Obecné nařízení Evropské unie o ochraně osobních údajů – takzvané GDPR – upraví nebo zpřesní zásady ochrany osobních údajů. Co se změní?
Dnes se při zpracování osobních údajů řídíme právními předpisy České republiky, zejména pak zákonem č.101/2000 Sb., o ochraně osobních údajů, případně zákonem č. 480/2004 Sb., o některých službách informační společnosti, který reguluje zasílání obchodních sdělení klientům, a dalšími právními předpisy. Od 25. května 2018 je nahradí právě GDPR. Toto nařízení bude přímo použitelné a závazné ve všech členských státech Evropské unie, a to až na výjimky bez nutnosti transpozice do národních právních řádů.
Než se zaměříme na to, co se pro zpracovatele osobních údajů změní, pojďme si pro jistotu připomenout definice základních pojmů:
Osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
Subjekt údajů – fyzická osoba, k níž se osobní údaje vztahují.
Zpracování osobních údajů – jakýkoliv úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Správce osobních údajů – každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Za soulad těchto činností s platnými právními předpisy odpovídá. Zpracováním osobních údajů může správce pověřit nebo k němu zmocnit zpracovatele.
Zpracovatel osobních údajů – subjekt, který na základě zvláštního zákona nebo pověření či zmocnění správcem zpracovává osobní údaje.
Povinnost vést evidenci zpracování osobních údajů
Autoři GDPR tvrdí, že smyslem nařízení je jednotná ochrana osobních údajů napříč unií a také zjednodušení administrativní zátěže podniků. Zatímco zásady ochrany osobních údajů zůstávají podobné těm uvedeným ve směrnici 95/46/EC a v zákoně o ochraně osobních údajů, určité zásady definuje striktněji a přesněji.
Dnes správcům osobních údajů vzniká povinnost registrovat se na Úřadě pro ochranu osobních údajů. Správcem se stáváme velmi snadno a rychle, ukažme si to třeba na příkladu provozovatele e-shopu. Ten se správcem stane ve chvíli, kdy od zákazníka získá jméno, telefonní číslo, adresu, někdy i e-mailovou nebo IP adresu. To znamená v případě provedení objednávky, pro jejíž vyřízení jsou tyto údaje nezbytné. Jako správce údajů se tento provozovatel internetového obchodu nemusí registrovat jen v případě, že využije získané údaje pouze a výhradně pro vyřízení objednávky a nebude s nimi dále nakládat.
Zpracování osobních údajů oznamuje správce, který zpracovává osobní údaje nad rámec stanovený zákonem. Oznamovat se tedy nemusí zpracování osobních údajů, pokud se jedná o uzavírání smluvních vztahů podle občanského zákoníku, šíření obchodních sdělení podle zákona o některých službách informační společnosti nebo nabízení obchodu a služeb subjektu údajů, jehož údaje byly získány v souvislosti s činností správce podle zákona o ochraně osobních údajů,
vysvětluje David Pavlát, mluvčí Úřadu pro ochranu osobních údajů s tím, že toto platí v případě, že jsou dodrženy podmínky zpracování pouze nezbytného rozsahu osobních údajů.
Psali jsme: Reforma ochrany osobních údajů, firmy čekají nové povinnosti
Od účinnosti GDPR už se zpracování osobních údajů Úřadu pro ochranu osobních údajů oznamovat nebude. Podnikatelům tak ubyde povinnost registrace. Nově ale budou povinni vést evidenci činností týkajících se zpracování osobních údajů na svou vlastní odpovědnost. Tato evidence má obsahovat zejména informace o účelech zpracování, kategoriích osobních údajů, kategoriích příjemců osobních údajů, přenosech osobních údajů třetím stranám a přijatých bezpečnostních opatřeních za účelem ochrany osobních údajů. Nařízení tak sice správce zbavuje jedné byrokratické zátěže, ale druhou a možná i mnohem komplikovanější přináší.
Bude nutné dodržovat zásady zpracování osobních údajů, kterými jsou:
Zákonnost, spravedlnost a transparentnost – osobní údaje musí být zpracovávány zákonným způsobem, spravedlivě a transparentně ve vztahu k subjektu údajů.
Omezení účelu – osobní údaje mohou být shromažďovány pro konkrétní, jednoznačné a legitimní účely a nesmí být dále zpracovávány způsobem, který s těmito účely není v souladu.
Minimalizace osobních údajů – osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelu, pro který jsou zpracovávány.
Přesnost a pravdivost – osobní údaje musí být přesné a pravdivé a kde je to nutné, průběžně aktualizované.
Omezení uchovávání – osobní údaje musí být uchovávány způsobem, který umožňuje identifikaci subjektu údajů na dobu pouze nezbytně nutnou pro účely jejich zpracování.
Jednotnost a důvěrnost – osobní údaje musí být zpracovávány způsobem, který zaručí jejich náležitou bezpečnost, včetně ochrany proti neoprávněnému či nezákonnému zpracování a proti náhodné ztrátě, zničení nebo poškození za pomoci odpovídajících technických nebo organizačních opatření.
Odpovědnost – správce je odpovědný za soulad zpracování osobních údajů s GDPR a tento soulad musí být schopen prokázat po celou dobu zpracovávání osobních údajů.
Dále čtěte: E-shopaři, zpracování osobních údajů podléhá registraci. Jste přihlášeni?
Správci osobních údajů budou od jara příštího roku povinni záznamy o jejich zpracování na žádost zpřístupnit dozorovému orgánu. Evropské nařízení vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace o zpracování osobních údajů. Jsou to jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů. Povinností tedy bude víc, než je nutné splnit dnes, kdy je možné se do databáze správců osobních údajů registrovat snadno a zcela zdarma přes online registrační formulář na webu Úřadu pro ochranu osobních údajů.
Protože ne všichni podnikatelé budou schopni tuto agendu vést, mohou ji přenést na zpracovatele. GDPR sice počítá i s výjimkami z povinnosti vést dokumentaci zpracování pro firmy s méně než 250 zaměstnanci, na druhou stranu i tyto malé firmy mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování. Jako příklad můžeme opět použít už jednou zmiňovaný e-shop. Proto bude tato výjimka omezena jen na taková zpracování, která není možné považovat za riziková a závažným způsobem nezasáhnou do práv a svobod jednotlivců nebo zpracování.
ČLÁNKY DO MAILU