ZÁKLADNÍ INFORMACE O GDPR

GDPR je anglická zkratka pro General Data Protection Regulation, což je v češtině Obecné Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Toto Obecné nařízení představuje nový právní rámec ochrany osobních údajů v celém evropském prostoru, které od 25. května 2018 přímo stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak Obecné nařízení od 25. května 2018 nahrazuje zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

GDPR je postaveno na následujících zásadách:

• zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně,
• omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
• minimalizace údajů- osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
• přesnost - osobní údaje musí být přesné,
• omezení uložení- osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
• integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 Obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 Obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též směrnice a osvědčení.

Právní důvody zpracování osobních údajů

Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat, jsou tak nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování osobních údajů. Protože pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, tak pravděpodobně neplní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by pak osobní údaje zlikvidovat.

Osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Právní důvody ke zpracování osobních údajů subjektu údajů jsou následující:

• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Souhlas se zpracováním osobních údajů

Tento souhlas vždy musí být svobodný, konkrétní a informovaný. Jde o jednoznačný projev vůle, který subjekt údajů dává svým prohlášením či jiným zjevným potvrzením svého svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Ne vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, protože odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů.

Podmínky udělení souhlasu se zpracováním osobních údajů

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.

Právo na výmaz (být zapomenut)

Toto právo představuje v Obecném nařízení povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna z následujících podmínek:

• osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
• subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
• subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
• osobní údaje byly zpracovány protiprávně,
  osobní údaje musí být vymazány ke splnění právní povinnosti,
• osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.
• Právo na přenositelnost údajů.

Toto je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.Společné podmínky k aplikaci práva na přenositelnost:

• musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
• zpracování se provádí automatizovaně.

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

Lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů

Pokud subjekt údajů podá žádost o opravu osobních údajů, omezení zpracování, o výmaz, nebo přenesení údajů podle článků 15 až 22 Obecného nařízení, musí být informace o přijatých opatřeních k této žádosti poskytnuta bez zbytečného odkladu a ale nejpozději do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Zpracovatel osobních údajů

Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky Obecného nařízení a byla zajištěna ochrana práv subjektu údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce, dle článku 38, odst. 3 Obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, lze požadované náležitosti zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.

Zpracovatel může pro zpracování osobních údajů (nebo jejich části) zapojit do procesu zpracování i dalšího zpracovatele. Je však nutné, aby správce k tomuto dal prvnímu zpracovateli písemné svolení. Svolení může být dáno buď k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.

Zabezpečení osobních údajů

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování taková technická a organizační opatření, aby zajistil (a byl schopen doložit), že zpracování je prováděno v souladu s Obecným nařízením. Každý správce bude muset přijmout odpovídající bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění od některých povinností, např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.

Porušením zabezpečení osobních údajů

Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.

Zrušení oznamovací povinnosti

protože oznamovací povinnost již není obsažena v Obecném nařízení, tak bude s novelou zákona o ochraně osobních údajů zrušena v plném rozsahu. Oznamovací povinnost je částečně nahrazena záznamy o činnostech zpracování a povinností v některých případech zpracování konzultovat s Úřadem pro ochranu osobních údajů.

Na závěr je třeba říct, že každý správce by se měl důkladně zamyslet nad způsobem, jak získává, využívá a zabezpečuje osobní údajů subjektů údajů, se kterými přijde do styku, a to tak aby plně vyhověl požadavkům kladeným na něj v této směrnici.

Zpracovatel taktéž nesmí zapomenout na osvětu zaměstnanců, aby i oni plnili povinnosti z této směrnice vyplývající.