Ochrana osobních údajů dle GDPR

Zpracování osobních údajů

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako jsou shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Zásady zpracování osobních údajů

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem. Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely, a k jinému účelu jen, dal-li k tomu subjekt údajů souhlas. Bez tohoto souhlasu je může zpracovávat pouze v konkrétně stanovených případech (např. zpracování osobních údajů výlučně pro účely archivnictví). Souhlasem subjektu údajů se dle článku 4 odst. 1 bodu 11 GDPR rozumí svobodný, vědomý, jednoznačný, konkrétní a informovaný projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

Byť se obsah pojmu svobodný projev vůle může zdát jednoznačným, skýtá mnohá úskalí. Abychom mohli projev vůle označit za svobodný, nesmí subjektu v případě udělení nesouhlasu hrozit újma. Takovou újmou rozumíme i případy, kdy je poskytnutí určité služby podmíněno udělením souhlasu ve smyslu principu „take it or leave it“, tj. „ber nebo nech být“. Neplatnost souhlasu je presumována rovněž u souhlasů v rámci všeobecných obchodních podmínek, kdy subjekt postrádá možnost volby, nebo jedná-li se o souhlas udělený slabší smluvní stranou.

Souhlas musí mít formu zjevného potvrzení. Tento pojem je ale třeba odlišit od výslovného souhlasu. Zjevné potvrzení nemusí mít podobu výslovného souhlasu. Postačí, když je souhlas udělen konkludentním jednáním, z něhož vyplývá úmysl tento souhlas udělit. Výjimku představují citlivé osobní údaje, pro jejichž zpracování zůstal požadavek výslovného souhlasu zachován.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci, na jaké období a pro jaký účel. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených zákonem.

Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

Osobní údaje dále nesmějí být zpracovávány způsobem, který je s ohledem na účel zpracování neslučitelný. Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se nevylučuje. Osobní údaje dále musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

Důraz je kladen také na přesnost těchto údajů. V případě nepřesnosti či neúplnosti osobních údajů musí být přijata veškerá rozumná opatření směřující k jejich výmazu nebo opravě.

Ukládání osobních údajů umožňujících identifikaci subjektu údajů je možné pouze na dobu nezbytnou vzhledem k účelu jejich zpracování. Po delší dobu mohou být uloženy pouze pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 GDPR, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů.

Ke zpracování osobních údajů má být užito výhradně způsobů, které zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Za dodržování výše uvedených zásad nese odpovědnost správce, který musí být schopný dodržení těchto zásad doložit.

Notná míra obezřetnosti je na místě také při dalším zpracovávání údajů zveřejňovaných ve veřejných rejstřících a na sociálních sítích. Takové údaje správce či zpracovatel nemůže použít bez dalšího. Nejprve je třeba zohlednit účel, k jakému byly tyto údaje poskytnuty a zhodnotit jej s účelem dalšího zpracování těchto údajů. Pokud jsou tyto účely slučitelné, je možné údaje dále zpracovat, je-li dodržen požadavek oprávněného zájmu správce.

Z bodu 47 Preambule GDPR se dozvíme, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“. Z toho vyplývá, že na základě oprávněného zájmu je možné, a to i bez souhlasu subjektu údajů provádět zpracování osobních údajů za účelem přímého marketingu vlastních výrobků a služeb.

Oprávněný zájem správce lze spatřovat v případě, že subjekt údajů může v momentě a v souvislosti se shromažďováním osobních údajů důvodně očekávat, že ke zpracování pro tento jiný účel může dojít. Oprávněný zájem správce je ale třeba porovnat s možnými důsledky pro subjekty údajů, jakož i s jejich legitimním očekáváním. Nakonec je právě odpovědností správce prokázat existenci a oprávněnost jeho zájmu před Úřadem pro ochranu osobních údajů.

Dalším častým nešvarem zneužívání osobních údajů, je užívání databáze kontaktů poskytnuté třetí stranou. V tomto případě je GDPR nekompromisní a požaduje jednoznačnou průkaznost udělení platného souhlasu subjektem údajů a jejich informování o zpracování údajů správcem novým.

GDPR ponechává možnost správce údaje uzavřít smlouvu o zpracování osobních údajů s dalším subjektem – zpracovatelem. Článek 28 GDPR stanoví požadavky, které jsou na zpracovatele kladeny. Tyto požadavky jsou ve srovnání s předchozí právní úpravou přísnější. Zpracovatel musí poskytnout správci dostatečné záruky, že za účelem ochrany práv subjektu údajů zavede vhodná technická a organizační opatření v souladu s GDPR.

Přísnější požadavky jsou rovněž kladeny na samotnou smlouvu o zpracování osobních údajů. Ta musí být písemná, musí stanovovat předmět a dobu trvání zpracování, jeho povahu a účel, typ a kategorii osobních údajů. Smlouva by měla zavazovat zpracovatele ke splnění podmínek stanovených v článku 28 odst. 3 písm. a) až h) GDPR.

V zájmu zajištění práv subjektu údajů GDPR přináší některým správcům také nové povinnosti. Jedná se zejména o případy, kdy zpracování osobních údajů a porušení jejich zabezpečení představuje pro fyzické osoby nadměrné riziko. Mezi tyto povinnosti patří:

  • záznamy o činnostech zpracování;
  • jmenování pověřence pro ochranu osobních údajů,
  • posouzení vlivu na ochranu osobních údajů;
  • předchozí konzultace s dozorovým úřadem.

Pověřenec pro ochranu osobních údajů (DPO)

Povinnost jmenovat pověřence pro ochranu osobních údajů se netýká všech správců a zpracovatelů, nýbrž jen těch, kteří provádějí pouze určité druhy zpracování vyčtená v čl. 37 odst. 1 GDPR a to v případě, kdy:

  • zpracování provádí orgán veřejné moci nebo veřejný subjekt, s výjimkou soudů jednajících v rámci soudní pravomoci;
  • hlavní činnost správce nebo zpracovatele spočívá v operacích, které kvůli své povaze, rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • hlavní činnost správce nebo zpracovatele spočívá v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Hlavním úkolem pověřence je poskytování informací a poradenství správcům a zpracovatelům, včetně jejich zaměstnanců. Dále monitoruje, zda je způsob a postup zpracování osobních údajů v souladu s nařízením a dalšími předpisy. Pokud jde o posouzení vlivu na ochranu osobních údajů, může pověřenec poskytnout poradenské služby také na vyžádání. Vypracovává rovněž záznamy o činnostech zpracování. Působí také jako kontaktní místo ÚOOÚ a spolupracuje s ním.

Práva subjektu údajů

Subjekt údajů musí být předně včas a řádně informován o tom, že jsou o něm vůbec údaje shromažďovány, v jakém rozsahu, pro jaký účel, kdo je správcem, jaké jsou oprávněné zájmy správce, kdo je příjemcem osobních údajů apod. Taxativní výčet informací nalezneme v článku 13 a 14 GDPR. Subjekt musí tedy informaci dostat natolik včas a v takové podobě, aby mohl účinně hájit svá práva.

Dále musí být poučen o tom, je-li podle zákona povinen údaje poskytovat a v případě, kdy je poskytnutí osobních údajů povinné, je správce povinen poučit jej o následcích odmítnutí poskytnutí osobních údajů. Správce je dále povinen informovat subjekt údajů o právu na přístup k osobním údajům a možnosti chránit svoje práva, pro případ, že správce či zpracovatel poruší povinnosti stanovené zákonem.

GDPR přichází také se dvěma zásadními právy subjektu údajů, kterými je právo na výmaz („být zapomenut“) a zbrusu nové právo na přenositelnost. Význam prvého z výše uvedených je nasnadě a představuje povinnost správce zlikvidovat osobní údaje, je-li splněna alespoň jedna z podmínek v GDPR. Právo na přenositelnost znamená možnost získat osobní údaje v určitém standardizovaném formátu a jejich předání správci jinému.

Výše uvedené informace a poučení nemusí správce poskytovat například, pokud zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady, nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem.

Ochrana práv subjektů údajů

Další skupina povinností se vztahuje k zajištění bezpečnosti osobních údajů. Všichni správci a zpracovatelé musí přijmout opatření, aby nemohlo dojít k náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněnému přístupu k nim. Tato povinnost stíhá všechny správce a trvá i po skončení zpracování.

Zaměstnanci správce a zpracovatele, jakož i jiné osoby zpracovávající osobní údaje na základě smlouvy se správcem nebo zpracovatelem, tak mohou činit jen v rozsahu a za podmínek, které jsou správcem (zpracovatelem) stanoveny.

Tyto osoby, jakož i další subjekty, které přicházejí do styku s osobními údaji v rámci plnění zákonem stanovených oprávnění a povinností musí zachovávat mlčenlivost jednak o osobních údajích, jednak o bezpečnostních opatřeních, pokud by jejich zveřejnění ohrozilo zabezpečení osobních údajů. Kromě toho je ovšem stíhá i povinnost podle zvláštních zákonů (např. § 21 zákona o advokacii). Uvedená povinnost však neplatí tam, kde je uložena informační povinnost, např. podle trestního zákoníku.

• Oblasti podnikání: Právo, právní služby | Služby
• Teritorium: Česká republika