Co je GDPR?
Koho se týká GDPR, co je osobní údaj, práva fyzických osob (subjektu údajů), povinnosti správců a zpracovatele, kdo je Pověřenec, jaké jsou sankce, kdo je WP29? A mnoho dalších otázek a odpovědí vztahujících se k GDPR najdete níže.
Je již platné Nařízení 2016/679 Sb., na ochranu osobních údajů pro celou Evropskou unii a účinné od 25.5.2018. GDPR (General Data Protection Regulation), které nahradilo stávající zákona o ochraně osobních dat 101/2000 Sb. I když nařízení GDPR zachovává celou řadu principů tohoto zákona tak rozšiřuje, či zásadně upravuje práva fyzických osob (dále jen subjektů údajů) a povinnosti podnikatelů (dále jen správců) nebo jejich zpracovatelů (typickým příkladem je cloud, nebo i účetní firma).
Nové obecné nařízení GDPR o ochraně osobních údajů je novou legislativou EU, která podstatnou měrou zvyšuje ochranu osobních dat občanů a dotčenému kontrolnímu Úřadu pro ochranu osobních údajů (ÚOOÚ) dává pravomoci uvalit nové významné sankce organizaci za porušení tohoto nařízení až do výše 20 000 000 EUR nebo až 4% celosvětového obratu.
Koho se GDPR týká?
Nařízení GDPR se vztahuje na všechny organizace, fyzické osoby podnikatele, právnické osoby, sdružení, spolky apod., které zpracovávají osobní údaje. Tzn., týká se to i těch podnikatelů, kteří sice nikoho nezaměstnávají, ale shromažďují osobní údaje svých zákazníků. Jedinou výjimkou je zpracování osobních údajů v rámci čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti pro svoji osobní spotřebu a nařízení se nevztahuje na osobní údaje zesnulých osob.
Co je osobní údaj?
V podstatě jde o veškeré informace vztahující se k identifikované nebo i identifikovatelné fyzické osobě, kterou lze přímo, či nepřímo identifikovat, zejména s odkazem na určitý identifikátor např: jméno identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby, ale také IP adresa, prodejní databáze, data zákaznických služeb, formulář zpětné vazby atd.
Co je to zpracování osobních údajů?
Dle nařízení je "zpracováním" jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo
pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Speciální pozornost pak nařízení věnuje oblasti zpracování zvláštních kategorií osobních údajů, jakými jsou údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení, genetické nebo biometrické údaje a osobní údaje dětí. Na zpracování citlivých osobních údajů jsou kladeny přísnější podmínky ochrany, než je tomu u obecných údajů.
Povinnosti správce a zpracovatele
Nařízení zavádí několik povinností pro správce a zpracovatele, které je nutné dodržovat:
- Dodržovat zásady zpracování osobních údajů
- Zpracovávat osobní údaje pro stanovený účel a na stanovenou dobu
- Dodržovat podmínky vyjádření souhlasu
- Zpracovávat jen minimum údajů
- Zpracovávat jen určité kategorie osobní údaje
- Dodržovat transparentnost a postupy pro výkon práv subjektů údajů
- Dodržovat právo subjektu údajů na přístup k osobním informacím, výmaz, opravu, vznést námitku, přenositelnost a omezení.
- Zavést záměrnou a standardní ochranu osobních údajů
- Vedení záznamů o činnostech zpracování
- Zabezpečit zpracování osobních údajů
- Zavést procesy a postupy pro ohlašování dozorovému úřadu v případě porušení zabezpečení osobních údajů
- Vypracování posouzení vlivu na ochranu osobních údajů, (DPIA) neboli Data Protection Impact Assessment
- Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
- Zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR
- Konzultace s dozorovým orgánem při posouzení vlivu, před samotným zpracováním osobních údajů
- Stanovení kodexů
- Atd.
Nově se zpracovateli také ukládá povinnost ohlásit únik či ohrožení bezpečnosti osobních dat do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech dokonce pak bude muset informovat subjekty údajů, kterých se únik týkal.
Práva subjektů údajů (fyzických osob)
Jak už vychází z určitých povinností správce nebo zpracovatele, GDPR výrazně posiluje práva občanů (subjektu údajů).
Těmito právy jsou zejména:
- práva na přístup
- právo na opravu
- právo na výmaz, právo být zapomenut
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku
- právo podat stížnost u dozorového orgánu (ÚOOÚ)
Z těchto práv, které budou často uplatňována subjektem údajů budou nejčastější právo na informace, výmaz a přenositelnost.
Právo na přístup dává občanům zejména možnost ověřit si, které údaje správce zpracovává a jejich zákonnost, vyjma případů stanovených článkem 23 v nařízení.
Výmaz rozšiřuje toto právo na právo být zapomenut. V případě uplatnění tohoto práva fyzickou osobou (subjektem údajů) bude povinností správce vymazat natrvalo osobní údaje ze své databáze, pokud mu v tom nebrání jiný právní titul, který od subjektu obdržel. Proto bude nutné udělat u správce inventuru všech dokumentů a smluv, zda nemá více právních titulů ke zpracování osobních údajů od subjektů údajů a pokud má, tak stanovit lhůtu pro jeho zákonné uchování a následné mazání nebo skartování.
Přenositelnost umožňuje subjektu údajů převést svá data, které poskytl správci, k jinému správci za podmínek dle nařízení. Často bude používáno v pojišťovnictví, bankovnictví, zdravotnictví, optikách apod.
Subjekt údajů má právo získat osobní údaje, které se ho týkají a jež poskytl správci ve strukturovaném běžně používaném a strojově čitelném formátu a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil a to v případě, že::
a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně
Pověřenec
Správce nebo zpracovatel je povinen jmenovat pověřence vždy, pokud:
- zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10
Pověřence lze také definovat jako garanta nebo poradce, ale hlavně také jako kontaktní osobu pro dozorové úřady a subjekty údajů (fyzické osoby, které se domáhají v rámci GDPR svých práv), jehož úkolem je poskytovat celé organizaci kvalitní podporu, poradenství, v rámci odpovědnosti správce či zpracovatele za zpracování osobních údajů v souladu s Nařízením.
Více o Pověřenci najdete zde.
Sankce
Velkého zpřísnění doznaly také sankce, které v případě porušení práv subjektů a nařízení GDPR budou firmám ukládány a to až do výše 20 000 000 EUR nebo až 4% z celosvětového obratu.
Pseudonymizace a profilování
Novým pojmem, které GDPR zavádí je pseudonymizace. Jedná se o takový způsob zpracování osobních údajů, které již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné osobě.
Profilování je pak jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.
Kdo je WP29?
Pracovní skupina pro ochranu údajů (WP29) - je nezávislý poradní orgán Evropské komise a Úřad pro ochranu osobních údajů (ÚOOÚ) je jeho členem. Stanoviska a další dokumenty vypracované skupinou WP29 jsou dostupné na stránkách ÚOOÚ a upřesňují požadavky na ochranu osobních údajů stanovené právem EU ve snaze o jednotnou interpretaci tohoto nařízení nebo případně reaguje na chystaná opatření a přípravu nových dokumentů.