O GDPR

Co je GDPR

GDPR (General Data Protection Regulation, Obecné nařízení o ochraně osobních údajů) bylo schváleno 27.4.2016, vstoupí v účinnost 25.5.2018 a nahrazuje v ČR dosud platný zákon 101/2000 Sb. o ochraně osobních údajů. Zavádí nová práva a povinnosti, která se dotknou téměř všech firem a úřadů nejen v EU, ale po celém světě.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU, včetně společností a institucí mimo území EU, které působí na evropském trhu, ať už se jedná o bankovní instituce, zdravotnictví, veřejnou správu, e-shopy, ale i výrobní podniky. V případě závažného porušení hrozí subjektům přísnější postihy, než tomu bylo doposud.

Nařízení se dotkne nejen firem, ale všech institucí a jednotlivců, kteří nakládají s osobními údaji – zaměstnanci, zákazníci, klienti či dodavatelé, a to ve všech odvětvích. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je vyšší ochrana digitální práv občanů EU a narovnání podmínek pro nakládání s osobními údaje ve všech zemích EU.

Historie GDPR

25.05.2018

 

GDPR vstoupí v účinnost dnem 25.5.2018 v plném znění, včetně hrozby sankcí.

2016-2018

 

Běží období pro přípravu a implementaci GDPR do praxe u všech institucí a firem, které zpracovávají osobní údaje.

2016

 

GDPR bylo přijato nařízením Evropské unie pod číslem: EU 2016/679.

2015

 

Na půdě Evropského parlamentu, Evropské rady a Evropské komise byl projednán návrh na reformu zákona o ochraně osobních údajů.

2012

 

Evropská komise připravila návrh reformy zákona o ochraně osobních údajů.

Nová práva dle GDPR

GDPR dává občanům evropské unie šest nových práv. Jedná se o právo na přístup, opravu, výmaz, právo být zapomenut, právo na omezení zpracování, právo na přenositelnost údajů a právo vznést námitku.

Právo na přístup

Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů,

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Právo na výmaz (právo být zapomenut)

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají,že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné: a) pro výkon práva na svobodu projevu a informace; b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen; c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3; d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování; e) pro určení, výkon nebo obhajobu právních nároků.

Právo na omezení zpracování

1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

Právo na přenositelnost údajů

1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.

Právo vznést námitku

1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

4. Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

5. V souvislosti s využíváním služeb informační společnosti, a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.

6. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Povinnosti pro firmy

V pojetí obecného nařízení znamená GDPR aplikaci nových povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, které se plošně nevztahují na všechny správce či zpracovatele patří:

  • vést záznamy o činnostech zpracování,
  • jmenování pověřence pro ochranu osobních údajů,
  • posouzení vlivu na ochranu osobních údajů,
  • předchozí konzultace s dozorovým úřadem.

Tyto zmíněné povinnosti mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů.

Novou povinností je i

  • povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.

Tato povinnost se z povahy věci může týkat každého správce či zpracovatele (ten oznamuje správci), a to tehdy, pokud je porušení zabezpečení už závažnějšího charakteru, tj. musí z něj vyplývat riziko pro práva a svobody fyzických osob. Pro uplatnění povinnosti oznámit porušení zabezpečení subjektu údajů musí být takové porušení vysoce rizikové pro práva a svobody fyzických osob.

Jak bude správce dokládat soulad zpracování?

Ke splnění stanovené odpovědnosti správce za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat, mají správcům, jak výslovně zmiňuje obecné nařízení, napomáhat mimo jiné záznamy o činnostech zpracování, pověřenec pro ochranu osobních údajů a další.

O GDPR stručně

1. Důvod

Abychom mohli o nějaké kategorii lidí, například našich zákazníků nebo zaměstnanců, získávat a používat jejich údaje, musíme k tomu mít nějaký (právní) důvod. Velmi často jím bývají smlouvy, které s nimi uzavíráme. Pracovní smlouvy se zaměstnanci, kupní smlouvy nebo jiné se zákazníky.

Takovým důvodem je samozřejmě také zákon, který to ukládá, např. při vedení evidencí občanů státními orgány, ale i při vedení účetní a mzdové evidence v soukromé firmě. V některých případech může být důvodem ochrana našich práv, např. hlídá-li kamera náš cenný majetek před zlodějem nebo vandalem. Jindy to může být veřejný zájem na informacích o určitých osobách, zejména veřejně známých nebo veřejně činných.

Takové informace a jejich používání ale nemohou nepřiměřeně zasahovat do jejich soukromého života. Nenajdeme-li žádný z těchto důvodů, a přece bychom chtěli údaje o lidech získávat, např. o tom, jakému našemu zboží budou dávat přednost, je třeba je požádat, zda s vedením takových údajů budou souhlasit. Musíme ale mít na paměti, že souhlas je dobrovolný, nemůže jím být podmiňováno uzavření smlouvy, a když ho zákazník odvolá, má právo, aby byly takové údaje vymazány.

Když už si zákazník od nás něco koupil nebo objednal, nemusíme získávat jeho souhlas k zaslání další nabídky našeho zboží nebo služeb, nejčastěji zasílané na jeho e-mail. Jakmile však odpoví, že o takové obchodní sdělení nestojí, je nutné zasílání nabídek na jeho adresu ukončit. Není-li dán jiný důvod ke zveřejňování v databázi uchovávaných osobních údajů, např. kontaktních údajů zaměstnance do zaměstnání pro kontakt se zákazníky, je ke zveřejňování osobních údajů také třeba získat souhlas. Zvláštní důvody je třeba mít k tomu, abychom mohli získávat a používat kategorie údajů, které by mohly být zneužívány k diskriminaci lidí, např. údaje o zdravotním stavu.

2. Zásady

Vždy bychom si měli nejprve uvědomit, proč údaje o nějakých lidech potřebujeme nebo chceme získávat. Z toho je pak třeba vyjít při požadavku na poskytnutí údajů, abychom zbytečně o těch lidech nezaznamenávali informace, které vlastně vůbec nepotřebujeme. Rozsah údajů by tak měl být jen minimální, abychom dosáhli toho, co jsme si stanovili. Měli bychom dbát na to, aby získávané údaje byly přesné a jejich přesnost ověřovat. Možnost ověřit přesnost údajů z občanského průkazu dotyčné osoby není vyloučena, kopírování občanského průkazu i pasu je však až na zákonem stanovené výjimky nepřípustné.

Zaznamenané údaje nemohou být využívány v rozporu s původním cílem. Například na záznamu kamery je uložena spousta obrazových informací o všech osobách, které do sledovaného prostoru vstoupily. Jsou po přiměřenou dobu uchovávány, aby případně bylo možné policii doložit informace o pachateli trestného činu. Nemohou být ale využívány k nedůvodnému sledování sousedů, třeba jen proto, že si někdo neočistil boty, nebo k nepřiměřenému kontrolování zaměstnanců na pracovišti.

Další zásadou je mít údaje jen tak dlouho, jak je potřeba. Ta doba se může v různých případech hodně odlišovat. Od několika dnů záznamu kamery, kdy je zřejmé, že se v té době nic mimořádného nestalo, až po desítky let u zákonem stanoveného uchovávání některých dokumentů, třeba mzdových listů. Ne vždy končí doba nutná k uchovávání všech údajů ukončením nějaké činnosti, např. ukončením pracovního poměru nebo naplněním smluvního ujednání. V úvahu je třeba brát jak lhůty stanovené zákonem pro uchovávání některých dokumentů, tak případné promlčecí lhůty pro možnost podání soudní žaloby a v případě listinných dokumentů i lhůty skartační.

3. Informace

Nejvíce nedorozumění a stížností vzniká z toho, že lidé nedostanou dostatečnou informaci o tom, proč své osobní údaje poskytují a co se s těmito údaji bude dále dít, komu budou případně předány. Již při získávání údajů je proto třeba dotyčnému člověku takové informace poskytnout, nejlépe v písemné podobě, ať již v místě, kde k získání údajů dochází nebo i prostřednictvím webových stránek.

Vyhovět je třeba i dalším právům, která mohou lidé uplatnit, jestliže jejich osobní údaje uchováváte a používáte. Právo na poskytnutí informací o svých údajích mají nejen ve chvíli jejich poskytnutí, ale mohou se dotázat i kdykoliv později. Pokud se to nedotkne práv jiných osob, má každý právo i na poskytnutí kopie svých údajů. Za další kopii už ale můžete požadovat přiměřený poplatek. K dalším právům patří i právo na opravu nepřesných údajů, právo vznést námitku, např. proti dalšímu zasílání marketingových nabídek, a také právo na výmaz údajů, ale pouze pokud není jiný důvod pro jejich další uchovávání.

4. Zabezpečení

Pokud máte údaje lidí jen na listinných dokumentech a ne v počítači, vztahuje se na ně ochrana jen v případě, že jsou vedeny formou evidence fyzických osob.

Je třeba, aby listinné dokumenty, pokud se s nimi nepracuje, byly uchovávány v uzamčené zásuvce stolu nebo v uzamčené skříni a nebyly ponechávány v neuzamčené místnosti, pokud z ní odchází ten, kdo s nimi má pracovat. K údajům uloženým v počítači nebo jiném elektronickém zařízení může mít na základě správně zvoleného hesla přístup vždy jen ten, kdo je pověřen, aby s určitými údaji pracoval. U větších a složitějších systémů je také třeba pořizovat elektronické záznamy, které umožňují určit a ověřit, kdy, kdo a z jakého důvodu údaje používá, tzv. logy.

Pravidla bezpečnosti je třeba zachovávat i u elektronických prostředků používaných při různých cestách, např. je neponechávat bez dozoru v automobilu. Osobní údaje musejí být odpovídajícím způsobem zabezpečeny i při jejich přenosu elektronickými prostředky. Je nutné si uvědomit, že běžná emailová komunikace není příliš bezpečná. Někdy je dokonce přirovnávána k ekvivalentu korespondenčního lístku. V některých případech je tak vhodné zvolit bezpečnější formu přenosu informací, např. jejich šifrováním. Šifrovaný soubor lze zaslat i méně zabezpečenými formami komunikace. Vždy je nutné zvážit vhodnost zasílání nikterak nezabezpečených dokumentů obsahujících větší penzům osobních údajů (či citlivých) prostřednictvím freemailových služeb. Neznamená to však, že by nebylo možné nikdy použít freemailovou službu, např. pokud jde jenom o jednoduchou domluvu se zákazníkem či zaslání nikterak rizikových informací.

Pokud osobní údaje, např. svých zákazníků nebo zaměstnanců, předáte někomu jinému, aby s těmito údaji pracoval pro vás a místo vás, musíte s ním uzavřít smlouvu, ve které se zaváže, že bude údaje chránit stejně jako vy. Bez takové smlouvy byste pro předání údajů jiným osobám mimo firmu nebo organizaci museli získat souhlas dotčeného člověka, pokud nejde o požadavek policie nebo jiného státního orgánu, který má právo si údaje potřebné pro svoji činnost vyžádat a je povinnost mu je poskytnout.

5. Co nového k tomu od 25. května 2018 přidává obecné nařízení o ochraně osobních údajů (GDPR)?

Pro menší firmu, která vede jen evidenci smluv se svými zákazníky a evidenci zaměstnanců, toho není zas až tak mnoho.

Záznamy o činnostech Bude třeba vést záznamy o činnostech, které se s osobními údaji provádějí. Lze doporučit připravit si na to formulář s kolonkami a do nich zapsat informace požadované v článku 30 GDPR (záznam o evidenci smluv, o evidenci zaměstnanců, případně o slevovém programu pro zákazníky aj.).

Ohlašování případů porušení zabezpečení Druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů podle článku 33 GDPR (do 72 hodin od zjištění takového incidentu). Hlásit je třeba závažné incidenty s předpokládanými závažnými důsledky, ne když se z papírově vedené evidence omylem založí jeden papír do jiného šuplíku, kde se za hodinu najde. Pokud dojde k úniku dat, např. v bance, kde máte uloženy peníze, a hrozilo by, že o ně můžete v důsledku toho přijít, bude mít banka povinnost oznámit to i vám, v krajním případě i veřejným oznámením takového závažného incidentu.

Kodexy a osvědčení Pokud v některých odvětvích, např. při podnikání, dochází ke stejným nebo velmi podobným činnostem s osobními údaji, může pro to být, např. profesním sdružením, vypracován kodex chování. Přihlášení se k takovému kodexu dokládá snahu být v souladu s obecným nařízením, není však povinné, stejně jako osvědčení o ochraně osobních údajů, o které bude možné požádat, ale povinné rovněž nebude.

Pověřenec pro ochranu osobních údajů Úřady a jiné orgány, které rozhodují o právech občanů, a patří k nim i školy, budou muset jmenovat pověřence pro ochranu osobních údajů, osobu, která se bude této problematice věnovat a upozorňovat na případné nedostatky. Předpokládá se, že bude problematice ochrany osobních údajů v příslušném odvětví rozumět. Pověřencem může být jak vlastní zaměstnanec, tak externista. Poměrně široce tak lze využít možnosti, že jeden pověřenec bude moci takovou činnost vykonávat pro více úřadů, škol, ale i nemocnic, protože ty také budou mít povinnost pověřence jmenovat z hlediska velkého množství údajů o zdravotním stavu pacientů v informačním systému nemocnice. Pověřencem ale nemůže být šéf organizace nebo oddělení informatiky, protože by byl ve střetu zájmů.

Posouzení vlivu a konzultace s Úřadem Stejně jako jmenování pověřence není ani posouzení vlivu na ochranu osobních údajů a předchozí konzultace s Úřadem pro ochranu osobních údajů povinností obecně platnou, týká se těch, kdo hodlají provádět s osobními údaji rozsáhlé rizikové operace, spočívající například v rozsáhlém profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě, nebo rizikovost spočívá ve využití nových technologií používaných, např. na velké množství údajů o zdravotním stavu pacientů. Seznam těchto operací bude Úřadem pro ochranu osobních údajů zveřejněn.

Sankce Flagrantního porušení obecným nařízením stanovených povinností při takových rizikových operacích prováděných ve velkém objemu dat, zpravidla velkými nadnárodními společnosti, se mohou týkat maximální, obecným nařízením stanovené sankce, dosahující značných částek. Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími. Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační.

Zdroj: ÚOOÚ