52
Ochrana osobních údajů a GDPR
Mgr. David Zahumenský
NahoruI. Úvod
Významné změny, které GDPR přineslo
Navzdory tomu, že GDPR [nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů] není revolucí v ochraně osobních údajů, ale spíše evolucí, přineslo několik změn:
-
odpadá povinnost registrace správce u ÚOOÚ,
-
rozšiřují se práva subjektů údajů o právo na přenositelnost údajů a o právo vznést námitku proti zpracování,
-
zvýšení pokut,
-
zavedena možnost předběžné konzultace u dozorového úřadu,
-
povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká,
-
nutnost v některých případech jmenovat pověřence pro ochranu osobních údajů,
-
nutnost v některých případech vypracovat posouzení vlivu jednotlivých zpracování na ochranu osobních údaj.
Základní pojmy
-
správce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který určuje účel a prostředky zpracování,
-
zpracovatel – provádí zpracování pro správce podle jeho pokynů; je správci „podřízen”,
-
subjekt údajů – identifikovaná nebo identifikovatelná fyzická osoba.
Co všechno je osobním údajem?
Osobním údajem jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (tedy subjektu údajů). Osobními údaji jsou tedy jméno, příjmení, číslo dokladu totožnosti, kreditní karta, poštovní adresa, e-mailová adresa, když je z ní patrné jméno, ale může to být rovněž informace o velikosti bot, barvě očí, informace o tom, co měla daná osoba ke snídani, nebo značka zubní pasty, kterou používá.
Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Identifikovat osobu tedy není nezbytně nutné jenom podle jména. Pokud např. v místnosti bude 9 žen a 1 muž, tak pokud odkážeme na „muže nacházejícího se v dané chvíli v dané místnosti”, tak jsme jej pomocí pohlaví, polohy a času jednoznačně identifikovali.
Zpracováváme osobní údaje, když se na ně podíváme?
Zpracováním je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů (tedy nejen pomocí počítače, ale i papírově), jako jsou např.:
-
shromáždění,
-
zaznamenání,
-
uspořádání,
-
strukturování,
-
uložení,
-
přizpůsobení nebo pozměnění,
-
vyhledání,
-
nahlédnutí,
-
použití,
-
zpřístupnění přenosem,
-
šíření nebo jakékoliv jiné zpřístupnění,
-
seřazení,
-
zkombinování,
-
omezení, výmaz nebo zničení.
Když určitá osoba má přístup k osobním údajům (může se na ně podívat), tak již mluvíme o zpracování osobních údajů.
Základní zásady zpracování osobních údajů
-
zákonnost, korektnost a transparentnost (osobní údaje musejí být zpracovávány korektně a zákonným a transparentním způsobem),
-
účelové omezení (osobní údaje musejí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále…
