Základní pojmy

 

GDPR (General Data Protection Regulation) neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů, potažmo jejich přenosem a sdílením je nová legislativa, přinášející zásadní posílení ochrany osobních údajů a řadu nových povinností nebo změny stávajících povinností pro všechny správce a zpracovatele. GDPR se dotkne v různé míře všech podnikajících subjektů.

 

GDPR bylo přijato 27. 4. 2016 a bude účinné od 25. 5. 2018.

Nejedná se o právo absolutní, ale musí být v rovnováze s dalšími právy

GDPR nahrazuje dosud platný zákon č. 101/2000 Sb.

GDPR platí v celé EU

Kontrolní orgán v ČR – ÚOOÚ  Úřad pro ochranu osobních údajů

 

Koho se GDPR týká?

GDPR se týká všech firem, institucí a organizací, které zpracovávají a uchovávají jakákoli osobní data.

Nařízení nedopadá na:

  • fyzické osoby, které zpracovávají osobní údaje pouze pro osobní či domácí činnost
  • orgány zpracovávající osobní údaje za účelem prevence, vyšetřování a stíhání trestných činů nebo výkonu trestu

 

Co GDPR přinese?

  • Rovnocennou vymahatelnost práva v celé EU a stejné sankce (až 20 mil. euro).
  • Rozšíření a větší důraz na práva subjektů.
  • Zvýšenou administrativu i finanční náklady pro všechny správce a zpracovatele OÚ.
  • Rozšíření definice osobních údajů (např. technické parametry: e-mail, IP adresa apod.).
  • Povinnost správce hlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hod. od chvíle, kdy se o incidentu dozvěděl.

 

Základní pojmy:

Subjekt údajů (SÚ)

  • fyzická osoba, k níž se osobní údaje vztahují

Osobní údaj (OÚ)

  • jakákoliv informace týkající se identifikovaného nebo identifikovatelného subjektu údajů. Subjekt údajů se považuje za identifikovaný nebo identifikovatelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat

Obecný osobní údaj

  • jméno, adresa, věk, cookies, IP adresa, fotografie, tel. číslo, videozáznam, GPS lokace

Zvláštní osobní údaj (citlivý údaj)

  • zdravotní stav, náboženství, rasová příslušnost, sexuální orientace, politické názory, údaje o trestní činnosti apod.

Správce

  • každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele

Zpracovatel

  • každý subjekt, který na základě pověření správcem nebo zvláštního zákona zpracovává osobní údaje podle tohoto zákona

Souhlas subjektu údajů

  • svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů

Anonymní údaj

  • takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k identifikovanému nebo identifikovatelnému subjektu údajů

Zpracování osobních údajů

  • jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji

Pověřenec – DPO (Data Protection Officer)

  • nově vytvořená pracovní pozice podle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Pověřencem může být vlastní zaměstnanec (zaměstnanci) firmy nebo externí pracovník (firma).

 

Zásady GDPR

 

Zákonnost – ke zpracování OÚ je nutný právní základ

  • souhlas se zpracováním OÚ
  • uzavření a plnění smlouvy
  • právní povinnost (např. fakturace)
  • oprávněný zájem (např. kamerový systém na ochranu majetku)
  • veřejný zájem, výkon veřejné moci, ochrana života

Transparentnost

  • SÚ musí být informován o právech a rizicích

Účelové omezení

  • pro každé zpracování musí být dán předem účel
  • údaje shromážděné k různým účelům musí být zpracovávány odděleně

Minimalizace

  • zpracovávat pouze údaje potřebné ke stanovenému účelu
  • omezení uchování – po uplynutí doby k dosažení účelu či zákonem – smazat
  • zavedení evidence uchovávání a mazání dat

Přesnost

  • OÚ musí být aktuálně přesné

Omezení uložení

  • zpracování OÚ pouze po nezbytně dlouhou dobu

Důvěrnost

  • OÚ jsou důvěrné a je nutno s nimi tak nakládat

Integrita        

  • nedotknutelnost, ucelenost
  • správné a nenarušené vztahy mezi jednotlivými záznamy

Odpovědnost

  • správce i zpracovatel musí zajistit soulad s GDPR a tento soulad prokázat

 

Posouzení vlivu na ochranu osobních údajů – DPIA (Data Protection Impact Assesment)

 

Jedná se o posouzení rizik zpracování OÚ.

DPIA se musí provést pokud:

  • Existuje vysoké riziko při určitém druhu zpracování.
  • Dochází k systematickému a rozsáhlému vyhodnocování OÚ založeném na automatickém zpracování.
  • Jedná se o zpracování zvláštní kategorie OÚ či trestních záležitostí.
  • Dochází k rozsáhlému systematickému monitorování.

 

Náležitosti DPIA

  • Popis plánovaných zpracování a účelů.
  • Oprávněné zájmy správce.
  • Posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelu.
  • Posouzení rizik pro SÚ.
  • Opatření k řešení rizik.
  • Bezpečnostní mechanismy a doložení souladu.
  • Pokud je riziko i přes opatření stále vysoké – konzultace s dozorovým orgánem.