezpečení Úřadu pro ochranu osobních údajů nebo i oznámit subjektu údajů.

Musí být vždy osobní údaje u správce v šifrované nebo pseudonymizované podobě?

Šifrování ani pseudonymizace nejsou výslovnou podmínkou zpracování osobních údajů. Jsou bezpečnostním prvkem, který i v některých případech může správci zlepšit jeho postavení v případě úniků těchto údajů, jelikož v takovém případě se na něj nemusí (v závislosti na případu, neznamená to, že pokaždé) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp. jej oznamovat subjektu údajů. Vždy je však nutné míru rizika posoudit a to i v případě, že byla použita pseudonymizace či šifrování.

Lze proto doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat (zpracovávat) údaje v šifrované či pseudonymizované podobě, k čemuž i Obecné nařízení nabádá.




9. Pověřenec pro ochranu osobních údajů

Kdo musí jmenovat pověřence pro ochranu osobních údajů?

Pověřence musí jmenovat správce a zpracovatel pokud:
  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí,
  • hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobích údajů a osobních údajů týkajících se rozsudků v trestních věcech.
Skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý podnik snadno dosažitelný.

Musí mít svého pověřence každá obec?

Vzhledem k tomu, že obec lze považovat za orgán veřejné moci, resp. veřejný subjekt ve smyslu článku 37 odst. 1 písm. a) Obecného nařízení, formálně na ní dopadá povinnost jmenovat pověřence. Úřad však není toho názoru, že by každá obec musela mít svého vlastního samostatného pověřence, ale je možné, aby pro určitý počet obcí vykonával činnost pověřence např. pověřenec vyššího územně samosprávného celku či se několik obcí dohodlo a najaly si vlastního pověřence. S tímto ostatně počítá i Obecné nařízení, které umožňuje pro více správců, kteří jsou orgánem veřejné moci či veřejným subjektem, jmenovat jednoho pověřence.
 
Musí být pověřenec organizačně podřízen přímo vedení organizace?

Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Nejde však o podmínku organizační, tj. že pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby pověřenec měl přímý přístup k vedení organizace, tj. aby při předávání informací vedení organizace nebyl mezi pověřencem a vedením další mezičlánek a pověřenec se tak na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních údajů.

Jaké jsou úkoly pověřence pro ochranu osobních údajů?

Především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s Obecným nařízením a dalšími předpisy. Pověřenec poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem pro ochranu osobních údajů a působení jako kontaktní místo.

Jaké má mít pověřenec pro ochranu osobních údajů vzdělání?

Obecné nařízení nestanovuje přesné požadavky na vzdělání pověřence ve smyslu akademických titulů. Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat Obecné nařízení. Každému správci může vyhovovat pověřenec s jiným vzděláním (např. právní vzdělání versus technické).

Musí být pověřenec pro ochranu osobních údajů certifikován?

Obecné nařízení nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i necertifikovanou osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a Obecném nařízení. Do budoucna není vyloučen vznik subjektů, které se „certifikace“ pověřenců chopí, nicméně využití certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak ze strany správce, který nemá povinnost vybírat certifikovaného pověřence.

Může poskytnout pověřence i právnická osoba? Např. jako službu?

Obecné nařízení tuto možnost nevylučuje, resp. umožňuje i jeho fungování na základě smlouvy o poskytování služeb. Vždy však musí být, v případě, že pověřence jako službu poskytuje právnická osoba, určena konkrétní fyzická osoba, která pověřence bude vykonávat. Při uvažování o využití služby pověřence by měl správce vzít v úvahu i to, že pověřencem by měla být osoba, která zpracování osobních údajů u správce detailně pozná a pouze tak dokáže identifikovat případná riziková místa či slabiny, což u najatého pověřence být nemusí. Také je vhodné zvážit konkurenční hledisko, kdy jeden poskytovatel pověřence může poskytovat stejného pověřence i pro konkurenta a hrozí tak i vyzrazení know-how.




10. Předávání osobních údajů do jiných zemí

Jak lze předávat osobní údaje do zemí Evropské unie?

Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Tuto premisu však nelze považovat za právní důvod k předávání osobních údajů jakémukoli správci či kdykoli. Možnost předávat osobní údaje bez omezení v Evropské unii se týká institucionálního zabezpečení, tj. je vyjádřeno to, že v zemích Evropské unie platí stejný vysoký standard právního rámce ochrany osobních údajů při jejich zpracování a není tak nutné zajišťovat jejich institucionální bezpečnost. K samotnému předání jinému správci musí mít správce právní důvod, jelikož i předání je jednou z činností zpracování. Právní důvod musí mít správce i tehdy, pokud předává osobní údaje do země mimo Evropskou unii, kdy ještě navíc musí být splněny podmínky pro předání osobních údajů i z hlediska jejich institucionálního zabezpečení.

Jaké jsou možnosti předávání osobních údajů do zemí mimo Evropskou unii?

Pokud správce chce předat jinému správci osobní údaje do země mimo Evropskou unii, musí k tomu mít nejen právní důvod (viz článek 6 odst. 1 Obecného nařízení), ale zároveň musí být zajištěna jejich institucionální ochrana, tj. nelze (až na výjimky) předávat osobní údaje do zemí, kde není zajištěna dostatečná právní ochrana osobních údajů, resp. správce nepřijal instrumenty, které tuto ochranu při předávání zajistí.

Možnosti předávání:
  • předání založené na rozhodnutí o odpovídající ochraně,
  • předání založené na vhodných zárukách,
  • závazná podniková pravidla,
  • výjimky pro specifické situace, kdy nelze aplikovat jeden ze tří shora uvedených bodů.

Co se rozumí předáním založeném na rozhodnutí o odpovídající ochraně?

Komise může rozhodnout, že konkrétní země zajišťuje odpovídající úroveň ochrany osobních údajů. V takovém případě se nevyžaduje zvláštní povolení a předání osobních údajů nejsou kladeny žádné administrativní překážky. Tato rozhodnutí jsou k dispozici na https://www.uoou.cz/prehled-pripadu-predavani-osobnich-udaju-do-zahranici-u-nichz-neni-nutne-zadat-urad-o-povoleni/ds-1649/archiv=0&p1=1633 v bodě 3.

Co se rozumí předáváním založeném na vhodných zárukách?

Pokud neexistuje rozhodnutí Komise o odpovídající ochraně osobních údajů v dané zemi, mohou být osobní údaje do třetí země předány, pouze pokud přijímající správce poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů.

Co jsou závazná podniková pravidla?

Závazná podniková pravidla je koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazen na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení vykonávající společnou hospodářskou činnost. Jde tak o pravidla platící uvnitř správců, tvořících skupinu podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.




11. Sankce, pokuty


Jaké jsou podmínky pro ukládání pokut?


Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu, a to kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j) Obecného nařízení. Podstatné tedy je, že nikoli za každé porušení Obecného nařízení musí být udělena pokuta, ale správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují Obecné nařízení, nebo může být správci, jehož operace zpracování porušily Obecné nařízení, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s Obecným nařízením atd.

Není tak pravdou, že každé porušení Obecného nařízení bude představovat uložení správní pokuty.

Jak vysoká může být udělená pokuta?

V souvislosti s Obecným nařízením je často skloňována výše pokut, kterou lze za porušení udělit. Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které Obecné nařízení zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

Jsou při ukládání pokut polehčující či přitěžující okolnosti?

Polehčující a přitěžující okolnosti jsou vyjmenovány v čl. 83 odst. 2 písm. a) až k) Obecného nařízení. Brána v úvahu bude zejména povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní porušení, kroky podniknuté správcem a spolupráce s Úřadem pro ochranu osobních údajů atd. Viz úplný výčet okolností, které se při rozhodování o výši pokuty zohledňují.

Jak může postupovat subjekt údajů, pokud mu vznikla v souvislosti se zpracováním jeho osobních údajů škoda?

Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení Obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud.




12. Různé

Bude nadále platit oznamovací povinnost, tak jak platí dnes pro některá zpracování?

Oznamovací povinnost již není obsažena v Obecném nařízení a bude tedy s novelou zákona o ochraně osobních údajů zrušena v plném rozsahu. Oznamovací povinnost je částečně nahrazena záznamy o činnostech zpracování a povinností v některých případech zpracování konzultovat s Úřadem pro ochranu osobních údajů (viz otázka: Kdy musí správce konzultovat zpracování osobních údajů?).

Co je to skupina WP29?

Pracovní skupina WP29 je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie. Mezi její činnosti patří mimo jiné posuzování otázek týkajících se uplatňování vnitrostátních předpisů přijatých k provedení směrnice 95/46/ES s cílem přispívat k jejich jednotnému uplatňování. Pracovní skupina WP29 může z vlastního podnětu podat doporučení k jakékoli otázce týkající se ochrany osob v souvislosti se zpracováním osobních údajů. Výstupem známým veřejnosti tak jsou stanoviska a doporučení této skupiny, týkající se oblasti zpracování osobních údajů či aktuálních témat.  Stanoviska a doporučení pracovní skupiny WP29 lze nalézt zde: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

V souvislosti s Obecným nařízením nyní pracovní skupina WP29 vydává k jednotlivým institutům Obecného nařízení metodické materiály, které obsahují vodítka pro správce a zpracovatele. Vydaná vodítka jsou k dispozici v českém překladu na: https://www.uoou.cz/obecne-narizeni-eu/ds-3938/p1=3938.

Pracovní skupina WP29 nabytím použitelnosti Obecného nařízení bude transformována na Evropský sbor pro ochranu osobních údajů. Úkolem Sboru bude především zajišťování jednotného uplatňování Obecného nařízení a za tím účelem monitorovat jeho uplatňování a vydávat pokyny, doporučení a osvědčené postupy, a to i pro některé stanovené oblasti a instituty Obecného nařízení.

Poskytuje Úřad konzultace k Obecnému nařízení?

S ohledem na možnosti Úřadu pro ochranu osobních údajů jsou konzultace ohledně Obecného nařízení zaměřeny zejména na sdružení či asociace zastupující sektorově jednotlivé správce, s nimiž jsou projednávána specifika daného sektoru. Předpokládá se, že tyto subjekty, zastupující své členy, na ně následně přenesou nabytou znalostní bázi a tito členové v pozicích správců či zpracovatelů se nebudou muset samostatně obracet na Úřad pro ochranu osobních údajů.



 
Zodpovídá: Mgr. Tomáš Paták
Vytvořeno / změněno: 25.5.2017 / 25.5.2017

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém