Ochrana osobních údajů dle GDPR

GDPR

Základním právním předpisem upravujícím ochranu osobních údajů je již několikrát zmíněné Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, kterým se ruší směrnice 95/46/ES (dále jen jako „GDPR“).

V České republice tak od 25. května 2018 nahradilo zákon č. 101/2000 Sb., o ochraně osobních údajů. Výjimečnost nařízení spočívá především v jeho přímé použitelnosti. Co se právních definic a základních zásad týče, jejich význam byl ponechán ve více či méně nezměněné podobě.

Nařízení však přísněji přistupuje ke způsobům nakládání a zpracování osobních údajů, a to zejména ve vztahu k velkým správcům jakými jsou např. banky, jejichž velikost spočívá v rozsahu zpracovávaných osobních údajů a rizikům, která představují pro práva fyzických osob, o jejichž údaje se jedná.

GDPR vymezuje základní pojmy a působnost při zpracování osobních údajů, práva a povinnosti při zpracování osobních údajů, povinnosti osob, postup při likvidaci osobních údajů, způsoby ochrany práv subjektů údajů ale také předávání osobních údajů do jiných států. Obsah pojmu zpracování je totožný jako v zákoně č. 101/2000 Sb., o ochraně osobních údajů.

Působnost nařízení o ochraně osobních údajů

Co je vyloučeno z působnosti GDPR nalezneme v jeho čl. 2 odst. 2 písm. c). Jedná se o zpracování osobních údajů prováděné:

  • při výkonu činností, které nespadají do oblasti působnosti práva Unie;
  • členskými státy při výkonu činností, které spadají do oblasti společné zahraniční a bezpečnosti politiky;
  • fyzickou osobou v průběhu výlučně osobních či domácích činností;
  • příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Poslední z výše zmíněných je upraveno Směrnicí Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Za účelem provedení této směrnice byl přijat výše zmíněný zákon č. 110/2019 Sb., o zpracování osobních údajů.

Zákon č. 110/2019 Sb., o zpracování osobních údajů upravuje vedle zpracování osobních údajů dle obecného nařízení dále zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech, zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky, další zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a postavení a pravomoc Úřadu pro ochranu osobních údajů.

GDPR se nevztahuje ani na ochranu zesnulých osob. Právní úprava ochrany osobních údajů zesnulých osob je ponechána v působnosti členských států.

Definice osobních údajů a dalších pojmů

Definice osobního údaje a subjektu údaje jsou dle GDPR defacto stejné jako v zákoně č. 110/2000 Sb., o ochraně osobních údajů. Osobním údajem se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“).

Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud fyzická osoba může být přímo ze shromážděných údajů nebo na jejich základě jiným způsobem identifikována, jedná se o osobní údaje, přičemž jejich znakem je, že vypovídají o subjektu údajů, který nelze zaměnit s jiným subjektem údajů.

Základním kritériem pro posouzení, zda se jedná o osobní údaj či nikoliv, je okolnost zjištění identity subjektu údajů (určenost nebo určitelnost). Vychází se ze skutečnosti, zda správce může vytvořit přímou vazbu mezi údajem a fyzickou osobou.

Při posuzování možnosti identifikovat fyzickou osobu se nelze dívat omezeným pohledem (např. na obsah zpracovávaných dat v konkrétním zpracování). Je nutno vycházet ze všech možností správce odlišit od sebe jednotlivé fyzické osoby. Pokud jde např. o správce, který má zjevně v držení soubor identifikující subjekty údajů, nemůže být žádný jiný soubor, umožňující propojení na soubor s identifikátory subjektů údajů, považován za anonymní, a to ani v případech, když by zpracovávaný soubor přímou identifikaci subjektu údajů neobsahoval.

Výše uvedené pravidlo platí i o možnosti správce získat identifikátor ze souborů, které nejsou v jeho držení – např. z veřejných registrů, od zpracovatele, s nímž má uzavřenu smlouvu apod. V těchto případech se jedná o nepřímou možnost zjistit identifikaci subjektu údajů (nepřímá identifikace) a není rozhodující, zda této možnosti správce má v úmyslu využít či nikoliv.

Rozhodující není ani to, že správce nesmí sdružovat osobní údaje shromážděné pro rozdílné účely. Rozhodující je v tomto případě skutečnost, že správce identifikaci osob „vlastní“ nebo ji může bez vynaložení neúměrného úsilí získat.

Dále GDPR definuje další významné pojmy:

  • zpracování údajů, jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako jsou shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
  • pseudonymizace, zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
  • zpracovatel, fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  • správce, fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
  • profilování, jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

• Oblasti podnikání: Právo, právní služby | Služby
• Teritorium: Česká republika