Zásady ochrany osobních údajů
1. Obecné nařízení
Co znamená obecné nařízení o ochraně osobních údajů?
Obecné nařízení o ochraně osobních údajů (dále jen obecné nařízení či GDPR) představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který od 25. května 2018 přímo stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (subjektem údajů jsou pouze fyzické osoby). V českém právním prostředí tak obecné nařízení od 25. května 2018 nahradilo zákon č. 101/2000 Sb., o ochraně osobních údajů.
Charakteristická pro obecné nařízení je jeho univerzální použitelnost ve všech státech Evropské unie (resp. Evropského hospodářského prostoru, tj. i na Islandu, Norsku a Lichtenštejnsku) a tudíž i sjednocující účinek právní úpravy, jelikož jednotná pravidla pro zpracování osobních údajů platí v každém státě EU a ve třech výše vyjmenovaných státech. Právě zajištění větší jednotnosti pravidel ochrany osobních údajů bylo i jedním z cílů přijetí obecného nařízení.
Celý název předpisu je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Anglická zkratka obecného nařízení, se kterou se lze setkat v odborných textech či hovoru, je GDPR (z anglického názvu General Data Protection Regulation).
Proč muselo dojít k revizi právního rámce ochrany osobních údajů?
K revizi bylo přikročeno z toho důvodu, že předchozí právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami let (např. v oblasti profilování, automatizace zpracování osobních údajů atd.) a tudíž je i rizikovější pro práva a svobody fyzických osob. Zároveň v jednotlivých zemích Evropské unie nebyla Směrnicí 95/46/ES dosažena požadovaná míra sjednocení právní úpravy, což správcům působícím ve více zemích Evropské unie činilo problémy.
Cílem obecného nařízení je tedy přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posílení práv subjektů údajů a v neposlední řadě je snahou dosáhnout sjednoceného výkladu obecného nařízení a dozoru jednotlivými dozorovými úřady.
Je obecné nařízení revolucí, tak jak se o něm hovořilo?
V základních bodech obecné nařízení není revolucí, jelikož jde o kontinuitu se zmíněnou Směrnicí 95/46/ES, která jím byla zrušena. Je nutné si uvědomit, že od roku 2000 upravoval zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vycházel ze zmíněné směrnice. Každá organizace již tedy měla zpracovávat osobní údaje podle tohoto zákona. Za revoluci bychom mohli označit pouze přímou použitelnost obecného nařízení, což vyplývá z jeho charakteru, jakožto nařízení Evropské unie.
Obecné nařízení nemění základní zásady zpracování osobních údajů či základní pojmy jako jsou např. osobní údaj, subjekt údajů, správce, zpracovatel či zpracování. Nerozšiřuje ani svoji působnost oproti předchozí právní úpravě. Pro některá zpracování, resp. subjekty, však klade vyšší nároky při zpracování osobních údajů. Typicky jde o velké správce osobních údajů typu bank, telekomunikačních operátorů atd., tj. pro správce, kteří zpracovávají rozsáhlé množství osobních údajů a které je současně ze své podstaty rizikové pro práva a svobody subjektů údajů, tedy fyzických osob, o nichž jsou osobní údaje zpracovávány.
Na druhou stranu pro drobné živnostníky apod., kteří de facto zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě a v takových případech je nutné zejména sledovat dodržování základních zásad zpracování. Zejména pro ně Úřad vytvořil Desatero zpracování pro správce.
S nařízením jsem nikdy nepracoval/a, má nějaké zvláštnosti?
Pokud jde o stanovení práv a povinností, není mezi nařízením a zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují práva a povinnosti. Jistou zvláštností nařízení je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a jsou v některých případech výkladem či do jisté míry důvodovou zprávou k vlastnímu textu nařízení. Je tak vhodné při práci s nařízením sledovat i příslušné recitály.
Dále je nutné vzít v potaz, že celý právní rámec dotváří zákon č. 110/2019 Sb., o zpracování osobních údajů, který adaptuje právní řád na přímo použitelné obecné nařízení a obsahuje i drobné (povolené) odchylky či zvláštní úpravy k obecnému nařízení. Ve vztahu ke zpracování osobních údajů podle obecného nařízení již ale nejde o svébytný zákon, jako byl předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů.
Co se rozumí adaptačním zákonem?
Adaptačním zákonem se rozumí zákon č. 110/2019 Sb., o zpracování osobních údajů. Tento zákon provádí určitá ustanovení obecného nařízení, která směřují k členským státům (zejména postavení a pravomoci Úřadu pro ochranu osobních údajů), dílčím způsobem stanoví některá práva subjektů údajů, věk dítěte pro udělení souhlasu v souvislosti s nabídkou služeb informační společnosti (dovršením 15 let), rozsah povinnosti jmenovat pověřence pro ochranu osobních údajů. Stanoví také použití zásad zpracování a ochrany osobních údajů i na zpracování, na něž se obecné nařízení nevztahuje.
Ve vztahu k obecnému nařízení je jednak nutným „doplňkem“, předvídaným výslovně obecným nařízením, jednak svébytným zákonem pro oblasti obecným nařízením neupravené. Účinností zákona o zpracování osobních údajů ke dni 24. 4. 2019 došlo ke zrušení zákona č. 101/2000 Sb., o ochraně osobních údajů.
Kdo se musí obecným nařízením řídit?
Obecným nařízením se řídí, pokud jde o povinnosti, subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem osobních údajů. Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce osobní údaje zpracovává. Pokud jde o práva vyplývající z obecného nařízení, ta se vztahují k fyzické osobě, jejíž osobní údaje jsou předmětem zpracování. Dále se obecným nařízením budou řídit i dozorové úřady, tj. i Úřad pro ochranu osobních údajů, který uplatňuje svěřené pravomoci za účelem plnění stanovených úkolů.
Musí se obecným nařízením řídit i drobný živnostník nebo malý internetový obchod?
Ano, pokud při jejich činnosti dochází ke zpracování osobních údajů, což z povahy věci zpravidla dochází (nejčastěji osobní údaje zákazníků – fyzických osob, či osobní údaje zaměstnanců nebo obchodních partnerů – fyzických osob). Je však nutné si uvědomit, že obecné nařízení klade vyšší nároky především na subjekty, které zpracovávají osobní údaje ve velkém rozsahu či zvláštní kategorie osobních údajů, resp. pokud jsou osobní údaje hlavním bodem činnosti. To jsou například banky, telekomunikační operátoři, velké nemocnice atd.
Pokud při činnosti určitého subjektu dochází k běžné práci s osobními údaji nezbytnými např. k provedení služby či prodeji výrobku, lze zpravidla konstatovat, že obecné nařízení nepřináší rozdíly oproti předchozímu zákonu č. 101/2000 Sb., o ochraně osobních údajů. U těchto subjektů (malý internetový obchod, živnostník – opravář, mající klientelu z řad fyzických osob), které tedy neprovádí rozsáhlé či rizikové zpracování, je nezbytné zejména dodržovat zásady zpracování osobních údajů. Nutné je především sledovat legitimní účel, pro který byly osobní údaje shromážděny (např. uzavření kupní smlouvy a s tím spojené dodání zboží či poskytnutí služby) a osobní údaje adekvátně zabezpečit. Těmto subjektům lze doporučit Desatero zpracování pro správce.
Na jaké činnosti obecné nařízení nedopadá?
Z působnosti obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz článek 2 odst. 2 písm. c) obecného nařízení], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost. Např. na zpracování osobních údajů pro účely tvorby rodinného rodokmenu se na fyzickou osobu, která tento rodokmen vytváří pro osobní potřebu, nevztahuje obecné nařízení.
Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, musela být provedena vnitrostátním zákonem, kterým je zákon č. 110/2019 Sb., o zpracování osobních údajů.
________________________________________
2. Nové přístupy a povinnosti
Co znamená přístup založený na riziku a jaké nové instituty přináší?
Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.
V pojetí obecného nařízení tento přístup navíc znamená aplikaci dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele, patří:
-
záznamy o činnostech zpracování,
-
jmenování pověřence pro ochranu osobních údajů,
-
posouzení vlivu na ochranu osobních údajů,
-
předchozí konzultace s dozorovým úřadem.
Tyto zmíněné povinnosti (vyjma vypracování záznamů o činnostech zpracování) mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.
Novou povinností je i povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.
Tato povinnost se z povahy věci může týkat každého správce či zpracovatele (ten oznamuje správci), a to tehdy, pokud je porušení zabezpečení už závažnějšího charakteru, tj. musí z něj vyplývat riziko pro práva a svobody fyzických osob. Pro uplatnění povinnosti oznámit porušení zabezpečení subjektu údajů musí být takové porušení vysoce rizikové pro práva a svobody fyzických osob.
Jak správce dokládá soulad zpracování?
Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správcům, jak výslovně zmiňuje obecné nařízení, napomáhat mimo jiné záznamy o činnostech zpracování a pověřenec pro ochranu osobních údajů, kodexy, osvědčení (pečetě, známky).
Základním instrumentem pro většinu správců by měly být záznamy o činnostech zpracování dle článku 30 obecného nařízení. Záznamy o činnostech zpracování obsahují obecné informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí.
Pověřenec pro ochranu osobních údajů má u některých správců a zpracovatelů sloužit jako povinný prvek, který má dbát, aby zpracování osobních údajů u některých správců bylo v souladu s obecným nařízením.
Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví). Vypracování kodexu není povinné, ani se k jeho dodržování přihlásit. Jde o fakultativní možnost.
Osvědčení má sloužit k prokázání souladu zpracování s obecným nařízením. Není stanovena povinnost získat osvědčení, jde o fakultativní možnost, kterou správce či zpracovatel může deklarovat soulad zpracování osobních údajů s obecným nařízením. Osvědčení budou moci vydávat pouze k tomu akreditované subjekty.
Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.
Dokládání souladu ve shora uvedeném smyslu se uplatní zejména u organizací, na které se vztahují dodatečné povinnosti založené na riziku.
Soulad zpracování však musí být i u ostatních správců, na které se nevztahují dodatečné povinnosti. Ti zejména musí plnit základní zásady zpracování, adekvátní zabezpečení osobních údajů a dodržovat práva subjektu údajů.
Kdo bude vydávat kodexy a osvědčení?
Kodexy budou vypracovávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů, přičemž návrh kodexu musí být předložen Úřadu, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s obecným nařízením a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictví.
Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. Takový subjekt musí být akreditován osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona č. 22/1997 Sb., o technických požadavcích na výrobky. V praxi bude tedy akreditovat subjekty pro vydávání osvědčení Český institut pro akreditaci.
Kdy musí správce provést posouzení vlivu na ochranu osobních údajů?
Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
-
u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
-
u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech,
-
u rozsáhlého systematického monitorování veřejně přístupných prostorů.
Nadto je nutné provést posouzení vlivu u zpracování, které splní kritéria podle seznamu druhů operací zpracování podléhající povinnosti posouzení vlivu, které Úřad vydal.
Jak vidno, aby nastala tato povinnost, musí se již skutečně jednat o zpracování, které přináší vysoké riziko pro práva a svobody fyzických osob. Netýká se tedy každého zpracování.
Podrobněji k této povinnosti viz Pokyny Evropského sboru pro ochranu osobních údajů k posouzení vlivu na ochranu osobních údajů.
Dle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanovení povinnost takové zpracování osobních údajů provést.
Kdy musí správce zpracování osobních údajů s Úřadem konzultovat?
Správce je povinen konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Jinými slovy, pokud správci i po přijetí opatření ke zmírnění vysokého rizika toto vysoké riziko přetrvává. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko s dozorovým úřadem. K této povinnosti viz Pokyny Evropského sboru pro ochranu osobních údajů k posouzení vlivu na ochranu osobních údajů.
Co jsou záznamy o činnostech?
Záznamy o činnostech zpracování představují do jisté míry náhradu za zrušenou oznamovací povinnost. Správce a zpracovatel jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 obecného nařízení. Základní vzor k vyplnění můžete nalézt zde. Tento vzor je využitelný zejména pro nejmenší typy správců. Záznamy o činnostech zpracování nemusí vést drobný živnostník (např. kadeřnice mající seznam klientů apod.).
Kdo nemusí vést záznamy o činnostech zpracování?
Povinnost vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech. Do tohoto počtu se počítají i zaměstnanci na dohody o pracích konaných mimo pracovní poměr či agenturní zaměstnanci. Tato výjimka je však v praxi neuskutečnitelná z důvodu, že každé zpracování není příležitostné. Proto, pokud nejde o malé správce, by měli mít záznamy vypracovány správci a zpracovatelé nehledě na tuto výjimku.
Je pravda, že byla zrušena oznamovací povinnost?
Ano, obecné nařízení oznamovací povinnosti zrušilo, jelikož ji nepřevzalo. Roli oznamovací povinnosti přebírají především záznamy o činnostech zpracování (do jisté míry si správce informace, které by zasílal Úřadu pro ochranu osobních údajů prostřednictvím této povinnosti, ponechá pro své účely) a v některých případech povinnost provést posouzení vlivu na ochranu osobních údajů.
_______________________________________
3. Nejdůležitější pojmy
Definice pojmů jsou obsaženy v článku 4 odst. 1 obecného nařízení.
Co je zpracování osobních údajů?
Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování ve smyslu obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, nikoli nahodilou, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování.
Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně osobních údajů.
Co se rozumí pojmem automatizovaně?
S pojmem „automatizovaně“ se lze především setkat u vymezení působnosti obecného nařízení, které se vztahuje na zpracování osobních údajů, které je prováděno zcela či částečně automatizovaně a dále na zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Subjekt údajů má také právo nebýt předmětem automatizovaného rozhodování s právními či obdobnými účinky.
Definice automatizace však obsažena není. Automatizaci lze vyložit tak, že jde o zpracování pomocí informačních systémů, tj. prostřednictvím softwaru, který je z logiky věci automatizovaný. Lze tedy zjednodušit, že automatizovaně znamená prostřednictvím výpočetní techniky.
Co je osobní údaj?
Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, de facto změněn.
Jen nutné si uvědomit, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.
Byť je definice osobního údaje poměrně široká, je nutné vzít v potaz, že aplikace obecného nařízení nastává až při jejich zpracování.
Kdo je subjekt údajů?
Subjektem údajů je výlučně fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz.
Obecné nařízení a priori vylučuje svoji působnost na údaje o zesnulých osobách.
Definice subjektu údajů je obsahově totožná jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů.
Kdo je správce?
Správcem je subjekt, nerozhodné jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Z povahy věci musí být u každého zpracování správce. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.
Správcem může být jakýkoli subjekt. Správcem může být i fyzická osoba, pokud zpracovává osobní údaje způsobem, že tento způsob již vylučuje uplatnění výjimky osobní či domácí činnosti, resp. pokud nejde o nakládání s osobními údaji, které ještě nesplňuje definici jejich zpracování.
V případě právnické osoby je správcem daná právnická osoba, nikoli její některý zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková. Pojem správce nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, změněn.
Kdo je zpracovatel?
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy zpracovatel zpracovává osobní údaje pro správce na základě pokynů správce. Není povinností správce najmout si zpracovatele, tj. zpracovatel není nutný prvek zpracování. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista správce a ani jeho vnitřní útvar).
Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět s osobními údaji jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobním údajům, které zpracovává pro účely, které se jej přímo dotýkají (např. je správcem při zpracování osobních údajů vlastních zaměstnanců). Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště) apod.
Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, změněn.
Co se rozumí profilováním?
Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k profilování docházelo i v době před účinností. Profilování není a priori obecným nařízením zakázáno, nevyžaduje se a priori souhlas subjektu údajů. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.
________________________________________
4. Zásady a právní důvody zpracování
Na jakých zásadách je obecné nařízení postaveno?
Zásady lze ve stručnosti shrnout na:
-
zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně,
-
omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
-
minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
-
přesnost – osobní údaje musí být přesné,
-
omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
-
integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.
Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce.
Zásady zpracování zároveň můžeme označit za základní stavební kameny každého zpracování. Jde o souhrn zásad, které musí být při zpracování osobních údajů dodržovány.
Co se rozumí právními důvody zpracování osobních údajů?
Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být ze strany správce hovořeno o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by je zlikvidovat.
Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.
Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?
Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
-
subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
-
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
-
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
-
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
-
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
-
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
Co znamená souhlas se zpracováním osobních údajů?
Souhlas (viz definice článek 4 odst. 1 bod 11 obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.
Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.
Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Souhlas se využívá tam, kde správce nemůže zpracování podřadit pod jiný právní důvod (např. správce si nezajišťuje souhlas se zpracováním osobních údajů, pokud osobní údaje zpracovává pro plnění smlouvy se subjektem údajů, nebo pro zpracování v pro účely nezbytné personální agendy apod.).
Evropský sbor pro ochranu osobních údajů k tématu vydal Pokyny.
Musím mít ke každému zpracování osobních údajů souhlas subjektu údajů?
Nemusíte. Zejména tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti, se souhlas se zpracováním osobních údajů neuplatňuje. Souhlas by bylo nutné získat pro zpracování, která nelze podřadit pod tato zpracování:
-
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
-
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
-
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
-
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
-
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
Souhlas subjektu údajů není typicky uplatňován pro zpracování nezbytné pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).
Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?
Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí, ledaže subjekt údajů souhlas vyjádří dodatečně (např. na smlouvě zaškrtnutím k tomu určeného políčka – souhlas bude představovat pouze zaškrtnuté políčko). Zároveň nesmí být uzavření smlouvy (např. na poskytnutí služby) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů.
Je souhlas odvolatelný?
Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např. provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.
Jak je to se souhlasy udělenými před účinností obecného nařízení?
Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami obecného nařízení. Zákon č. 110/2019 Sb., o zpracování osobních údajů, dále uvádí, že souhlas udělený podle zákona č. 101/2000 Sb. se považuje za souhlas podle obecného nařízení, ledaže způsob jeho udělení nebyl v souladu s obecným nařízením. Způsob udělení musí odpovídat zejména podmínkám v článku 7 obecného nařízení.
Lze zpracovávat osobní údaje zveřejněné na internetu?
V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který byl v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), je další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce musí využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení. V úvahu může nejčastěji připadat ustanovení článku 6 odst. 1 písm. f), které musí být v každém konkrétním případě zvlášť posuzováno.
Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování. Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.
______________________________________
5. Zvláštní kategorie osobních údajů (citlivé údaje)
Proč se rozlišují zvláštní kategorie osobních údajů?
Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina údajů, které jsou považovány vůči subjektu údajů za citlivé a jimž je poskytnuta zvýšená ochrana při jejich zpracování.
Zvýšená ochrana se projevuje zejména ve stanovení zákazu jejich zpracování, ledaže je tento zákaz prolomen některým z bodů v článku 9 odst. 2 obecného nařízení. Ochrana zvláštní kategorie osobních údajů spočívá i v ustanovení povinnosti v některých případech jmenovat pověřence a posoudit vliv na ochranu osobních údajů.
Jaké údaje spadají do zvláštní kategorie osobních údajů?
Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
Kdy lze zvláštní kategorie osobních údajů zpracovávat?
Zákaz zpracovávat zvláštní kategorie osobních údajů je prolomen, pokud:
-
subjekt údajů udělil výslovný souhlas,
-
zpracování je nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
-
zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
-
zpracování provádí v rámci svých oprávněných činností nadace, sdružení či jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy nebo na osoby, které s tímto subjektem udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
-
zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
-
zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo při jednání soudů,
-
zpracování je nezbytné z důvodu významného veřejného zájmu,
-
zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovních schopností zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče atd.,
-
zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
-
zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.
Například pro zaměstnavatele pro zpracování zvláštních kategorií osobních údajů (typicky údaj o zdravotním stavu) v případě nezbytnosti představuje oprávnění druhý (zvýrazněný) bod.
Je fotografie nositelem citlivých údajů? Vždyť z ní lze vydedukovat údaj o zdravotním stavu či rase.
Fotografie může být nositelem různých informací. Podstatné je, jak je s těmito informacemi nakládáno a zdali vůbec. Nakládání s fotografií není a priori zpracování citlivých údajů o subjektu údajů. O zpracování zvláštních kategorií osobních údajů by se jednalo až tehdy, pokud by z fotografie byly tyto údaje cíleně zpracovávány ve vztahu ke konkrétní fyzické osobě. Např. by fotografie sloužily jako zdroj získávání informací o nemoci pleti pro lékařský výzkum ve vztahu k identifikovaným či identifikovatelným osobám.
________________________________________
6. Práva subjektu údajů
Proč má subjekt údajů práva?
Obecné nařízení, ostatně tak jako i dříve zákon č. 101/2000 Sb., o ochraně osobních údajů, přiznává subjektům údajů určitá práva. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů. Jsou základním pilířem modelu ochrany osobních údajů v evropském prostoru. Nutno podotknout, že obecné nařízení posiluje systém práv subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost.
Existuje lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?
Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení, a to v době jednoho měsíce od podání žádosti.
Jaká jsou práva subjektu údajů?
Subjekt údajů má v prvé řadě právo na to být informován o zpracování svých osobních údajů při shromažďování osobních údajů (tj. nejčastěji při prvním styku se správcem). Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.
Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveného v § 11 zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mezi další práva subjektu údajů, patří:
-
právo na přístup k osobním údajům,
-
právo na opravu, resp. doplnění,
-
právo na výmaz,
-
právo na omezení zpracování,
-
právo na přenositelnost údajů,
-
právo vznést námitku,
-
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.
Co se rozumí přístupem k osobním údajům?
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě své aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo na přístup k těmto osobním údajům a zároveň má právo získat následující informace
-
účely zpracování,
-
kategorie dotčených osobních údajů,
-
příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
-
plánovaná doba, po kterou budou osobní údaje uloženy,
-
existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
-
právo podat stížnost u dozorového úřadu,
-
veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
-
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.
Účelem práva na přístup k osobním údajům není zajišťovat přístup k nosičům (tj. dokumentům, listinám), ale správce splní povinnost, pokud poskytne „sjetinu“ zpracovávaných osobních údajů, nikoli přímo kopii nosiče. Pro domožení se poskytnutí kopií dokumentů je nutné využít jiná práva, typicky vyplývající z jiných právních předpisů, které upravují přístup fyzické osoby ke spisu, dokumentaci a možnost si činit kopie.
Co když jsou údaje nepřesné?
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu svých osobních údajů, zabývat se jeho žádostí.
Co znamená právo být zapomenut?
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
-
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
-
subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
-
subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
-
osobní údaje byly zpracovány protiprávně,
-
osobní údaje musí být vymazány ke splnění právní povinnosti,
-
osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.
Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost.
Většina vyjmenovaných případů byla součástí zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývala z jeho podstaty.
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů, např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.
Co znamená právo na přenositelnost údajů?
Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.
Společné podmínky k aplikaci práva na přenositelnost:
-
musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
-
zpracování se provádí automatizovaně.
Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.
K právu na přenositelnost údajů byl ze strany Evropského sboru pro ochranu osobních údajů vydán výkladový materiál.
Kdy lze vznést námitku proti zpracování osobních údajů?
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
-
zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
-
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.
Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.
Mohu si jako správce účtovat náklady v souvislosti s výkonem práv subjektu údajů?
Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.
Co když subjekt údajů zneužívá své právo?
Zneužitím nelze a priori rozumět výkon práv subjektu údajů. O zneužití práva subjektem údajů lze hovořit zejména tehdy, pokud se žádosti opakují a jsou zjevně nedůvodné či nepřiměřené. V takovém případě může správce uložit přiměřený poplatek nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost dokládá správce.
________________________________________
7. Správce, zpracovatel
Za co správce odpovídá?
Správce odpovídá za dodržování povinností kladených obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž plnění zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat (např. zpracovává osobní údaje zákazníků z titulu s nimi uzavřené smlouvy a pro uspokojování této smlouvy či v rámci povinné archivace). Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadá, zejména pokud jde o nové povinnosti založené na přístupu na riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů).
Mohou být společní správci?
Ano, nově obecné nařízení výslovně počítá i s možností tzv. společných správců. Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností.
Jak se mě, jako správce, obecné nařízení dotýká?
Každého správce se obecné nařízení dotýká jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nemusí plnit (např. mít pověřence není plošná povinnost), zatímco na jiné správce dopadají více méně všechny stanovené povinnosti (tj. včetně mít pověřence, posoudit vliv některých zpracování). Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy je i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy jsou použitelné i v době účinnosti obecného nařízení).
Pokud správce řádně plnil povinnosti vyplývající ze zákona č. 101/2000 Sb., o ochraně osobních údajů, nemělo by pro něj obecné nařízení představovat výrazný problém, se kterým by si neporadil.
Důležité též je nezapomenout na osvětu zaměstnanců, aby především věděli, co se rozumí osobním údajem a byli si vědomi povinností, které musí dodržovat.
Jak na vztah správce – zpracovatel?
Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 obecného nařízení.
Není nutné, aby se jednalo o samostatnou smlouvu, požadované náležitosti lze zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.
Správce se přizváním zpracovatele a priori nezbavuje odpovědnosti za zpracování osobních údajů.
Může zpracovatel zapojit do zpracování jiného zpracovatele?
Jde o tzv. řetězení zpracovatelů, které není a priori zakázáno, nicméně je nutné, aby správce k tomuto dal písemné svolení zpracovateli. Svolení může být dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení, přičemž u přibrání nového zpracovatele může správce vznést námitku. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.
Musí být měněny „staré“ smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem?
V případě, že smlouvy odpovídají obsahově požadavkům obecného nařízení, resp. nemají s ohledem na kontext a účel zpracování výrazné nedostatky, není nutné je nově uzavírat. V opačném případě je nutné provést jejich nové sjednání, resp. aktualizaci tak, aby odpovídaly požadavkům obecného nařízení.
________________________________________
8. Zabezpečení osobních údajů
Jak musí správce zabezpečit osobní údaje?
Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.
Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.
Co se rozumí porušením zabezpečení osobních údajů?
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
Kdy a co musí správce při bezpečnostním incidentu Úřadu ohlásit?
Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se tedy jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.
Například používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.
V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.
Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.
Evropský sbor pro ochranu osobních údajů vydal k ohlašování porušení zabezpečení osobních údajů pokyny.
Kdy a co musí správce při bezpečnostním incidentu oznámit subjektu údajů?
V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.
Jak se určí riziko porušení zabezpečení?
Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví).
Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku. Porušení zabezpečení se tak musí provést komplexně, nikoli izolovaně a vyšlé riziko následně určí eventuální povinnost oznámit porušení zabezpečení Úřadu nebo i oznámit subjektu údajů.
Musí být vždy osobní údaje u správce v šifrované nebo pseudonymizované podobě?
Šifrování ani pseudonymizace nejsou výslovnou podmínkou zpracování osobních údajů. Jsou bezpečnostním prvkem, který i v některých případech může správci zlepšit jeho postavení v případě úniků těchto údajů, jelikož v takovém případě se na něj nemusí (v závislosti na případu, neznamená to, že pokaždé) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp. jej oznamovat subjektu údajů. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či dostatečně silné šifrování a zdali nedošlo i ke kompromitaci šifrovacího klíče. Pseudonymizaci či šifrování osobních údajů je nutné použít pouze v odůvodněných případech, kdy tyto prostředky mají opodstatnění (viz článek 32 obecného nařízení).
________________________________________
9. Pověřenec pro ochranu osobních údajů
Nejdůležitější informace a nejčastější dotazy k pověřencům pro ochranu osobních údajů (DPO) naleznete na webových stránkách ÚOOÚ v rubrice Pověřenec pro ochranu osobních údajů.
_____________________________________
10. Předávání osobních údajů do jiných zemí
K předávání osobních údajů dále vizte samostatnou rubriku.
Jak lze předávat osobní údaje do zemí Evropské unie?
Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Tuto premisu však nelze považovat za právní důvod k předávání osobních údajů jakémukoli správci či kdykoli. Možnost předávat osobní údaje bez omezení v Evropské unii se týká institucionálního zabezpečení, tedy je vyjádřeno to, že v zemích Evropské unie platí stejný vysoký standard právního rámce ochrany osobních údajů při jejich zpracování a není tak nutné dodatečně zajišťovat jejich institucionální bezpečnost. K samotnému předání jinému správci musí mít správce právní důvod, jelikož i předání je jednou z činností zpracování či lze osobní údaje předat zpracovateli. Právní důvod musí mít správce i tehdy, pokud předává osobní údaje do země mimo Evropskou unii (nebo pokud předává osobní údaje zpracovateli), kdy ještě navíc musí být splněny podmínky pro předání osobních údajů i z hlediska jejich institucionálního zabezpečení. Nesmíme opomenout, že nařízení je účinné navíc i na Islandu, Norsku a Lichtenštejnsku, tudíž i na tyto země je nutné pohlížet v tomto kontextu jako na součást Evropské unie.
Jaké jsou možnosti předávání osobních údajů do zemí mimo Evropskou unii?
Pokud správce chce předat jinému správci osobní údaje do země mimo Evropskou unii, musí být zajištěna jejich institucionální ochrana, tj. nelze (až na výjimky) předávat osobní údaje do zemí, kde není zajištěna dostatečná právní ochrana osobních údajů, resp. správce nepřijal instrumenty, které tuto ochranu při předávání zajistí.
Možnosti předávání:
-
předání založené na rozhodnutí o odpovídající ochraně,
-
předání založené na vhodných zárukách,
-
závazná podniková pravidla,
-
standardní smluvní doložky,
-
výjimky pro specifické situace, kdy nelze aplikovat jeden ze dvou shora uvedených bodů.
Co se rozumí předáním založeném na rozhodnutí o odpovídající ochraně?
Komise může rozhodnout, že konkrétní země zajišťuje odpovídající úroveň ochrany osobních údajů. V takovém případě se nevyžaduje zvláštní povolení a předání osobních údajů nejsou kladeny žádné administrativní překážky.
Co se rozumí předáváním založeném na vhodných zárukách?
Pokud neexistuje rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů v dané zemi, mohou být osobní údaje do třetí země předány, pouze pokud přijímající správce poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů. Mezi tyto vhodné záruky patří zejména závazná podniková pravidla a standardní smluvní doložky.
Co jsou závazná podniková pravidla?
Závazná podniková pravidla je koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazen na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost. Jde tak o pravidla platící uvnitř správců, tvořících skupinu podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.
Co jsou standardní smluvní doložky?
Standardní smluvní doložky jsou instrumentem, na základě kterého lze předávat osobní údaje do třetích zemí (tedy mimo Evropskou unii, resp. státy, o nichž bylo Evropskou komisí rozhodnuto, že poskytují adekvátní ochranu). Jde o standardizovaný text, kterým se příjemce osobních údajů zavazuje dodržovat pravidla odpovídající pravidlům platících v Evropské unii. Jinými slovy díky použití tohoto instrumentu se nesníží ochrana předávaných osobních údajů.
A co specifické situace? Např. když cestovní kancelář předává osobní údaje hotelům do různých zemí světa?
Vyjma shora uvedených případů (instrumentů) předávání osobních údajů lze osobní údaje do třetí země předat, pokud je splněna alespoň jedna z podmínek uvedených v článku 49 odst. 1 obecného nařízení. Např. v případě informovaného výslovného souhlasu subjektu údajů, nebo pokud je takové předání nezbytné pro splnění smlouvy mezi subjektem údajů a správcem osobních údajů.
Více ke specifickým výjimkám v Pokynech Evropského sboru pro ochranu osobních údajů.
________________________________________
11. Sankce, pokuty
Evropský sbor pro ochranu osobních údajů vydal k této oblasti oficiální dokument.
Jaké jsou podmínky pro ukládání pokut?
Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu, a to kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j) obecného nařízení. Podstatné tedy je, že nikoli za každé porušení obecného nařízení musí být udělena pokuta, ale může být správci, jehož operace zpracování porušily obecné nařízení, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s obecným nařízením atd.
Není tak pravdou, že každé porušení obecného nařízení bude představovat uložení správní pokuty.
Jak vysoká může být udělená pokuta?
V souvislosti s obecným nařízením je často skloňována výše pokut, kterou lze za porušení udělit. Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustí. Pokutu lze udělit buď do výše 10 000 000 eur (nebo až do 2 % celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 eur (nebo až do 4 % celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které obecné nařízení zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou zahrnuta například porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.
Jsou při ukládání pokut polehčující či přitěžující okolnosti?
Polehčující a přitěžující okolnosti jsou vyjmenovány v čl. 83 odst. 2 písm. a) až k) obecného nařízení. Brána v úvahu bude zejména povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní porušení, kroky podniknuté správcem, spolupráce s Úřadem atd. Viz úplný výčet okolností, které se při rozhodování o výši pokuty zohledňují.
Lze udělit správní pokutu orgánu veřejné moci či veřejnému subjektu?
Zákon č. 110/2019 Sb., o zpracování osobních údajů, vylučuje z udílení správních pokut orgány veřejné moci a veřejné subjekty. V případě, že s takovým subjektem povede Úřad řízení o přestupku pro porušení povinností stanovených obecným nařízením, je povinen od uložení správní pokuty upustit. Vůči těmto správcům a zpracovatelům uplatňuje Úřad jiné druhý správních trestů, resp. nápravných pravomocí dle článku 58 odst. 2 obecného nařízení.
Jak může postupovat subjekt údajů, pokud mu vznikla v souvislosti se zpracováním jeho osobních údajů škoda?
Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud.
________________________________________
12. Různé
Co je to Evropský sbor pro ochranu osobních údajů?
Evropský sbor pro ochranu osobních údajů je subjekt Evropské unie s právní subjektivitou a je přímo obecným nařízením nadán úkoly a pravomocemi. Jeho stěžejní úlohou je zajišťovat, aby obecné nařízení bylo napříč Evropou uplatňováno jednotně. K tomu plní řadu dílčích úkolů vůči orgánům EU, členským státům i veřejnosti. Nejširší uplatnění mají pokyny a stanoviska k uplatňování některých institutů obecného nařízení. Jeho stanoviska k návrhům rozhodnutí dozorových úřadů v jednotlivých členských státech a závazná rozhodnutí v případech sporů účinně sjednocují život s obecným nařízením pro správce, subjekty údajů i dozorové úřady.
Poskytuje Úřad konzultace k obecnému nařízení?
S ohledem na možnosti jsou konzultace ohledně obecného nařízení zaměřeny zejména na sdružení či asociace zastupující sektorově jednotlivé správce, s nimiž jsou projednávána specifika daného sektoru. Předpokládá se, že tyto subjekty, zastupující své členy, na ně následně přenesou nabytou znalostní bázi a tito členové v pozicích správců či zpracovatelů se nebudou muset samostatně na Úřad obracet. Konzultace Úřad dále poskytuje pověřencům. K poskytování konzultací vizte informace zde.