Přeskočit na obsah

Obecné nařízení o ochraně osobních údajů

Z Wikipedie, otevřené encyklopedie
Obecné nařízení o ochraně osobních údajů / Nařízení GDPR
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
Předpis státu
Evropská unieEvropská unie Evropská unie
Druh předpisuNařízení
Číslo předpisu2016/679/EU
Obvyklá zkratkaGDPR
Údaje
AutorEvropský parlament, Evropská rada
Schváleno27. dubna 2016
Účinnost25. května 2018
Související předpisy
Zákon o zpracování osobních údajů
Oblast úpravy
správní právo

Obecné nařízení o ochraně osobních údajů, zkráceně ONOOÚ (anglicky GDPR, General Data Protection Regulation), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.[1]

Předmět a cíle

[editovat | editovat zdroj]

ONOOÚ stanovuje pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.

Věcná působnost

[editovat | editovat zdroj]

Nařízení se vztahuje na automatizované zpracování osobních údajů i na neautomatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být zařazeny do evidence. Nařízení se nevztahuje na zpracování osobních údajů prováděné:

  • při výkonu činností, které nespadají do oblasti působnosti práva Unie;
  • členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
  • fyzickou osobou v průběhu výlučně osobních či domácích činností;
  • příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Zpracování osobních údajů orgány, institucemi a jinými subjekty Unie je upraveno mimo jiné nařízením (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98. Nařízením není dotčeno uplatňování směrnice 2000/31/ES.

Osobní údaje

[editovat | editovat zdroj]

Nařízení zpřesňuje a rozšiřuje okruh a definici osobních údajů. Osobní údaje jsou jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem proto nejsou např. údaje o právnické osobě (o jejích zaměstnancích už ale ano), údaje o osobách zemřelých, nejsou to údaje, které konkrétní osobu neztotožňují (např. pouhé běžné jméno a příjmení) a mezi osobní údaje nepatří údaje anonymizované, tedy takové, které původně možnost identifikace osoby obsahovaly, ale takový identifikátor z nich byl odstraněn.[2] Už směrnice (č. 95/46/ES, předcházející nařízení) naopak mezi osobní údaje zařadila i dynamické IP adresy či jiné virtuální identifikátory.[3] Osobním údajem může být např. i způsob vystupování advokáta v soudním řízení.[4][5]

Důvodů ke zpracování osobních údajů může být několik. Jinak je se zpracováním osobních údajů třeba vyslovit souhlas. GDPR zakotvuje více titulů ke zpracování osobních údajů, které před tímto souhlasem (případným nesouhlasem) mají přednost.[6] Jedná se například o právní povinnosti, ale i o oprávněný zájem (čl. 6 odst. 1 písm. f).

Oprávněný zájem jako důvod zpracování osobních údajů se používá v případech ochrany zdraví a majetku, vč. sledování zaměstnanců pro účely bezpečnosti a řízení, zamezení podvodům, nebo zabezpečení IT systémů. Oprávněný zájem může být důvodem zpracování i pro přímý marketing (zasílání newsletterů).[7]

Při zpracování osobních údajů na základě oprávněného zájmu je nutné provést balanční test neboli test proporcionality.[8] Test (dokument) by měl obsahovat odpovědi na otázky typu:

  • jaký je vztah mezi správcem a subjektem údajů,
  • je rozumným očekáváním subjektu údajů, že jeho osobní údaje budou užity zamýšleným způsobem,
  • jaký vliv má na subjekty údajů zpracování údajů zamýšleným způsobem,
  • lze zavést dostatečné záruky, aby se minimalizoval vliv na subjekty údajů,
  • jsou zpracovávány zvláštní kategorie údajů ve smyslu čl. 9 GDPR, údaje dětí, či údaje zvláště citlivé?

Pouze na základě vyhodnocení takového testu může správce dospět k závěru, zda nemají před jeho zájmy přednost zájmy subjektů údajů a tedy, zdali vůbec může osobní údaje na základě oprávněného zájmu zpracovávat.

Závaznost

[editovat | editovat zdroj]

Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech. Facebook a Google jsou první, kteří čelí žalobě z porušování nařízení.[9] Studie ukazuje, že dané společnosti nadále omezují práva uživatelů.[10] I pět let po zavedení GDPR většina nejnovějších webů regulaci nesplňuje.[11]

Nařízení definuje zásady zpracování osobních údajů a podmínky zákonnosti jejich zpracování. Upravuje také podmínky vyjádření poskytnutého souhlasu se zpracováním údajů a poskytování informací a přístupu k osobním údajům.

Vybraná práva subjektu údajů

[editovat | editovat zdroj]

Mimo dalších, má subjekt údajů následující práva:

  • na opravu
  • na výmaz (tzv. právo být zapomenut)
  • na omezení zpracování

Vybrané povinnosti správce osobních údajů

[editovat | editovat zdroj]

Ohlašovací povinnost správce vůči dozorovému úřadu (čl. 33 GDPR)

[editovat | editovat zdroj]

Správce má podle čl. 33 odst. 1 GDPR povinnost ohlásit jakékoliv porušení zabezpečení osobních údajů dozorovému úřadu (v ČR Úřadu pro ochranu osobních údajů), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl (Pokud není ohlášení učiněno do 72 hodin, ale až později, musí být současně s ním uvedeny důvody zpoždění.). Správce tak nemusí učinit, jen pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (např. v případě používání pseudonymizace či šifrování, které v některých případech mohou riziko pro práva a svobody fyzických osob zcela eliminovat).[12]

Ohlášení porušení zabezpečení osobních údajů musí podle čl. 33 odst. 3 GDPR přinejmenším obsahovat:

  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
  • popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Úřad pro ochranu osobních údajů zveřejnil formulář Archivováno 10. 7. 2020 na Wayback Machine., který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu.[13]

Oznamovací povinnost správce vůči subjektům údajů (čl. 34 GDPR)

[editovat | editovat zdroj]

Pokud je pravděpodobné, že konkrétní případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce musí podle čl. 34 GDPR toto porušení bez zbytečného odkladu oznámit i přímo subjektům údajů. V oznámení určeném subjektu údajů musí správce podle čl. 34 odst. 2 GDPR popsat povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším:

  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
  • popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Všechny výše uvedené informace je nutné vysvětlit tak, aby byly pro subjekt údajů pochopitelné (tedy za použití jasných a jednoduchých jazykových prostředků). Vhodné zároveň je subjekty údajů poučit i o způsobu, jak mohou samy následky porušení zabezpečení osobních údajů minimalizovat (např. pokud unikla databáze přihlašovacích jmen a hesel, tak je žádoucí subjekty údajů poučit o tom, že by si měly heslo co nejrychleji změnit).[14]

Správce nemusí podle čl. 34 odst. 3 GDPR oznámit porušení zabezpečení osobních údajů subjektům údajů v případě, že je splněna kterákoli z těchto podmínek:

  • správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování,
  • správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,
  • vyžadovalo by to nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

GDPR v Česku

[editovat | editovat zdroj]

Podle zjištění Hospodářské komory nebyla ještě koncem roku 2017 připravenost podnikatelů na GDPR vysoká,[15] někteří o nové povinnosti v oblasti ochrany osobních údajů nejspíše ani nevěděli.[15] Zavedení GDPR by u živnostníků nemělo trvat déle než měsíc.[15]

Pro školy zavedení GDPR znamená mít dobře udělený souhlas, protože pokud někteří rodiče souhlas nedají, omezí se tím možnost prezentace školy, bude nutné používat začerňování a některé třídy nebudou moci být prezentovány vůbec.[16] Souhlas rodičů by mohlo být nutné vyžadovat například v situacích, kdy dítě vyhraje matematickou soutěž a nechá se fotografovat, souhlas zákonného zástupce se zveřejněním výsledků soutěže a fotografií výherce.[16] Ochrana osobních údajů ve školách se netýká pouze jmen dětí, ale týká se i jmen jejich rodičů.[16] Pokuta za porušení GDPR zohledňuje instituci, která jej porušila.[17]

Zákon o zpracování osobních údajů umožňuje udělit souhlas se zpracováním údajů bez souhlasů rodičů dětem od 15 let.[18] Původní předloha počítala s hranicí 13 let, ale z iniciativy Úřadu pro ochranu osobních údajů byla zvýšena.[18] Odbory a zaměstnavatelské svazy požadovaly hranici 16 let.[18]

Ochranu osobních údajů v nemocnicích, školách a obcích by měl hlídat speciální pověřenec.[19] Ještě koncem září 2017 obcím, úřadům a firmám nebylo jasné, jak bude práce pověřence vypadat, jestli jich bude k dispozici dostatek, kolik budou stát a kde na ně vezmou peníze.[19]

Konzervativní odhad nákladů na provoz pověřenců je 600 milionů korun, další náklady bude potřeba vynaložit na vstupní analýzy, nové počítače pro pověřence a programové vybavení.[19] Protože hrozí nedostatek kvalifikovaných odborníků, je možné využít toho, že jeden specialista může pracovat pro více radnic, ovšem je možné, že větší obce si s jedním pověřencem nevystačí a budou jich potřebovat více.[19] Ministerstvo vnitra doporučilo, aby jeden pověřenec pracoval nejvýše pro deset obcí.[19]

OVM pokuty neplatí

[editovat | editovat zdroj]

Orgánu veřejné moci a veřejnému subjektu nemůže být uložen správní trest, ačkoliv došlo k porušení zákona. Je to dáno § 62 odst. 5 zákona č. 110/2019 Sb.[20], který uvádí:

Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

A v tomto článku 83 odst. 7 se uvádí, že:

...každý členský stát může stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům.

Takto například ÚOOÚ v roce 2019 nemohl udělit pokutu Ministerstvu vnitra, přestože to umožnilo celkem 88 000 neoprávněných přístupů k údajům v registru obyvatel.[21]

Legislativa

[editovat | editovat zdroj]

GDPR v Česku upřesňuje Zákon o zpracování osobních údajů. ÚOOÚ dále zmapoval oblasti, kde právní předpisy regulují zpracování osobních údajů podle článku 6 odst. 1 GDPR:[22]

  • Elektronická veřejná správa, územní samospráva a doklady
  • Fotografie ve veřejnoprávních rejstřících
  • Identifikace včetně rodného čísla
  • Elektronická komunikace a telekomunikace
  • Kamerové systémy
  • Veřejnoprávní rejstříky
  • Armáda, policie, trestní řízení a zpravodajské služby

Kromě toho existují sektorové metodiky pro bankovnictví, školství, veřejné zakázky, zdravotnictví a podobně.[23]

  1. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 pdf, html
  2. ŠALAMON, Tomáš. Připravte se na GDPR - Osobní údaje jsou všude. Incomaker [online]. 9. listopadu 2017. Dostupné v archivu pořízeném dne 2017-12-22. 
  3. NEŠPŮREK, Robert. Rozhodnutí Breyer a dynamická IP adresa jako osobní údaj. Právní prostor [online]. 24. května 2017. Dostupné online. 
  4. LOBOTKA, Andrej. Způsob vystupování advokáta v soudním řízení je osobním údajem. SMART LAW [online]. 2019-02-08 [cit. 2020-03-06]. Dostupné v archivu pořízeném z originálu dne 2020-07-10. 
  5. Rozsudek Krajského soudu v Brně ze dne 7. 11. 2018, č. j. 31 A 68/2018–177.
  6. https://www.businessinfo.cz/navody/souhlas-se-zpracovanim-osobnich-udaju-kdy-ho-potrebujete/ - Souhlas se zpracováním osobních údajů: Kdy ho potřebujete?
  7. AK Fialová: Oprávněný zájem a balanční test
  8. ÚOOÚ: Obecné poznatky z kontrol ÚOOÚ
  9. https://echo24.cz/a/S9u4h/prvni-den-gdpr-facebook-a-google-celi-zalobe-za-200-miliard - První den GDPR: Facebook a Google čelí žalobě za 200 miliard
  10. https://phys.org/news/2018-06-facebook-google-users-eu-law.html - Facebook, Google 'manipulate' users to share data despite EU law: study
  11. https://techxplore.com/news/2023-03-websites-comply-privacy-laws-track.html - The most visited websites do not comply correctly with privacy laws and actively track their users, finds Spanish study
  12. LOBOTKA, Andrej. Ohlašování porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů. SMART LAW [online]. 2020-02-17 [cit. 2020-03-05]. Dostupné v archivu pořízeném z originálu dne 2020-07-10. 
  13. Formulář ohlášení porušení zabezpečení osobních údajů dle GDPR.. www.uoou.cz [online]. [cit. 2020-03-05]. Dostupné v archivu pořízeném z originálu dne 2020-07-10. 
  14. LOBOTKA, Andrej. Povinnost oznámit porušení zabezpečení osobních údajů subjektům údajů. SMART LAW [online]. 2020-02-24 [cit. 2020-03-06]. Dostupné v archivu pořízeném z originálu dne 2020-07-10. 
  15. a b c ČTK. GDPR se dotkne i živnostníků. Drtivá většina o tom neví. Týden.cz [online]. 24.11.2017 19:40. Dostupné online. 
  16. a b c -jan-. Školy se s obavami připravují na novou směrnici EU. Týden.cz [online]. 21.03.2018 20:54. Dostupné online. 
  17. GDPR stručně: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2018-08-31]. Dostupné v archivu pořízeném z originálu dne 2018-08-31. 
  18. a b c Souhlas se zpracováním údajů by měly děti smět dát od 15 let. Týden.cz [online]. 21.03.2018 09:18. Dostupné online. 
  19. a b c d e CECHL, Pavel; BAROCH, Pavel. Nový příkaz z Bruselu: strážce dat v každé vsi. Týden.cz [online]. 22.09.2017 12:55. Dostupné online. 
  20. Zákon o zpracování osobních údajů
  21. ÚOOÚ. ÚOOÚ nemohl udělit pokutu ministerstvu, neumožňuje mu to zákon [online]. Rev. 9.8.2019 [cit. 2019-09-03]. Dostupné v archivu pořízeném dne 2019-09-03. 
  22. ÚOOÚ: Průřezové oblasti zpracování osobních údajů Archivováno 28. 2. 2022 na Wayback Machine.
  23. Metodiky vybraných institucí k sektorovým zpracováním osobních údajů. www.uoou.cz [online]. [cit. 2022-02-28]. Dostupné v archivu pořízeném z originálu dne 2022-02-28. 

Externí odkazy

[editovat | editovat zdroj]