Ochrana osobních údajů

16.05.2018 15:26

GDPR (General Data Protection Regulation)

 

1. Obecné nařízení
 

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

- aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů. V ČR obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, který v současné době stanovuje povinnosti a práva při zpracování osobních údajů.

- univerzální použitelnost nařízení ve všech státech EU (a Islandu, Norsku a Lichtenštejnsku)

- současný právní rámec - směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

- kontinuita nařízení se Směrnicí 95/46/ES, která jím bude zrušena

- v ČR zákon č. 101/2000 Sb., o ochraně osobních údajů, který vychází ze směrnice

- přímá použitelnost obecného nařízení

- právní rámec v ČR bude dotvářet adaptační zákon (dosud nebyl přijat), který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k obecnému nařízení, kompletní právní rámec ochrany osobních údajů tak bude tvořen obecným nařízením a adaptačním zákonem

-účinnost obecného nařízení nastane 25. května 2018

-práva a povinnosti v současném zákoně č, 101/2000 Sb.,o ochraně osobních údajů, budou nahrazeny právy a povinnostmi přímo vyplývajícími z obecného nařízení, zákon o ochraně osobních údajů bude účinností adaptačního zákona zrušen.

 

Vztahuje se na:

správce osobních údajů - provádí zpracování osobních údajů

zpracovatel – zpracovává pro správce osobní údaje

subjekt údajů – fyzická osoba – má práva vyplývající z obecného nařízení

dozorový úřad - Úřad pro ochranu osobních údajů

 

2. Nové přístupy a povinnosti dle obecného nařízení

Přístup založený na riziku - správce již od počátku koncipování zpracování osobních údajů musí vzít v úvahu povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů (tento přístup platí v současné době za účinnosti zákona č. 101/2000 Sb., o ochraně osobních údajů).

Obecné nařízení - navíc nové dodatečné povinnosti pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby.

Nové povinnosti:

• záznamy o činnostech zpracování, 
• jmenování pověřence pro ochranu osobních údajů,
• posouzení vlivu na ochranu osobních údajů, 
• předchozí konzultace s dozorovým úřadem.

Tyto zmíněné povinnosti má určený okruh správců či zpracovatelů.

 

Novou povinností je i povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.

Tato povinnost se může týkat každého správce či zpracovatele.

 

Soulad zpracování:

Záznamy o činnostech zpracování  -čl. 30 obecného nařízení - obsahují obecné informace o prováděném zpracování

Pověřenec pro ochranu osobních údajů – kompetence k zajištění zpracování osobních údajů u některých správců v souladu s obecným nařízením.

Kodexy (zejména na sektorové úrovni) - vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví), vypracování kodexu není povinné, jde o fakultativní možnost.

Osvědčení  - prokázání souladu zpracování s obecným nařízením, není stanoveno jako povinnost, jde o fakultativní možnost, kterou správce či zpracovatel může deklarovat soulad zpracování osobních údajů s obecným nařízením, osvědčení budou moci vydávat  akreditované subjekty.

Dokládání souladu zpracování - komplexní činnost, zahrnující dílčí činnosti - kodexy, osvědčení a záznamy o činnostech zpracování, dále například zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovení vnitřních předpisů a řádnou spolupráci s dozorovým úřadem.

 

Záznamy o činnostech:

Záznamy o činnostech zpracování (v podst. náhrada za oznamovací povinnost, která byla obecným nařízením zrušena.

Správce a zpracovatel, jsou povinni vést záznamy s určitými informacemi, tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením, jde o obecné záznamy zpracování, které správce nebo zpracovatel provádějí, není stanovena jejich forma (nezbytné minimum záznamů – čl. 30 odst. 1 obecného nařízení).

 

3. Definice pojmů

Definice pojmů – čl. 4 odst. 1 obecného nařízení.

 

Zpracování osobních údajů- operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Zpracování - v podst. jakékoli nakládání s osobním údajem, nakládání za určitým účelem, systematicky.

 

Automatizace -pojem automatizace -  u vymezení působnosti obecného nařízení – vztahuje se na zpracování osobních údajů, které je prováděno zcela či částečně automatizovaně a dále na zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

(Definice evidence v čl. 4 odst. 6 obecného nařízení). 

Automatizace (pojem není definován) - jde o zpracování pomocí informačních systémů, tj. prostřednictvím softwaru, který je z logiky věci automatizovaný, lze tedy zjednodušit - automatizovaně znamená prostřednictvím výpočetní techniky.

 

Osobní údaj - každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů),identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

 

Subjekt údajů  - fyzická osoba, jíž se osobní údaje týkají (osobním údajem je i např. e-mailová adresa, typicky ve tvaru jmeno.prijmeni@firmaabcxyz.cz). Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě.

 

Správce - subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.

V případě právnické osoby je správcem daná právnická osoba, nikoli její zaměstnanec, společník nebo jednatel.

Pojem správce nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů změněn.

 

Zpracovatel - subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace /např. externí mzdová účetní firma nebo poskytovatel cloudu (úložiště apod.)/

Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů změněn.

 

Profilování - forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

 

4. Zásady a právní důvody zpracování

Zásady obecného nařízení:

  • zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně,
  • omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
  • minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
  • přesnost - osobní údaje musí být přesné,
  • omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Jednotlivé zásady - v čl. 5 odst. 1 obecného nařízení, v čl. 5 odst. 2  stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit, jde o vyjádření tzv. principu odpovědnosti správce, k prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též kodexy a osvědčení.

 

Právní důvody zpracování osobních údajů - oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby se mohlo jednat o legální zpracování, pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů,  osobní údaje by zpracovával nezákonně.

Osobní údaje může správce zpracovávat pro různé účely, pro každý účel potřebuje právní důvod zpracování.

Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Osobní údaje (nebo jejich určitý souhrn) může zpracovávat pro různé účely. kdy Pokud správce pozbude poslední právní důvod ke zpracování osobních údajů, je povinen je zlikvidovat.

 

Právní důvody zpracování osobních údajů:

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

 

Souhlas se zpracováním osobních údajů:

Souhlas -  svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů, jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen (čl. 4 odst. 1 bod 11)

 Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.

Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. 

V případě zpracování nezbytného pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje.

V případě zpracování pro účely, které nelze podřadit pod vymezené účely, je nutné zpracování provádět na základě souhlasu subjektu údajů.

Souhlas subjektu údajů není vyžadován pro účely zpracování nezbytné např. pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (pro plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).

Subjekt údajů má právo svůj souhlas kdykoli odvolat, důsledkem je provedení likvidace osobních údajů. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

 

Zpracovávání osobních údajů zveřejněných na internetu:

V zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí).

Zveřejněné osobní údaje nelze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním.

Další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění.

Obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje (v zák. 101/2000 Sb. v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení.

Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje,  nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování. Veřejnost údajů  a priori neznamená možnost jejich dalšího zpracovávání.

 
 

5. Zvláštní kategorie osobních údajů (citlivé údaje)

Zvláštní kategorie osobních údajů - osobní údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, také genetické a biometrické údaje.

Výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů, údaj o odsouzení za trestný čin, již nebude považován za zvláštní kategorii osobních údajů.

 

6. Práva subjektu údajů

Obecné nařízení posiluje systém práv subjektů, aktualizace stávajících práv, nová práva - např. právo na přenositelnost.

 

Žádost subjektu údajů - informace o přijatých opatřeních musí být poskytnuta bez zbytečného odkladu, do jednoho měsíce od obdržení žádosti, lhůtu lze ve výjimečných případech prodloužit o dva měsíce, subjekt údajů musí být ze strany správce informován o prodloužení a  důvodech prodloužení.

 

Subjekt údajů má právo být informován o zpracování svých osobních údajů, jde o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů.

Výčet informací, které správce poskytuje  - v čl. 13 a 14 obecného nařízení.

Právo na informování - ekvivalentem práva na informace o zpracování v § 11 zákona č. 101/2000 Sb.

 

Další práva subjektu údajů: 
• právo na přístup k osobním údajům, 
• právo na opravu, resp. doplnění, 
• právo na výmaz (být zapomenut)
• právo na omezení zpracování, 
• právo na přenositelnost údajů, 
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, vč. profilování.

 

7. Správce, zpracovatel

Správce - odpovídá za dodržování povinností stanovených obecným nařízením, musí být schopen doložit dodržování zásad zpracování.

 Základní nezbytný předpoklad - existence řádného právního důvodu zpracování osobních údajů, současně je nutné osobní údaje dostatečně zabezpečit.

Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, např.  zabezpečení, provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení.

Zpracovatel - správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat, mezi správcem a zpracovatelem musí být uzavřena písemná smlouva (předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a zpracovatele)

Tzv. řetězení zpracovatelů není a priori zakázáno, je nutné, aby správce k tomuto dal písemné svolení zpracovateli.

 

8. Zabezpečení osobních údajů

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření

Jedním z prvků zabezpečení osobních údajů - např. jejich pseudonymizace nebo šifrování. Tyto prvky nejsou povinné, jejich dobrovolné nasazení může pro správce znamenat zproštění  povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.

 

Porušení zabezpečení osobních údajů - porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Pokud dojde k porušení zabezpečení osobních údajů, musí správce zhodnotit, zda je to nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů, povinnost nastane tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.

 

Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytečného odkladu do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), oznamují se jen rizikové incidenty pro práva a svobody fyzických osob.

Např.používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tedy i zbavit správce nutnosti případ ohlásit dozorovému úřadu.

 

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví.

 

Šifrování ani pseudonymizace nejsou výslovnou podmínkou zpracování osobních údajů. Jsou bezpečnostním prvkem, který i v některých případech může správci zlepšit jeho postavení v případě úniků těchto údajů, nemusí se (v závislosti na případu) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp.  subjektu údajů. Vždy je  nutné míru rizika posoudit.

Lze doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat (zpracovávat) údaje v šifrované či pseudonymizované podobě.

 

 

9. Pověřenec pro ochranu osobních údajů

Pověřence musí jmenovat správce a zpracovatel pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí,
  • hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

 

Pověřenec - poskytování informací a poradenství správci či zpracovateli,  monitoruje soulad zpracování s obecným nařízením a dalšími předpisy, poskytuje poradenství ohledně  posouzení vlivu na ochranu osobních údajů, spolupráce s Úřadem pro ochranu osobních údajů.

 


10. Předávání osobních údajů do jiných zemí

Předávání osobních údajů do zemí EU - volný pohyb osobních údajů v EU není omezen ani zakázán. Možnost předávat osobní údaje bez omezení v EU se týká institucionálního zabezpečení, tj. znamená, že v zemích EU platí stejný vysoký standard právního rámce ochrany osobních údajů při jejich zpracování a není nutné dodatečně zajišťovat jejich institucionální bezpečnost.

K samotnému předání jinému správci musí mít správce právní důvod, neboť i předání je jednou z činností zpracování či lze osobní údaje předat zpracovateli.

 

Předávání osobních údajů mimo EU-  musí být zajištěna jejich institucionální ochrana, tj. nelze předávat osobní údaje do zemí, kde není zajištěna dostatečná právní ochrana osobních údajů.

Možnosti předávání:

  • předání založené na rozhodnutí o odpovídající ochraně,
  • předání založené na vhodných zárukách,
    závazná podniková pravidla,
    standardní smluvní doložky
  • výjimky pro specifické situace, kdy nelze aplikovat jeden ze dvou shora uvedených bodů.

 

11. Sankce, pokuty

Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. 

Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik).

Rozdělení do dvou skupin odráží důležitost porušených povinností,  ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které obecné nařízení zajišťuje.

Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů.

Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

 

 

 

 

 

 

Kontakt

JUDr. Tamara Kolísková


+ 420 605 718 812
info(at)advokattk.cz