Obecné nařízení o ochraně osobních údajů
Obecné nařízení o ochraně osobních údajů, zkráceně ONOOÚ (anglicky GDPR, General Data Protection Regulation), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.[1] Předmět a cíleONOOÚ stanovuje pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Věcná působnostNařízení se vztahuje na automatizované zpracování osobních údajů i na neautomatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být zařazeny do evidence. Nařízení se nevztahuje na zpracování osobních údajů prováděné:
Zpracování osobních údajů orgány, institucemi a jinými subjekty Unie je upraveno mimo jiné nařízením (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98. Nařízením není dotčeno uplatňování směrnice 2000/31/ES. Osobní údajeNařízení zpřesňuje a rozšiřuje okruh a definici osobních údajů. Osobní údaje jsou jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem proto nejsou např. údaje o právnické osobě (o jejích zaměstnancích už ale ano), údaje o osobách zemřelých, nejsou to údaje, které konkrétní osobu neztotožňují (např. pouhé běžné jméno a příjmení) a mezi osobní údaje nepatří údaje anonymizované, tedy takové, které původně možnost identifikace osoby obsahovaly, ale takový identifikátor z nich byl odstraněn.[2] Už směrnice (č. 95/46/ES, předcházející nařízení) naopak mezi osobní údaje zařadila i dynamické IP adresy či jiné virtuální identifikátory.[3] Osobním údajem může být např. i způsob vystupování advokáta v soudním řízení.[4][5] Důvodů ke zpracování osobních údajů může být několik. Jinak je se zpracováním osobních údajů třeba vyslovit souhlas. GDPR zakotvuje více titulů ke zpracování osobních údajů, které před tímto souhlasem (případným nesouhlasem) mají přednost.[6] Jedná se například o právní povinnosti, ale i o oprávněný zájem (čl. 6 odst. 1 písm. f). Oprávněný zájem jako důvod zpracování osobních údajů se používá v případech ochrany zdraví a majetku, vč. sledování zaměstnanců pro účely bezpečnosti a řízení, zamezení podvodům, nebo zabezpečení IT systémů. Oprávněný zájem může být důvodem zpracování i pro přímý marketing (zasílání newsletterů).[7] Při zpracování osobních údajů na základě oprávněného zájmu je nutné provést balanční test neboli test proporcionality.[8] Test (dokument) by měl obsahovat odpovědi na otázky typu:
Pouze na základě vyhodnocení takového testu může správce dospět k závěru, zda nemají před jeho zájmy přednost zájmy subjektů údajů a tedy, zdali vůbec může osobní údaje na základě oprávněného zájmu zpracovávat. ZávaznostNařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech. Facebook a Google jsou první, kteří čelí žalobě z porušování nařízení.[9] Studie ukazuje, že dané společnosti nadále omezují práva uživatelů.[10] I pět let po zavedení GDPR většina nejnovějších webů regulaci nesplňuje.[11] Z obsahuNařízení definuje zásady zpracování osobních údajů a podmínky zákonnosti jejich zpracování. Upravuje také podmínky vyjádření poskytnutého souhlasu se zpracováním údajů a poskytování informací a přístupu k osobním údajům. Vybraná práva subjektu údajůMimo dalších, má subjekt údajů následující práva:
Vybrané povinnosti správce osobních údajůOhlašovací povinnost správce vůči dozorovému úřadu (čl. 33 GDPR)Správce má podle čl. 33 odst. 1 GDPR povinnost ohlásit jakékoliv porušení zabezpečení osobních údajů dozorovému úřadu (v ČR Úřadu pro ochranu osobních údajů), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl (Pokud není ohlášení učiněno do 72 hodin, ale až později, musí být současně s ním uvedeny důvody zpoždění.). Správce tak nemusí učinit, jen pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (např. v případě používání pseudonymizace či šifrování, které v některých případech mohou riziko pro práva a svobody fyzických osob zcela eliminovat).[12] Ohlášení porušení zabezpečení osobních údajů musí podle čl. 33 odst. 3 GDPR přinejmenším obsahovat:
Úřad pro ochranu osobních údajů zveřejnil formulář Archivováno 10. 7. 2020 na Wayback Machine., který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu.[13] Oznamovací povinnost správce vůči subjektům údajů (čl. 34 GDPR)Pokud je pravděpodobné, že konkrétní případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce musí podle čl. 34 GDPR toto porušení bez zbytečného odkladu oznámit i přímo subjektům údajů. V oznámení určeném subjektu údajů musí správce podle čl. 34 odst. 2 GDPR popsat povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším:
Všechny výše uvedené informace je nutné vysvětlit tak, aby byly pro subjekt údajů pochopitelné (tedy za použití jasných a jednoduchých jazykových prostředků). Vhodné zároveň je subjekty údajů poučit i o způsobu, jak mohou samy následky porušení zabezpečení osobních údajů minimalizovat (např. pokud unikla databáze přihlašovacích jmen a hesel, tak je žádoucí subjekty údajů poučit o tom, že by si měly heslo co nejrychleji změnit).[14] Správce nemusí podle čl. 34 odst. 3 GDPR oznámit porušení zabezpečení osobních údajů subjektům údajů v případě, že je splněna kterákoli z těchto podmínek:
GDPR v ČeskuPodle zjištění Hospodářské komory nebyla ještě koncem roku 2017 připravenost podnikatelů na GDPR vysoká,[15] někteří o nové povinnosti v oblasti ochrany osobních údajů nejspíše ani nevěděli.[15] Zavedení GDPR by u živnostníků nemělo trvat déle než měsíc.[15] Pro školy zavedení GDPR znamená mít dobře udělený souhlas, protože pokud někteří rodiče souhlas nedají, omezí se tím možnost prezentace školy, bude nutné používat začerňování a některé třídy nebudou moci být prezentovány vůbec.[16] Souhlas rodičů by mohlo být nutné vyžadovat například v situacích, kdy dítě vyhraje matematickou soutěž a nechá se fotografovat, souhlas zákonného zástupce se zveřejněním výsledků soutěže a fotografií výherce.[16] Ochrana osobních údajů ve školách se netýká pouze jmen dětí, ale týká se i jmen jejich rodičů.[16] Pokuta za porušení GDPR zohledňuje instituci, která jej porušila.[17] Zákon o zpracování osobních údajů umožňuje udělit souhlas se zpracováním údajů bez souhlasů rodičů dětem od 15 let.[18] Původní předloha počítala s hranicí 13 let, ale z iniciativy Úřadu pro ochranu osobních údajů byla zvýšena.[18] Odbory a zaměstnavatelské svazy požadovaly hranici 16 let.[18] Ochranu osobních údajů v nemocnicích, školách a obcích by měl hlídat speciální pověřenec.[19] Ještě koncem září 2017 obcím, úřadům a firmám nebylo jasné, jak bude práce pověřence vypadat, jestli jich bude k dispozici dostatek, kolik budou stát a kde na ně vezmou peníze.[19] Konzervativní odhad nákladů na provoz pověřenců je 600 milionů korun, další náklady bude potřeba vynaložit na vstupní analýzy, nové počítače pro pověřence a programové vybavení.[19] Protože hrozí nedostatek kvalifikovaných odborníků, je možné využít toho, že jeden specialista může pracovat pro více radnic, ovšem je možné, že větší obce si s jedním pověřencem nevystačí a budou jich potřebovat více.[19] Ministerstvo vnitra doporučilo, aby jeden pověřenec pracoval nejvýše pro deset obcí.[19] OVM pokuty neplatíOrgánu veřejné moci a veřejnému subjektu nemůže být uložen správní trest, ačkoliv došlo k porušení zákona. Je to dáno § 62 odst. 5 zákona č. 110/2019 Sb.[20], který uvádí:
A v tomto článku 83 odst. 7 se uvádí, že:
Takto například ÚOOÚ v roce 2019 nemohl udělit pokutu Ministerstvu vnitra, přestože to umožnilo celkem 88 000 neoprávněných přístupů k údajům v registru obyvatel.[21] LegislativaGDPR v Česku upřesňuje Zákon o zpracování osobních údajů. ÚOOÚ dále zmapoval oblasti, kde právní předpisy regulují zpracování osobních údajů podle článku 6 odst. 1 GDPR:[22]
Kromě toho existují sektorové metodiky pro bankovnictví, školství, veřejné zakázky, zdravotnictví a podobně.[23] OdkazyReference
Externí odkazy
|