On-line 3měsíční
intenzivní studium
Účetnictví 2021
Garant: Ing. Pavla Strakošová, MF ČR

Input:

GDPR - Co je dobré vědět - 2. část - dokončení

27.2.2018, , Zdroj: Verlag DashöferDoba čtení: 17 minut

2018.5.2
GDPR - Co je dobré vědět - 2. část - dokončení

JUDr. Dušan Srp, Ph.D.

První část článku naleznete pod tímto odkazem.

VI. Základní "staronové" pojmy v Obecném nařízení

Obecné nařízení používá pojmy a definice, které jsou známy již v dnešní právní úpravě. Uvádím tyto základní pojmy:

"Osobním údajem" je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, de facto změněn.

"Zpracováním" je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Pojem zpracování má stejný význam, jako měl v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

"Subjektem údajů" je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož Obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách. Definice má totožný obsah jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

"Správcem" je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti nebo ze smluv), ale může je zpracovávat i pro vlastní určené účely, např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob. Pojem správce nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, změněn.

"Zpracovatelem" je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Pojem zpracovatel nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, změněn.

"Zvláštní kategorie osobních údajů" jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Výčet zvláštní kategorie osobních údajů je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který má zvláštní režim.

VII. Některé "nové" pojmy v Obecném nařízení

Obecné nařízení zavádí pojmy a definice, které jsou nové oproti dosavadní právní úpravě. Je dobré proto vědět o těchto nových pojmech:


"Profilováním" je jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

Profilování je sice nová definice, avšak k profilování dochází i v současné době. Profilování je běžné např. u bank, které profilují klienta žádajícího o hypotéku a hodnotí si jeho schopnost splácet.

Profilování se skládá ze tří prvků:

  1. musí jít o automatizovanou formu zpracování;
  2. musí být prováděno s osobními údaji; a
  3. předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.

"Posouzením vlivu na ochranu osobních údajů" se rozumí provedení posouzení vlivu na ochranu osobních údajů správcem před provedením zpracování. Správce jej musí provést tehdy, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován. Pokud by z posouzení vlivu vyplývala vysoká rizika při zpracování v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, správce provádí před zpracováním konzultace tzv. "předchozí konzultace" s dozorovým úřadem. Posouzení vlivu na ochranu osobních údajů je nutné zejména v těchto případech:

  1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  2. rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo
  3. rozsáhlé systematické monitorování veřejně přístupných prostorů.

"Pověřencem pro ochranu osobních údajů" (anglicky Data Protection Officer či DPO) je osoba, kterou musí správce či zpracovatel jmenovat v těchto případech:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí;
  2. hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
  3. hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

Skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý podnik snadno dosažitelný.

Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat Obecné nařízení. Obecné nařízení nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Může to být pracovník správce či zpracovatele nebo pracuje na základě smlouvy o poskytování služeb. Úkolem pověřence je zejména poskytování informací a poradenství správci či zpracovateli, jakož i jejich zaměstnancům, kteří se na zpracování podílejí, sledování souladu zpracování s Obecným nařízením poradenství a spolupráce s dozorovým úřadem

"Kodexem chování" je kodex, který budou moci vydávat sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů. Návrh kodexu bude předložen dozorovému řadu, tj. v České republice Úřadu pro ochranu osobních údajů, který vydá stanovisko, zda je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a pokud zjistí, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru, např. bankovnictví či zdravotnictvím.

"Osvědčením" je osvědčení o ochraně osobních údajů pro účely prokázání souladu s Obecným nařízením v případě operací zpracování prováděných správci a zpracovateli. Osvědčení bude moci vydávat pouze k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení ze strany akreditovaných subjektů.


"Záznamy o činnostech zpracování" jsou záznamy s určitými informacemi o činnostech zpracování, které jsou povinni vést správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování. Tyto záznamy následně umožní správci prokázat soulad zpracování s Obecným nařízením. Záznamy musí být písemné, čímž se rozumí i elektronická forma. Obecně platí, že záznamy nemusí vést podnik zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

 

VIII. Zásady zpracování osobních údajů a proč jsou tak významné?

Obecné nařízení určuje zásady zpracování. Dodržování těchto zásad je pro správce velmi důležité, protože zásady tvoří povinnosti správce a správce je odpovědný za jejich dodržování. Správce má dále povinnost být schopen dodržení zásad doložit. Prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování, kodexy a osvědčení.

Obecné nařízení určuje tyto zásady:

  1. zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně;
  2. účelové omezení – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely;
  3. minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány;
  4. přesnost – osobní údaje musí být přesné;
  5. omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány;
  6. integrita a důvěrnost – technické a organizační zabezpečení osobních údajů.

IX. Co jsou zákonné podmínky zpracování a čím jsou významné?


Zákonné podmínky zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Správce může osobní údaje zpracovávat pro různé účely, přičemž pro každý účel potřebuje zákonnou podmínku zpracování osobních údajů. Není vyloučeno, že "jedny" osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Obecné nařízení stanoví, že zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

  1. subjekt údajů udělil souhlas pro jeden či více konkrétních účelů;
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

X. Co je dobré vědět k souhlasu jako zákonné podmínce pro zpracování?

Souhlas je jedním z právních důvodů pro zpracování osobních údajů. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Tedy dojde-li k odvolání souhlasu, neznamená to automaticky povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, avšak