Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
GDPR
- Obecné nařízení o ochraně osobních údajů.
Nařízení stanovuje pravidla pro zpracování a volný pohyb osobních údajů
fyzických osob v EU.
OSOBNÍ ÚDAJ
- Jakýkoliv údaj, který se týká přímo či
nepřímo identifikovatelné osoby. Nejedná se tedy pouze o údaje, na základě
kterých je možné člověka identifikovat, ale o veškeré údaje, které se této
osoby týkají (včetně IP adres či obrázků obličejů). Nehraje zde roli nepravdivost
či pravdivost informací, ani forma uchování.
SUBJEKT ÚDAJŮ
- Každá fyzická osoba, k níž se vztahují
osobní údaje. Jedná se nejen o občany EU, ale také o všechny osoby, které
se v prostoru EU nacházejí či pohybují.
SPRÁVCE
- Jak fyzická, tak právnická osoba, která
provádí zpracování osobních údajů a je za toto zpracování plně odpovědná
(a to i v případě, že pro ni data zpracovává někdo jiný). Plnou
odpovědnost za zpracování a nakládání s osobními údaji má vždy správce.
Správce dále určuje účely a prostředky zpracování.
ZPRACOVATEL
- Jakýkoliv subjekt (tedy FO i PO), který
nějakým způsobem zpracovává a nakládá s daty subjektu údajů místo správce
nebo pro správce.
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
- Jakákoliv činnost nebo
soubor činností, které jsou s osobními daty prováděny za určitým cílem,
bez ohledu na způsob zpracování (může se tak jednat například o
shromažďování údajů, jejich ukládání či přenos na určité nosiče, jejich
úprava, vyhledávání, používání, zveřejňování, blokování a další).
PRÁVNÍ TITUL
- Právní důvod pro zpracování osobních
údajů. Nařízení stanovuje celkem 6 druhů právních titulů ke zpracování
osobních údajů - souhlas subjektu údajů, plnění smlouvy, plnění právní
povinnosti stanovené zákonem, oprávněný zájem správce, veřejný zájem,
životně důležitý zájem.
DPO
– Označován také jako Pověřenec pro ochranu
osobních údajů bude plnit úlohu takzvaného revizora ochrany osobních
údajů. Jeho úkolem bude dbát na dodržování Nařízení a být kontaktní osobou
jak pro subjekty osobních údajů (ty zejména), ale také pro dozorový úřad -
ÚOOÚ. Na prvním místě by pro něj měl být zájem subjektů údajů před zájmy
samotného správce osobních údajů.
PORUŠENÍ ZABEZPEČENÍ/ÚNIK DAT
- Jakékoliv porušení
zabezpečení osobních údajů, které vede k náhodnému nebo protiprávnímu
zpracování, uložení, přenosu, zpřístupnění, zničení, ztrátě, změně nebo
poskytnutí osobních údajů subjektu. K úniku může dojít zvenku, například
kybernetickým útokem nebo zevnitř, a to úmyslně - zaměstnanec neoprávněně
poskytne osobní údaje subjektu třetí straně, nebo z nedbalosti - z důvodu
nedostatečného zabezpečení dojde ke smazání dat.
OMEZENÍ ZPRACOVÁNÍ
- V určitých případech má
subjekt údajů právo na to, aby správce omezil zpracování jeho osobních
údajů do budoucna. Nejedná se nezbytně o úplnou blokaci údajů, tedy zásah,
který by zabránil jakémukoliv zpracování osobních údajů.
PROFILOVÁNÍ
- Automatizované zpracování osobních údajů,
na základě kterých se dají zjistit preference, vlastnosti či potřeby
subjektu údajů a odhadnout i jeho chování v budoucnu.
PSEUDONYMIZACE
- Takzvaný proces skrytí identity, neboli
zpracování osobních údajů na základě kterého nelze již konkrétnímu
subjektu údajů přiřadit konkrétní informace bez použití dodatečných
informací. Dodatečné informace musí být uchovávány odděleně a vztahují se
na ně konkrétní organizační a technická opatření.
EVIDENCE
- Jakýkoliv strukturovaný seznam či soubor
osobních údajů, který je přístupný jen při splnění určitých kritérií.
PŘÍJEMCE
- Jakýkoliv subjekt (FO, PO, veřejný orgán
a další), kterému jsou poskytnuta osobní data subjektu údajů. Příjemcem
tedy může být jak subjekt údajů, správce či zpracovatel nebo dokonce i
další osoba, která podléhá správci či zpracovateli. Ze svého postavení
může příjemce osobní údaje jen obdržet, nejsou to však již orgány, které
mohou něco vyšetřovat (z praxe můžeme říci, že půjde například o celní či
daňové orgány).
TŘETÍ STRANA
- Jakýkoliv subjekt, který má přístup k
osobním údajům subjektu údajů a má oprávnění k jejich zpracování a není
správcem, zpracovatelem, ani osobou podléhající správci či zpracovateli.
CITLIVÉ ÚDAJE
(tzv. údaje zvláštní kategorie) -
Vypovídají o rasovém či etnickém původu, politických názorech, náboženském
vyznání či filozofickém přesvědčení nebo členství v odborech, dále se
jedná také zpracování genetických a biometrických údajů za účelem
jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o
sexuálním životě nebo sexuální orientaci fyzické osoby (zejména údaje o
zdravotním stavu, a to jak v oblasti fyzické, tak v oblasti mentální).
GENETICKÝ ÚDAJ
- Biologický vzorek člověka (sliny, vlasy a
další) zobrazený skrze analýzu, ukazující jedinečné informace o fyziologii
či zdraví člověka a jeho zděděných genetických znacích.
BIOMETRICKÝ ÚDAJ
- Například zobrazení
obličeje, rukopis, hlas nebo otisky prstů. Jedná se o technicky zpracované
fyzické či fyziologické znaky osoby, které mají za cíl její identifikaci.
ÚDAJ O ZDRAVOTNÍM STAVU
- Veškeré informace o
zdravotním stavu fyzické osoby. Do této kategorie budou spadat všechny
lékařské záznamy, jako karty pacientů, údaje zdravotních pojišťoven,
recepty, ale také například údaje získané skrze mobilní aplikaci, která
sleduje a popřípadě i vyhodnocuje údaje jako hladina cukru, podoba
stravování, krevní tlak nebo kondice.
HLAVNÍ PROVOZOVNA
- Pokud má správce údajů
více provozoven, hlavní provozovnou je místo jeho ústřední správy v EU
nebo provozovna, kde dochází k přijímání rozhodnutí o zpracování.
ZÁSTUPCE
- Jakákoliv fyzická nebo právnická osoba,
která je písemně určena k tomu, aby zastupovala správce nebo zpracovatele
v jeho činnostech.
ZÁVAZNÁ PODNIKOVÁ PRAVIDLA
- Koncepce ochrany
osobních údajů, která je prosazována správcem či zpracovatelem ve všech
podnicích se stejnou hospodářskou činností, ve kterých dochází ke
zpracování dat.
DOZOROVÝ ÚŘAD
- Nezávislý orgán veřejné moci, který
kontroluje uplatňování tohoto Nařízení. V České republice jím bude Úřad
pro ochranu osobních údajů (ÚOOÚ).
ANALÝZA
- Úvodní právně-procesně-technická analýza
související s aplikací nařízení GDPR, viz výše.
AUTORSKÉ DÍLO
- Dílo ve smyslu § 2 Autorského zákona -
Zejména, jakékoliv výstupy Poskytovatele anebo Poddodavatele vytvořené na
základě anebo v souvislosti s objednávkou služeb anebo plněním smlouvy s
Objednatelem.
AUTORSKÝ ZÁKON
- Zákon č. 121/2000 Sb., o právu autorském,
o právech souvisejících s právem autorským a o změně některých zákonů
(autorský zákon), ve znění pozdějších předpisů.
OBJEDNATEL
- Význam uvedený v záhlaví této Analýzy.
PODDODAVATEL
- Třetí osoba realizující poddodávky pro
Poskytovatele, jejichž prostřednictvím Poskytovatel poskytuje některé
Služby.
REALIZAČNÍ TÝM
- Osoby uvedené rámci Analýzy,
prostřednictvím nichž objednatel provádí úkony Analýzy.
SLUŽBY
- Znamenají souhrnně Služby Analýzy.
SLUŽBY ANALÝZY
- Znamenají služby poskytované Objednateli
Poskytovatelem v rámci Analýzy, například Přípravná fáze, Datová mapa,
případně Gap analýza či Dopadová studie.
SLUŽBY NA OBJEDNÁVKU
- Znamenají služby
poskytované Objednateli na případnou objednávku Poskytovatelem, tedy
například konzultace vhodných řešení, připomínkování a kontrola zvolených
řešení, připomínkování a kontrola zvolených řešení ve vztahu k IT a datové
mapě.
DŮVĚRNÉ INFORMACE
- Mají význam jako
veškeré informace, které se Objednavatel dozvěděl v rámci této Analýzy,
jsou to také informace, které jinak vyplynou z plnění Analýzy.
ZNEUŽITÍ OSOBNÍCH ÚDAJŮ - Zneužitím osobních údajů je
například únik nebo nezákonné užití osobních údajů.
Osobním údajem
se tedy rozumí jakákoliv informace, na jejímž základě lze člověka
jako subjekt údajů přímo či nepřímo identifikovat. Je tedy třeba si uvědomit,
že může jít v podstatě o jakýkoli údaj související s konkrétním
identifikovatelným člověkem, typicky pak může jít např. o jméno a příjmení
(včetně jejich použití, např. při tvorbě emailové adresy), datum narození, bydliště,
ale může se jednat také o fotografii, nahrávku z kamerového systému apod. a
také jejich kombinace.
Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem
prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba
použijí pro přímou či nepřímou identifikaci daného jedince. Pro zajímavost nad
rámec výše uvedeného uvádíme, že podle judikatury Evropského soudního dvora je
osobním údajem i IP adresa (ze které někdo např. přistupuje na web), protože ji
mohou ke ztotožnění konkrétního člověka využít orgány činné v trestním řízení.
Lze tedy uzavřít, že okruh údajů, prostřednictvím nichž lze identifikovat
člověka, je velice široký.
Úprava ochrany
osobních údajů se nevztahuje na anonymní informace, tedy na informace,
které se netýkají identifikované či identifikovatelné fyzické osoby, ani na
osobní údaje anonymizované tak, že daná osoba není nebo již přestala být
identifikovatelná.
Tzv. pseudonymizace, kterou může představovat například přidělení
číselných kódů jednotlivým uchazečům či klientům, na základě kterých nebude
možné konkrétního uchazeče či klienta bez dalších informací identifikovat
(identifikace bude možná pouze spojením dokumentu, který obsahuje kód a jméno
zároveň, jímž disponuje pouze uchazeč či klient).
Speciální pozornost
je pak třeba věnovat tzv. zvláštní kategorii
osobních údajů („citlivé údaje“). Zpracování citlivých osobních údajů (patří
sem biometrické údaje - výška či váha, genetické údaje - DNA, údaje
vypovídající o rase nebo etnickém původu, filozofickém přesvědčení, náboženském
vyznání, politických názorech, členství v odborech či organizacích, zdravotním
stavu nebo i sexuální orientaci) je dle GDPR obecně zakázáno a zpracovávat
citlivé osobní údaje je možné jen v přesně stanovených případech.
Těmi jsou:
Subjekt údajů sám tyto citlivé údaje zveřejnil.
Zpracování se provádí v rámci oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiných neziskových subjektů, které sledují politické, filozofické, náboženské nebo odborové cíle. Takovéto zpracování se musí vztahovat pouze na současné nebo bývalé členy subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli (výzkumy, statistiky nebo analýzy o členské základně).
Zpracování se provádí v rámci oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, například předávání citlivých osobních údajů zaměstnanců zdravotní pojišťovně nebo správě sociálního zabezpečení.
Zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce.
Subjekt údajů udělil výslovný souhlas se zpracováním těchto citlivých údajů pro jeden nebo více stanovených účelů.
Zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, například hromadné neštěstí.
Zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo pokud soudy jednají v rámci svých soudních pravomocí - například zpracování citlivých údajů pojišťovnou v rámci řešení pojistného plnění.
Zpracování je nezbytné z důvodu významného veřejného zájmu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.
V praxi se můžeme setkat zejména s těmi citlivými údaji, které souvisejí se
zdravotním stavem (např. nemoc nebo zdravotní postižení), náboženským vyznáním,
sociální situací či s etnickým původem. K osobním údajům z této zvláštní kategorie
je pak třeba přistupovat specificky.
Je třeba dbát na minimalizaci rizika zneužití citlivých údajů, které může mít
na život jedince mimořádně nepříznivý dopad (např. v podobě diskriminace
apod.). Obecně lze k tomuto uvést, že se s ohledem na rizika doporučuje,
citlivé osobní údaje zpracovávat pouze v minimální možné míře.
Zpracovatel
Pokud má být zpracování provedeno pro správce, využije správce pouze ty
zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a
organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a
aby byla zajištěna ochrana práv subjektu údajů.
Zpracování zpracovatelem
se řídí smlouvou o zpracování,
která zavazuje zpracovatele vůči správci a v je v ní stanoven předmět a doba
trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie
subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt
zejména stanoví, že zpracovatel:
Zpracovává osobní údaje pouze na základě
doložených pokynů správce, včetně předání osobních údajů do třetí země
nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají
právo. V takovém případě zpracovatel správce informuje o tomto právním
požadavku před zpracováním, ledaže by tyto právní předpisy toto
informování zakazovaly z důležitých důvodů veřejného zájmu.
Zajišťuje, aby se osoby oprávněné zpracovávat
osobní údaje zavázaly k mlčenlivosti
Přijme všechna přiměřená opatření.
Dodržuje podmínky pro zapojení dalšího
zpracovatele.
Zohledňuje povahu zpracování, je správci
nápomocen prostřednictvím vhodných technických a organizačních opatření.
Pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o
výkon práv subjektu údajů.
Smlouva
musí obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování,
typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a
samozřejmě též povinnosti zpracovatele. Dále zejména
musí poskytovat správci informace potřebné k doložení toho, že byly
splněny příslušné povinnosti a umožnit správci provádět audity či inspekce. Pokud stávající smlouvy nejsou v souladu s nařízením, je nutné je včas
revidovat, případně vypovědět.
Smlouva musí obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování,
typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a
samozřejmě též povinnosti zpracovatele.
Dále zejména musí poskytovat správci informace potřebné k doložení toho, že byly
splněny příslušné povinnosti a umožnit správci provádět audity či inspekce.
Pokud stávající smlouvy nejsou v souladu s nařízením, je nutné je včas
revidovat, případně vypovědět.