Ochrana osobních údajů podle GDPR

Nařízení EP a Rady (EU) 2016/679o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR)

směrnice z 1995 zrušena – nefungoval „safeharbour“ (Snowden)

od 25.5.2018 bezprostředně použitelné, aplikační přednost, ponechává však národním státům pravomoci k jeho provedení a úpravě, zvláště v oblasti citlivých osobních údajů, připouští lex specialis(zákony proti praní špinavých peněz)

 

Co se chrání?

„osobní údaje“

veškeré informace o identifikované nebo identifikovatelné fyzické osobě (fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity)

  • bez ohledu na jejich státní příslušnost nebo bydliště, nevztahuje se na osobní údaje právnických osob
  • nevztahuje se na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti (ale hostingové služby pro činnosti osobní povahy ano)
  • právo na ochranu osobních údajů není absolutní - proporcionalita, zpracování osobních údajů by mělo sloužit lidem
  • souhlas nutný i pro uchovávání cookies - síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence, a které slouží k profilování FO

 

Zpracování

jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

  • technologicky neutrální, aplikuje se jak při automatizovaném, tak manuálním zpracování (údajů evidovaných nebo takových, které mají být do evidence vloženy)
  • osobní údaje subjektů údajů nacházejících se v Unii uskutečněné správcem nebo zpracovatelem, jenž není v Unii usazen, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů bez ohledu na to, zda je spojena s platbou

Zásady:

zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

  • subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
  • nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
  • nezbytné pro splnění právní povinnosti, která se na správce vztahuje
  • nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
  • nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  • nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě

 

Automatizované individuální rozhodování, včetně profilování

právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká

Výjimky:

  • pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů
  • povoleno právem
  • založeno na výslovném souhlasu subjektu údajů

 

Práva subjektů osobních údajů:

  • přístup ke svým osobním údajům
  • být informován o vhodných zárukách
  • kopie osobních údajů, přenositelnost
  • oprava nepřesných nebo neúplných údajů
  • výmaz („právo být zapomenut“) nebo na omezení zpracování

 

Právo subjektu údajů na přístup k osobním údajům

  • účely zpracování
  • kategorie dotčených osobních údajů
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
  • plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá ke stanovení této doby
  • informace o zdroji osobních údajů
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování

 

Právo subjektu údajů být informován o vhodných zárukách

Právo subjektu údajů  na kopie osobních údajů, na přenositelnost

Právo subjektu údajů  na opravu nepřesných nebo neúplných údajů

Právo subjektu údajů  na výmaz („právo být zapomenut“) nebo na omezení zpracování

pokud:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány
  • subjekt údajů vznese námitky proti zpracování
  • osobní údaje byly zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění právní povinnosti
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti
  •  

Postupy

zrušena obecná ohlašovací povinnost dle Směrnice 95/46/ES

správce musí sám posoudit vliv na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika

předání ke zpracování mimo EU: „safeharbour“ - neoslabovat úroveň ochrany dle GDPR, Komise může za bezpečnou prohlásit území, odvětví v určité zemi nebo urč. mez. organizaci

 

Povinnosti správce:

získat souhlas

jednoznačné potvrzení - vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů

 

jak?

písemné prohlášení (i elektronicky) nebo ústní, mlčení souhlasem není

Správce musí být schopen souhlas prokázat

Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. Souhlas není platný, je-li mezi správcem a subjektem jasná nerovnováha

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny

Správce nesmí pátrat po dalších údajích, které by mu FO umožnily identifikovat

Odvolat souhlas musí být stejně snadné jako jej poskytnout

 

Transparentnost

subjekt musí dostat informace stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek.

  • právo na přístup ke shromážděným osobním údajům, které se ho týkají (strukturované, strojově čitelné)
  • právo na opravu osobních údajů, které se jí týkají
  • „právo být zapomenut“

Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká

přijmout opatření (kodex), informovat subjekt, bezplatně:

  • totožnost a kontaktní údaje správce a jeho případného zástupce
  • případně kontaktní údaje případného pověřence pro ochranu osobních údajů
  • účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
  • případné příjemce nebo kategorie příjemců osobních údajů
  • případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně
  • doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby
  • existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů
  • existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním
  • existence práva podat stížnost u dozorového úřadu
  • skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování

Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

  • zdroj, odkud správce osobní údaje získal
  • totožnost a kontaktní údaje správce a případně jeho zástupce
  • případně kontaktní údaje případného pověřence pro ochranu osobních údajů
  • účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
  • kategorie dotčených osobních údajů
  • případné příjemce nebo kategorie příjemců osobních údajů
  • případný záměr správce předat osobní údaje příjemci ve třetí zemi

Povinnost provádět posouzení dopadu na ochranu osobních údajů

místo ohlašovací povinnosti – správce je před zahájením zpracování provést tzv. posouzení dopadu na ochranu osobních údajů, tj. systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Vypracování takového posouzení by mohlo být delegováno na inspektora pro ochranu údajů, pokud bude danou společností jmenován

  • kdy (příklady): zpracování citlivých údajů, systematického monitorování veřejně přístupných míst nebo systematického a rozsáhlého vyhodnocování osobních aspektů fyzických osob, včetně profilování
  • okruh činností bude muset zveřejnit dozorový orgán
  • posuzovat přiměřenost zásahu do práv druhých, jejichž údaje budou předmětem zpracování, ještě před zahájením samotného zpracování, v současnosti vyplývá pro správce z obecných principů ochrany osobních údajů obsažených ve směrnici, zejména z povinnosti správce stanovit legální a legitimní účel zpracování, zpracovávat osobní údaje pouze na základě řádného právního titulu a v přiměřeném rozsahu

Předběžné konzultace

Vyplyne-li z posouzení, že zpracování bude vysoce rizikové a riziko nelze zmírnit přiměřenými prostředky, pokud jde o dostupnost technologií a nákladů na jejich zavedení – pokud se nenajdou žádná dostupná opatření, zpracování lze provést

- právně nepůjde o povolení!

 

Povinnost vést záznamy o zpracováních osobních údajů

 

Povinnost ohlašovat případy narušení bezpečnosti

zatím ji měli jen poskytovatelé služby elektronických komunikací

při porušení: jednat bez odkladu a je-li to možné, ohlásit dozorovému úřadu a subjektu (popsat povahu porušení, doporučení subjektu). kdy nemusí?   je-li splněna kterákoli z těchto podmínek:

  • správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
  • správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
  • vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

 

Povinnost jmenovat inspektora (pověřence) ochrany údajů

explicitně stanovena pro orgány veřejné moci, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů. V jiných případech to bude určovat národní zákon

 

 

 

Poznámky:

ochrana mikropodniků do 250 zaměstnanců – výjimky (nemusí evidovat, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů).

„profilování“ - jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

„pseudonymizace“ - zpracován osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

Cookies – současná právní úprava se právní úprava řídí § 89 odst. 3 ZoEK, ohledně něhož se vedou spory, zda je založen na principu opt-in nebo opt-out; GDPR výslovně uvádí síťový identifikátor jako možný osobní údaj s tím, že výjimkou z povinnosti získat souhlas subjektu údajů je mimo jiné zpracování oprávněných zájmů správce, přičemž ta za takový oprávněný zájem je výslovně uznán i přímý marketing (na ten se však samozřejmě vztahuje princip opt-out).

Pro posuzování „oprávněného zájmu“ však bude klíčové „rozumné očekávání“ subjektů údajů (jaký účel, dobu, rozsah atd. mohl očekávat)

I před působností GDPR je rozumné vykládat českou úpravu za opt-in