Nařízení GDPR - základní pojmy

Zde je uveden výklad pojmů týkající se GDPR. Jednotlivé definice a pojmy jsou dané příslušnou legislativní úpravou a jsou veřejně dostupné. Zde je uvedeme jen pro doplnění věcného rámce a proto, abychom se na ně v dalším textu mohli případně odkazovat.

Od 25. května 2018 platí v celé EU nařízení GDPR závazné pro všechny členské státy.

Obecné nařízení na ochranu osobních údajů neboli General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Jedná se o soubor pravidel na ochranu dat, které v ČR/SR nahradí dosud platnou právní úpravu ochrany osobních údajů.

Cílem tohoto nařízení je hájit práva občanů EU proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.

Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob vč. podnikajících fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.

GDPR se tedy dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU, včetně společností a institucí mimo území EU, které působí na evropském trhu. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími, včetně těch, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

Jedná se o ochranu osobních údajů, které se vyskytují jak v písemné, tak v elektronické podobě, např. evidované v SW, na papírových smlouvách, fakturách, nabídkách, v písemných či elektronických adresářích osob a podobně. Dále také zajištění samotných budov a kanceláří, tj. míst, kde jsou taková data uložena a bylo by možné se k takovým datům dostat a v neposlední řadě i o zajištění oprávněného přístupu osob, kteří k datům přistupují.

Všichni, kterých se nařízení týká, musí zrevidovat své informační systémy a postupy nakládání s osobními údaji. Základní principy se tedy nemění, některé povinnosti jsou však nové. Správci osobních údajů jsou povinni:

  • zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
  • zabezpečit osobní data před neoprávněnými osobami
  • zajistit ohlašovací povinnost v případě zjištění úniku dat
  • poskytnout subjektům údajů právo na:
    • přístup - možnost ověřit si zákonnost zpracovávání osobních údajů
    • opravu resp. doplnění - možnost požádat o nápravu v případě pochybnosti o správnosti zpracovávaných údajů
    • výmaz ("právo být zapomenut") - povinnost správce osobních údajů vymazat osobní údaje, pokud subjekt podloží svou žádost některým důvodů, taxativně vyjmenovaných v textu nařízení
    • omezení zpracování - právo subjektu nechat označit uložené osobní údaje za účelem omezení jejich zpracování v budoucnu
    • přenositelnost údajů - právo subjektu získat osobní údaje od správce ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo tyto údaje poskytnout jinému správci
    • vznesení námitky proti zpracování osobních údajů, na základě které musí správce pozastavit zpracování do doby, než prokáže oprávněnost zpracování
    • vyloučení z automatického individuálního rozhodování s právními či obdobnými účinky, včetně profilování
  • vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
  • ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
  • aj.

Ne vše, co GDPR ukládá, je úplně nové. Leccos platilo už i podle předchozí legislativy, i když nebyla v praxi pravděpodobně tak pečlivě dodržována.

V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty.

Opravdu hrozí pokuty a tak vysoké? Ano, v případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (dle nařízení až 20 mil. EUR nebo až 4 % celosvětového ročního obratu). Na druhou stranu to není tak, že by přišla pokuta bez varování nebo ponechání času na nápravu. Pokud bude firma pracující s osobními daty včas připravena a při nalezení nedostatků bude projevovat skutečnou snahu o nápravu, není třeba se obávat.

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Data jsou osobními údaji až tehdy, kdy je možné je spárovat s konkrétní osobou.

Osobní údaje se dělí do dvou kategorií:

Obecné osobní údaje: jméno, pohlaví, věk, datum narození, osobní stav, fotografie, ale i mohou to být technické parametry jako IP adresa, cookies (pokud vedou k identifikovatelnosti osoby). Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé dalšíidentifikační údaje vydané státem.

Citlivé osobní údaje: Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých osobních údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů. Genetickými údaji jsou osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby nebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem, které vypovídají o tělesném nebo dušením zdraví člověka. Biometrickým údajem jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis.

Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu.

Pokud je ve firmě každý zaměstnanec označen unikátní zkratkou, pak i tato zkratka může být osobním údajem. Lze si to představit tak, že když přijdete na recepci a chcete člověka s touto zkratkou, tak zkratka jednoznačně povede k jeho identifikaci. Obdobně mail typu "obchodni.reditel" mže být vyhodnocen jako osobní.

Definice osobního údaje je nad rámec této příručky, nicméně platí, že určení co je a není osobním údajem je mnohdy obtížné, V případě nejasností je nutné konzultovat s odborníkem na GDPR

Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Laicky řečeno: samotné čtení osobních dat např. na vytištěných smlouvách či v adresáři v nějakém SW je již jejich "zpracováním".

Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (DPO, Data Protection Officer). DPO je osoba pověřená správcem nebo zpracovatelem, která dohlíží na soulad zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a řízení interní agendy ochrany dat.

Ustanovení DPO je pro některé subjekty povinné. DPO musí mít firma, která provádí rozsáhlé systematické zpracovávání osobních nebo citlivých údajů. Dalším případem je firma, kde je správcem osobních údajů veřejný orgán.

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.

Fyzická osoba, k níž se osobní údaje vztahují. Typicky se jedná o občany EU. Patří sem i podnikající fyzické osoby. Nařízení se ale nevztahuje na osoby zesnulé.

Z výše uvedeného plyne, že subjektem údajů naopak není právnická osoba.

Za účel zpracování se považuje důvod a rozsah, pro který chcete osobní údaje zpracovávat. Jinými slovy kvůli čemu či za jakým cílem chcete nebo musíte evidovat osobní údaje a pracovat s nimi. S účelem zpracování se vždy pojí právní titul.

Je oprávnění správce ke zpracování osobních údajů. Mezi právní tituly (důvody) patří:

  • Souhlas se zpracováním.
  • Oprávněný zájem.
  • Plnění smlouvy.
  • Splnění právní povinnosti.
  • Ochrana životně důležitých zájmů.
  • Veřejný zájem.

Je každý subjekt (bez ohledu na právní formu), který zpracovává osobní údaje pro správce, tj. má k nim přístup. Tedy každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje na základě pověření správce. Od správce se liší tím, že provádí pouze takové operace, kterými jej správce pověřil, nebo vyplývají z činnosti, pro kterou byl správcem pověřen.

Běžně tyto úkony definuje zpracovatelská smlouva.

Osoba má možnost ověřit si zákonnost zpracování jejích údajů. Každý občan má právo vědět a být informován o:

  • Účelech zpracování.
  • Kategorii osobních údajů.
  • Příjemcích, kterým osobní údaje budou zpřístupněny.
  • Plánované době uložení osobních údajů.
  • Svých právech (na opravu, výmaz…).
  • Zdroji osobních údajů, pokud je subjekt údajů sám neposkytl.
  • Skutečnosti, zda dochází k automatickému zpracovávání.

Existuje výjimka, kdy je možné toto právo omezit, je v případě zájmu národní a veřejné bezpečnosti, obrany a soudních řízení.

Subjekt údajů má právo požádat v případě podezření na nesprávnost se správou jeho osobních údajů správce o opravu. Správce by měl zajistit podmínky pro to, aby žádosti o opravu bylo možné podávat on-line.

Správce je povinen bez zbytečného odkladu vymazat osobní údaje, pokud nastal jeden z těchto důvodů:

  • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
  • Občan odvolá souhlas, pokud je zpracování založeno na souhlasu, a neexistuje žádný další právní důvod pro zpracování.
  • Osobní údaje byly zpracovány protiprávně. Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.

Je rozšířeným právem na výmaz. A spočívá v odstranění všech odkazů na osobní údaje a jejich případné kopie.

V praxi ale toto právo půjde těžko uplatnit, jednak jsou uvedeny výjimky (např. státní instituce) a zároveň by nesměl existovat žádný právní důvod pro zpracování.

Pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, potom je možné odvolat se na právo vznést námitku a donutit tak společnost k omezenému zpracování těch údajů, které jsou předmětem námitky.

Při vznesení námitky již tyto údaje pro daný účel nesmějí být zpracovávány (např. přímý marketing).

Omezení zpracování se týká konkrétního účelu, a pokud vás subjekt údajů požádá o omezení zpracování, mělo by dojít k dočasnému odstranění nebo skrytí vybraných osobních údajů uživatelům.

Podle GDPR má každý právo podat stížnost u dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno nařízení GDPR.

Nově má subjekt údajů právo požádat vás o všechny informace, které vám subjekt údajů poskytl ve strukturovaném, běžně používaném, strojově čitelném formátu.

Např. Excel, XML, JSON.

Další podnětné informace a tipy viz www.abra.eu, sekce GDPR.