2. Nařízení GDPR z pohledu IT – terminologie nařízení GDPR

14. 8. 2018 Igor Pechanec GDPR 0

  • Doplněno 22. 8. 2017 o Veřejný subjekt a věk dítěte u Souhlasu.

Snažil jsem se ke každému termínu (ponejvíce v čl. 4 nařízení GDPR) doplnit co nejvíce informací, které jsou po nařízení GDPR roztroušeny a doplnil jsem k nim informace z různých informačních zdrojů. Termíny jsou řazeny abecedně a je v nich případně odkaz na příslušný článek nařízení GDPR.

Anonymní údaje (nebo také anonymní informace)

Informace, ze kterých nelze identifikovat jakýmkoliv způsobem konkrétní subjekt údajů. Viz termín Pseudonymizace.

Bezpečnostní incident

V případě bezpečnostního incidentu (porušení zabezpečení ) musí správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o tomto incidentu dozvěděl, ohlásit dozorovému úřadu tento bezpečnostní incident, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Správce též musí informovat subjekt údajů – ne však v případech, kdy správce použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví nebo pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.

Dozorový úřad

Nezávislý orgán veřejné moci zřízený členským státem EU. Viz čl. 51–59 a čl. 60–76 nařízení GDPR. Českým regulátorem je Úřad pro ochranu osobních údajů (ÚOOÚ). Bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li jakákoliv pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.

DPIA – Data Protection Impact Assessment

Posouzení vlivu na ochranu osobních údajů – posuzuje se, zda jde o riziko nebo dokonce vysoké riziko (viz čl. 35 nařízení GDPR). DPIA musí být provedeno v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií.

Proces DPIA musí být proveden vždy před zahájením zpracování údajů. Pokud má správce DPO, musí ho požádat o posudek. Také by měl v některých případech správce získat stanovisko dotčených subjektů údajů. Pokud jde o zpracování s vysokým rizikem musí zpracování údajů konzultovat s dozorovým úřadem. DPIA by tedy mělo být zpracováno pro jeden druh operací s daty. Nicméně GDPR umožňuje i zpracování jednoho posouzení pro soubor podobných operací zpracování údajů, které představují podobné riziko. Za určitých okolností se tedy DPIA nemusí vztahovat pouze na jeden projekt a předmět posouzení může být širší například:

  • Pokud veřejné subjekty plánují zavést společnou aplikaci nebo platformu zpracování údajů.
  • Pokud několik správců údajů zamýšlí uvést do provozu aplikaci společnou pro určitý segment podnikání.
  • Pokud jeden ze správce údajů hodlá používat kamerový systém na různých místech.

Společnosti či instituce budou muset DPIA vypracovat v těchto případech:

  • Provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování (banky, pojišťovny, leasingové a jiné finanční instituce, dále společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu).
  • V rozsáhlém objemu zpracovávají citlivé osobní údaje nebo osobní údaje týkající se trestných činů.
  • Systematicky monitorují veřejně přístupné prostory (bezpečnostní agentury, zdravotní pojišťovny, nemocnice).

Podle skupiny WP29 jsou další, konkrétnější kritéria pro vypracování DPIA:

  • Vyhodnocování osobních aspektů subjektů údajů týkajících se zejména jejich pracovního výkonu, ekonomické situace, zdravotního stavu, osobních zájmů, chování, lokace a pohybu (např. prověřování platebních schopnosti klientů banky nebo vytváření marketingového profilu internetových uživatelů).
  • Zpracování osobních údajů založené na automatizovaném rozhodování, které má právní nebo podobné významné účinky pro subjekty údajů, například když takové zpracování vede k diskriminaci některých jednotlivců.
  • Systematické monitorování, tj. zpracování osobních údajů za účelem sledování a kontroly subjektů údajů včetně systematického monitorování veřejně přístupných prostorů.
  • Zpracování citlivých osobních údajů (např. zpracování záznamů o zdravotním stavu pacientů nemocnicí, zpracování lokalizačních údajů nebo zpracování finančních údajů, které mohou být zneužity).
  • Zpracování osobních údajů velkého rozsahu vzhledem k počtu dotčených subjektů údajů, rozsahu zpracovávaných údajů, době zpracování a územnímu rozsahu (např. zpracování údajů klientů bankami či pojišťovnami nebo zpracování údajů uživatelů internetu pro účely cílené reklamy).
  • Zpracování propojených nebo kombinovaných souborů osobních údajů, které pocházejí z více různých zpracování, pro účely nad rámec původního účelu.
  • Zpracování osobních údajů o “zranitelných” osobách (např. údajů o dětech, zaměstnancích, uchazečích o azyl, důchodcích, pacientech atd.).
  • Zpracování osobních údajů při použití nových technologických řešení a organizačních opatření (např. zavedení technologie umožňující zaměstnancům vstup na pracoviště na základě otisku prstu).
  • Předání osobních údajů mimo Evropskou unii.
  • Zpracování osobních údajů, které samo o sobě zabraňuje uplatnění práv nebo užívání služby ze strany subjektu údajů (např. zpracování údajů prováděné ve veřejném prostoru, kterému se nemohou subjekty údajů vyhnout, nebo prověřování platební schopnosti potenciálních zákazníků banky za účelem rozhodnutí, zda jim bude poskytnut úvěr či nikoliv).

Pokyn WP29 říká, že se bude požadovat DPIA u takových zpracování osobních údajů, které splňují alespoň dvě výše uvedená kritéria (nemocnice, mýtný systém, monitorování přístupu zaměstnanců k internetu). Ale opět plno výjimek, takže je nejlepší DPIA zpracovat (pokud to neuděláte, musíte stejně zdůvodnit, proč…). Požadavek provedení DPIA se nevztahuje podle článku 35 odst. 10 GDPR na zpracování údajů zahájená před účinností GDPR, ledaže příslušný členský stát bude považovat provedení DPIA za nezbytné. Pracovní skupina WP29 ovšem doporučuje, aby správci údajů provedli posouzení vlivu na ochranu osobních údajů i pro operace s daty zahájené před květnem 2018. Navíc posouzení musí být určitě provedeno v případě, kdy nastane významná změna původního zpracování údajů (např. pro zpracování údajů bude použita nová technologie či aplikace apod.). V každém případě DPIA by mělo být revidováno po uplynutí 3 let nebo případně i dříve s ohledem na povahu a změny zpracování údajů.

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.

Každé DPIA by mělo obsahovat:

  • Systematický popis zamýšlených operací zpracování osobních údajů a účely zpracování, případně včetně popisu oprávněných zájmů správce.
  • Posouzení nezbytnosti a přiměřenosti operací s osobními údaji z hlediska účelů.
  • Posouzení rizik pro práva a svobody subjektů údajů.
  • Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.

DPO – Data Protection Officer

Pověřenec pro ochranu osobních údajů (nezávislý interní či externí auditor, který nesmí být ve střetu zájmů) – konkrétní fyzická osoba. Pověřence jmenuje správce.

Úkolem pověřence je zajistit, aby procesy, aktivity a systémy, související se zpracováním dat, byly v souladu s GDPR. Poskytuje informace a poradenství, spolupracuje s dozorovým úřadem a má za úkol dohlížet na dodržování požadavků GDPR (řádné zacházení s osobními údaji, hlášení úniků osobních údajů či porušení zákona) a oznámit dozorovému úřadu veškeré přestupky proti nařízení.

Pověřenec nenese osobní odpovědnost za nedodržování GDPR a nemusí mít žádný certifikát!

Povinnost pověřence jmenovat nastává ve třech případech:

  • Pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů.
  • Pokud hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
  • Pokud zpracování provádí orgán veřejné moci či veřejný subjekt.

Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat a aby byl rychle a snadno dosažitelný.

Podstatné by pro DPO měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a samozřejmě důkladná znalost GDPR. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů a technického zabezpečení dat. Viz čl. 37–39 nařízení GDPR.

  • IT znalý administrátor na všech vrstvách.
  • Přehled v technologiích a trendech IT.
  • Znalost procesních metodik jako ITIL.
  • Zkušenost z praxe s vytvářením bezpečnostních směrnic.
  • Se schopností prezentovat navržená řešení.
  • Důvěryhodný a precizní.

Takže takový Superman… 

Pověřenec může pracovat pro více správců naráz (několik obcí atp.).

Záruky, umožňující pověřenci konat nezávisle:

  • Nesmí dostávat žádné pokyny od správce nebo zpracovatele, týkající se výkonu úkolů pověřence.
  • Není možnost propuštění nebo sankcionování pověřence v souvislosti s plněním úkolů DPO.
  • Správce nebo zpracovatel musí zajistit, aby žádné úkoly nebo povinnosti pověřence nevedly ke střetu zájmů.
  • Zajištění všech technických a dalších prostředků pro práci DPO.

Jestliže si nezajistíte svého DPO, ačkoliv byste měli, vystavujete se pěkně tučné pokutě až do 10 milionů eur.

Evidence

Strukturovaný soubor osobních údajů. Ať už se jedná o databázi nebo nějaký strukturovaný dokument.

Identifikovatelná osoba

Osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor – např. jméno, identifikační číslo (např. rodné číslo), lokalizační údaje, elektronický identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity této fyzické osoby.

Kodex chování

Pro každé odvětví a konkrétní potřeby je třeba vypracovat kodex chování. Sdružení či jiné subjekty zastupující různé kategorie správců nebo zpracovatelů předloží návrh kodexu ÚOOÚ, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s Obecným nařízením a buď jej schválí nebo neschválí. Tento kodex bude monitorován akreditovaným subjektem. Viz čl. 40 a 41 nařízení GDPR.

Kodexy mají přispět k řádnému uplatňování GDPR s ohledem na konkrétní povahu různých odvětví,
zejména pokud jde o:

  • Spravedlivé a transparentní zpracování osobních údajů.
  • Oprávněné zájmy, jež správci v konkrétních situacích sledují.
  • Shromažďování osobních údajů.
  • Pseudonymizaci osobních údajů.
  • Informovanost veřejnosti a subjektů údajů.
  • Výkon práv subjektů údajů.
  • Informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem.
  • Opatření a postupy k zajištění bezpečnosti zpracování.
  • Ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů.
  • Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
  • Mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů.

Kodex by měl vydávat nejvyšší management či nadřízený orgán. Například pro nemocnice by mělo kodex vydat Ministerstvo zdravotnictví atp.

Mikropodnik (malý a střední podnik)

Organizace s méně než 250 zaměstnanci.

Omezení zpracování

Je označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

Prostě označení dat příznakem, který říká, že se data již nesmí použít.

Osobní údaje (subjektu údajů)

Viz čl. 9 a 13 nařízení GDPR. Osobní údaje jsou veškeré informace o subjektu údajů, ze kterých lze přímo či nepřímo identifikovat subjekt údajů. Právní definice osobních údajů nemůže být výčtová – počet druhů osobních údajů je přirozeně neuzavřený a stále vznikají nové technologie zpracování osobních údajů. Veřejné osobní údaje (ať už zveřejněné subjektem či státní organizací v rámci zákona) neznamenají možnost jejich dalšího neomezeného zpracovávání!

Osobní údaje musí být zpracovány tak, aby se zabránilo neoprávněnému přístupu k nim:

  • “Zákonnost, korektnost, transparentnost” –  osobní údaje musí být zákonné, korektní a transparentní (myslí se dohledatelné a nic neskrývající viz termín Transparentnost).
  • “Účelové omezení” – osobní údaje mohou být zpracovávány jen za daným účelem – účely archivační (ve veřejném zájmu), vědecké či statistické se nepovažují za neslučitelné.
  • “Minimalizace údajů” – osobní údaje musí být relevantní vzhledem k účelu zpracování.
  • “Přesnost” – osobní údaje, které jsou nepřesné je třeba vymazat či opravit.
  • “Omezení uložení” – osobní údaje by měly být uloženu jen po dobu nezbytně nutnou pro účel daný zpracováním, pokud se nejedná o účely archivační (ve veřejném zájmu), vědecké či statistické.
  • “Integrita a důvěrnost” – osobní údaje musí být chráněny před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením či poškozením.

Co nejsou osobní údaje dle nařízení GDPR

  • Anonymizované údaje.
  • Údaje zemřelých osob.
  • Údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter.

Kategorie osobních údajů

Obecné osobní údaje

  • Jméno a příjmení (není osobní údaj podle GDPR, protože nelze jednoznačně identifikovat osobu).
  • Datum narození.
  • Věk.
  • Pohlaví.
  • Osobní stav.
  • IP adresa.
  • Email.
  • Telefon.
  • Cookies.
  • Fotografie.
  • Organizační údaje – IČO atp. (v případě podnikajících fyzických osob).

Citlivé osobní údaje (zakazují se zpracovávat, existuje však mnoho výjimek)

  • Rasový či etnický původ.
  • Politické názory.
  • Náboženské či filozofické vyznání.
  • Členství v odborech.
  • Zdravotní stav – osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
  • Sexuální orientace.
  • Trestní delikty.
  • Pravomocné odsouzení.
  • Lokační údaje.

Biometrické údaje

Osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci.

Jde tedy o snímek obličeje, otisk prstu, podpis atp.

Genetické údaje

Zděděné nebo genetické znaky, vyplývající z analýzy biologického vzorku.

Prostě DNA je osobní genetický údaj.

Údaje o zdravotním stavu

Osobní údaje týkající se tělesného a duševního zdraví fyzické osoby. Někde se uvádí jako zvlášť kategorie, i když spadá do citlivých osobních údajů.

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede
skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato
dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto nařízením.
Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud
možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu (ledaže je
nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob)
Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny
důvody tohoto zpoždění.

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít
za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení
bez zbytečného odkladu subjektu údajů.

V oznámení určeném subjektu údajů se za použití jasných a jednoduchých jazykových
prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším
informace a opatření dle čl. 33 nařízení GDPR.

Podnik

Jakákoliv fyzická či právnická osoba vykonávající hospodářskou činnost bez ohledu na právní formu.

Porušení zabezpečení osobních údajů

Porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo k neoprávněnému poskytnutí nebo zpřístupnění (přenášených, uložených nebo jinak zpracovávaných) osobních údajů.

Privacy by design – PbD (přeložil bych jako “soukromí již v návrhu”)

Znamená zabudovat ochranu soukromí do specifikace, návrhu, činnosti a řízení daného systému, a do obchodního procesu. Koncept PbD je založen na sedmi jednoduchých základních pravidlech:

  • Být raději pro-aktivní než re-aktivní.
  • Použít ochranu soukromí jako default nastavení.
  • Vyvarovat se záměně soukromí versus bezpečnost.
  • Poskytovat management dat po celý jejich životní cyklus.
  • Zajistit viditelnost a transparentnost údajů.
  • Být zaměřen na uživatele.

Procesy

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření dodržující zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla také spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci a transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu subjektu údajů k jejich údajům nejlépe online.

Soulad s nařízením GDPR by měl být prověřován opakovaně včetně technických opatření a jejich účinnosti! Čili analýza a interní audit by měl probíhat kontinuálně nebo v pravidelných intervalech.

Znamená to, že firma musí přepracovat spousty směrnic, které se týkají práce s osobními údaji a musí změnit a nastavit procesy zpracování osobních údajů tak, aby s nimi pracovali jen určení zaměstnanci. Musí také umožnit subjektu údajů nahlížet na své osobní údaje (nejlépe online – což asi není ve spoustě případů reálné, proto asi to nejlépe) a možnost je opravit, vymazat či zapomenout.

Profilování

Jakákoli forma automatizovaného zpracování osobních údajů, sloužící k rozboru nebo odhadu jakýchkoliv aspektů subjektu údajů.

To se týká povětšinou obchodníků atp. (nabídka produktů na základě zájmu).

Provozovna (správce nebo zpracovatele)

Místo výkonu činnosti správce nebo zpracovatele.

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

Tomu se věnuje celá kapitola V. (čl. 44–50 nařízení GDPR).

Příjemce

Fyzická či právnická osoba. Ten, komu jsou osobní údaje poskytnuty. Orgány veřejné moci se za příjemce nepovažují.

Pseudonymizace

Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům. Pseudonymizované osobní údaje tedy nejsou anonymizovanými údaji, proto se na ně stále vztahuje GDPR.

K pseudonymizaci nařízení říká článek 25, odst. 1: “S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.”

To se týká statistik a průzkumů. Pro klasické aplikace nebo informační systémy (např. ve zdravotnictví) je samozřejmě pseudonymizace nereálná – osobní údaje s klíčem by musely být v jiné databázi než ostatní údaje se vztažným klíčem. Ostatně to uvedený článek sám říká: “S přihlédnutím ke stavu…”

Riziko

V nařízení se mluví o riziku a vysokém riziku. Některé státy vysoká rizika prostě vyjmenovaly do zákona, jinde (i v ČR) záleží na posouzení úřadu, který se bude zabývat únikem dat.

Bral bych to tak, že pokud nedojde k úniku citlivých osobních údajů, které by mohly být zneužity, tak se jedná o riziko. V opačném případě jde o vysoké riziko (např. zneužití čísla kreditní karty atp.). Vysoké riziko také vzniká, pokud by došlo k úniku velkého množství subjektů údajů.

Rozsáhlé zpracování osobních údajů

Příklady rozsáhlého zpracování údajů

  • Zpracování údajů o pacientech v rámci běžné činnosti nemocnice.
  • Zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky).
  • Zpracování údajů o aktuální zeměpisné poloze zákazníků.
  • Zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.
  • Zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy.
  • Zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb.

Příklady zpracování, jež nejsou rozsáhlá

  • Zpracování údajů o pacientech jednotlivým lékařem.
  • Zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem.

Souhlas subjektu údajů

Jednoznačné potvrzení subjektu údajů ke zpracování svých osobních údajů (viz čl. 7 nařízení GDPR). Souhlas musí být správcem zpětně doložitelný. Subjekt údajů má právo kdykoliv svůj souhlas odvolat. Souhlas je nutný tam, kde zpracování není správci uloženo zákonem nebo nevyplývá z právní povinnosti správce.

Souhlas může být podán písemně, elektronicky nebo i ústně. Mlčení, implicitně zaškrtnutý souhlas nebo nečinnost by neměly být považovány za souhlas.

Pokud má zpracování několik účelů, musí být souhlas udělen pro každý účel jednotlivě – nelze souhlas udělovat paušálně.

Za dítě (do 13 let) musí provést souhlas jeho zákonný zástupce. Správce musí ověřit, že souhlas byl podán zákonným zástupcem.

Měly by se zpětně zrevidovat souhlasy udělené před platností GDPR (netýká se zpracování ve veřejném zájmu).

Správce dat

Ten, kdo data shromažďuje k nějakému účelu (fyzická či právnická osoba, orgán veřejné moci, agentura) – viz čl. 24–28, 40 a 42 nařízení GDPR.

  • V okamžiku získání osobních dat musí subjektu údajů poskytnout informace dle čl. 13 nebo čl. 14 nařízení GDPR.
  • Musí věrohodně prokázat souhlas subjektu údajů s poskytnutím a zpracováním jeho osobních údajů.
  • Je povinen dokumentovat, že zpracovává pouze relevantní osobní údaje.
  • Měl by označit oprávněné osoby v rámci své firmy, které s osobními údaji mohou pracovat.
  • Stanovuje lhůty pro výmaz nebo pravidelný přezkum osobních údajů.
  • Měl by využít vhodných opatření k ověření identity subjektu údajů žádajícího o přístup.
  • Správce musí subjektu údajů oznámit (pokud je to možné) veškeré opravy nebo výmazy osobních údajů.
  • Správce si vyžádá posudek (posouzení vlivu na ochranu osobních údajů – DPIA) od DPO, pokud určitý druh zpracování bude mít vysoké riziko pro subjekt údajů. Viz čl. 35 nařízení GDPR.
  • Správce dat má ohlašovací povinnost vůči dozorovému úřadu, případně i vůči samotné dotčené fyzické osobě. Správce a zpracovatel jsou povinni oznámit porušení zabezpečení osobních údajů subjektu údajů bez zbytečného prodlení (pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby), tak aby dotčená osoba mohla učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato informace musí být podána na Úřad pro ochranu osobních údajů do 72 hodin od zjištění porušení, jinak hrozí pokuta.
  • Správce musí dokumentovat všechny případy porušení a na vyžádání je předložit dozorovému úřadu.
  • Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost.

Co se týče výmazu dat, pak správce provede výmaz neprodleně, s výjimkou případů, kdy je uchovávání osobních údajů nezbytné:

  • Pro výkon práva na svobodu projevu.
  • Z důvodů veřejného zájmu v oblasti veřejného zdraví.
  • Pro účely historiografického, statistického a vědeckého výzkumu.
  • Pro splnění právní povinnosti uchovávat osobní údaje, které správce podléhá na základě práva Unie nebo práva členského státu; právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle.
  • V dalších případech uvedených v čl. 4 nařízení GDPR.

Namísto vymazání osobních údajů může správce omezit jejich zpracování, pokud:

  • Subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů.
  • Správce už osobní údaje ke splnění svých úkolů nepotřebuje, ale je třeba je uchovat jako důkaz.
  • Zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití.
  • Subjekt údajů požaduje přenos osobních údajů do jiného automatizovaného systému zpracování.

Subjekt údajů

Ten, kdo osobní údaje poskytuje (viz čl. 4, 12 a 15 nařízení GDPR). Identifikovaná nebo identifikovatelná fyzická osoba, kterou lze identifikovat pomocí dat, a to ať přímo, či nepřímo.

Cituji čl. 63 nařízení GDPR:

“Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.”

V žádném případě subjekt údajů nemá právo na sdělování technických, procesních a jiných informací, které se týkají organizace (v jakém systému se data zpracovávají, jakým způsobem se data šifrují atp.).

Každý občan tedy bude mít právo vědět a být informován zejména o tom, kdo osobní údaje zpracovává, za jakým účelem se osobní údaje zpracovávají, jakých kategorií osobních údajů se zpracování týká, znát období, po které budou osobní údaje uchovávány, znát příjemce jeho osobních údajů, vědět, v čem spočívá logika automatizovaného zpracování osobních údajů (jakým způsobem je s daty nakládáno) a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Viz čl. 15 nařízení GDPR.

Subjekt údajů má následující práva podle GDPR nařízení:

  • Má právo vznést námitku proti zpracování (viz čl. 21 nařízení GDPR) – po této námitce správce nesmí osobní údaje dále zpracovávat, nebudou-li k tomu závažné důvody. Námitka může být vznesena jakkoli (písemně či elektronicky). Správce na námitku musí reagovat do jednoho měsíce od obdržení námitky.
  • Neméně důležitým právem, jež nařízení nově zavádí, je právo na přenositelnost (viz čl. 20 nařízení GDPR), které je v podstatě rozšířeným právem přístupu a může být subjektem uplatněno za splnění dvou podmínek, které musí nastat současně: za prvé, že zpracování je založeno na souhlasu občana nebo na smlouvě a za druhé, že je prováděno automatizovaně. Aby měl občan větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném formátu a předat je jinému správci (zatím není určen jednotný formát). Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle nařízení GDPR. Správce dat je povinen vydat osobní údaje bezplatně.
  • Má právo na informaci o tom, jaké jeho osobní údaje se zpracovávají a má právo kdykoliv přistoupit k datům, která o něm správce shromažďuje – ideálně přímo a online. Správce přijme vhodná opatření, aby poskytl subjektu údajů všechny informace, na které má právo a to transparentně, stručně a srozumitelně. Informace lze poskytnout písemně, ústně nebo elektronickou formou. Pokud správce odmítne provést opatření, o které subjekt údajů požádal, správce informuje subjekt údajů o důvodech tohoto odmítnutí a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek. GDPR stanoví rozsah poskytovaných informací, které správce poskytne subjektu údajů v okamžiku získání osobních údajů:
    • Totožnost a kontaktní údaje správce.
    • Kontaktní údaje na pověřence pro ochranu osobních údajů.
    • Účely zpracování a právní základ pro zpracování.
    • Oprávněné zájmy správce (pokud je zpracování na nich založeno).
    • Příjemce nebo kategorie příjemců osobních údajů.
    • Úmysl správce předávat osobní údaje do třetí země.
    • Informace o době uchovávání.
    • Informace o právech subjektu údajů a o právu na odvolání souhlasu (pokud je zpracování založeno na souhlasu), o možnosti podat stížnost k ÚOOÚ, o povinnosti či dobrovolnosti osobní údaje poskytnout, o automatizovaném rozhodování a/nebo profilování.
  • Má právo vyžadovat opravu osobních údajů (ať objektivních, či subjektivních). Viz čl. 16 nařízení GDPR.
  • Má právo na výmaz osobních údajů (viz čl. 17 nařízení GDPR) – aby byly bez zbytečného odkladu vymazány jeho osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. Právo na výmaz není absolutním právem a je možné ho uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu. Pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování (viz čl. 18 nařízení GDPR) těch osobních údajů, které jsou předmětem uplatněné námitky. Správce musí bez zbytečného odkladu vymazat osobní údaje, pokud je dán jeden z těchto důvodů:
    • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
    • Občan odvolá souhlas, pokud je zpracování osobních údajů založeno na souhlasu a neexistuje žádný další právní důvod pro jejich zpracování.
    • Občan vznese námitku proti zpracování osobních údajů z důvodu oprávněných zájmů správce, jako je např. vedení záznamů o zaměstnancích.
    • Osobní údaje byly zpracovány protiprávně.
    • Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
    • Právní povinnost stanovená právem Unie nebo členským státem.
  • Má právo na zapomnění (viz čl. 17 nařízení GDPR), což je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. Zde však GDPR uvádí řadu výjimek, pročež bude v praxi dost složité právo uplatnit, zejména v případech, kdy jsou naše osobní údaje zpracovávány státními institucemi. Pokud konkrétní osoba nebude mít možnost uplatnit právo na zapomnění, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky.
  • Měl by být upozorněn na rizika, pravidla, záruky a práva existující v souvislosti se zpracováním jeho osobních údajů.
  • Měl by znát totožnost správce a účel zpracování jeho osobních dat (viz čl. 13 a 14 nařízení GDPR).
  • Má právo podat stížnost u dozorového úřadu (viz čl. 77 nařízení GDPR).
  • Má právo získat od správce potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou předmětem zpracování.

Veřejný subjekt

Za veřejný subjekt se považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Například:

  • Ministerstva a další ústřední orgány státní správy a úřady jim podřízené.
  • Veřejné sbory, ozbrojené sbory (Policie, HZS, Armáda).
  • Veřejné školy.
  • Veřejná zdravotnická zařízení.
  • Kraje.
  • Obce.
  • Státní podniky a případně další veřejné ústavy.
  • Komory (ČAK, ČLK …).
  • Soudy včetně ústavního mimo soudní rozhodování.

Zabezpečení zpracování

  1. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup. Poté s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.
  2. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.
  3. Nařízení GDPR požaduje, aby ochrana osobních údajů byla zahrnuta již v počátečních fázích návrhů informačních systémů pro zpracování osobních údajů.
  4. Software, systémy a procesy, které vznikají, musí vyhovovat principům ochrany soukromí a osobních údajů.
  5. Správce či zpracovatel má povinnost doložit, že technická a organizační opatření jsou aplikována.
  6. Zaměstnanci a pracovníci správce či zpracovatele musí být dobře obeznámeni s otázkami soukromí, legislativou pro ochranu údajů, bezpečnostními opatřeními a s analýzou možných rizik vůči soukromí jednotlivců.
  7. Správce by měl prokázat, že všichni zainteresovaní zaměstnanci byli informováni a proškoleni ohledně ochrany osobních údajů a zároveň, že to zaměstnanci berou na vědomí.

Transparentnost osobních údajů

Ti, kdo zpracovávají osobní údaje, tak musí činit otevřeně, nezatajovat účely zpracování a jsou povinni poskytovat informace těm, jejichž osobní údaje zpracovávají.

Zákonnost zpracování

Zpracování je zákonné (viz čl. 6 nařízení GDPR), pokud:

  • Subjekt údajů udělil souhlas.
  • Je nezbytné pro splnění smlouvy, jejíž jednou smluvní stranou je subjekt údajů.
  • Je nezbytné pro splnění právní povinnosti nebo oprávněných zájmů správce.
  • Je nezbytné pro ochranu životně důležitých zájmů subjektu údajů.
  • Je nezbytné pro výkon veřejné moci.

Záznamy o činnosti

Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů (či jejich zástupců) vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu musí tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro mikropodnik, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Každý správce a zpracovatel je povinen spolupracovat s dozorovým úřadem a na jeho žádost mu zpřístupnit záznamy, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Výjimku z povinnosti vést záznamy o činnostech zpracování mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Záznamy o činnostech správce musí obsahovat následující informace:

  • Jméno a kontaktní údaje správce, zpracovatele a DPO.
  • Účely zpracování osobních údajů.
  • Popis kategorií subjektů údajů a kategorií osobních údajů.
  • Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny.
  • Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci.
  • Lhůty pro výmaz jednotlivých kategorií osobních údajů.
  • Popis technických a organizačních opatření.

Záznamy o činnostech zpracovatele musí obsahovat následující informace:

  • Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce.
  • Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu.

Zpracovatel dat

Fyzická či právnická osoba, orgán veřejné moci, agentura – ten, kdo osobní údaje zpracovává pro správce dat a na jeho pokyn – viz čl. 28–31, 40, 42 nařízení GDPR. Zpracováním se rozumí: ukládání (původní slovo je uskladňování… Uskladňují se brambory, ne data…), vyhledávání, blokování či mazání osobních údajů. Zpracovatel je povinen dokumentovat, že zpracovává pouze relevantní osobní údaje.

Zpracovatel musí mít uzavřenu smlouvu se správcem. Pokud dochází k řetězení zpracovatelů, musí k tomu dát správce písemné svolení.

Zpracovatel dat vede evidenci o činnostech zpracování osobních údajů – viz. čl. 30 nařízení GDPR (neplatí pro mikropodnik).

Zpracovatel má ohlašovací povinnost vůči správci dat. Veškerou újmu, která může subjektům údajů vzniknout v důsledku zpracování porušujícího toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost.

Správce a zpracovatel jsou povinni oznámit subjektu údajů situaci, kdy dojde k úniku nebo i jen k ohrožení jeho osobních údajů (viz čl. 34 nařízení GDPR). Tato informace musí být podána na dozorový úřad do 72 hodin od zjištění, jinak hrozí výše uvedená pokuta. Viz čl. 33 nařízení GDPR, kde je uvedeno i co musí hlášení obsahovat.

Ve většině případů správce a zpracovatel je tentýž (spravujete svoje data na své infrastruktuře). Mnoho společností bude zároveň zpracovateli i správci (pro svoje klienty zpracovatel a pro svoje zaměstnance správce). V případě, že máte data uložena v cloudu, pak zpracovatel je firma, která vám cloud poskytuje.

Zpracování

Viz čl. 7–11 nařízení GDPR. Jakákoliv operace s osobními údaji, ať už je prováděna ručně či automatizovaně. Pokud je zpracování prováděno za jiným účelem, než pro který byly osobní údaje shromážděny, musí to správce zdůvodnit. Zpracování musí být zabezpečené – přiměřeně zisku a nákladům firmy a mělo by obsahovat (viz čl. 33 nařízení GDPR):

  • Pseudonymizaci (není povinná).
  • Šifrování (není povinné).
  • Dostupnost, odolnost a integritu systému.
  • Schopnost rychle obnovit dostupnost osobních údajů po jakémkoliv incidentu.
  • Zohlednit rizika – ať už náhodná nebo záměrná.