dnes je 2.12.2022

Input:

Komentář k ochraně osobních údajů podle GDPR

1.3.2018, , Zdroj: Verlag Dashöfer

2.1.8.5.9
Komentář k ochraně osobních údajů podle GDPR

PaedDr. František Havelka, PhD.

Komentář k ochraně osobních údajů

Dne 25. 5. 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů - General Data Protection Regulation – tedy tzv. GDPR), které spolu se zákonem o zpracování osobních údajů (jehož návrh je aktuálně v legislativním procesu) nahradí dosavadní právní úpravu, tj. zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

Nová právní úprava vychází z dosavadní praxe ochrany osobních údajů vymezené zákonem o ochraně osobních údajů a nad její rámec stanoví některé nové povinnosti pro správce a zpracovatele a práva subjektů, jejichž osobní údaje se zpracovávají. Základní principy spojené s nakládáním s osobními údaji, kterými je nutné se řídit v současné době, se zásadněji nemění, nová právní úprava však je mnohem podrobnější a zavádí řadu nových prvků a povinností.

Protože školy a školská zařízení přicházejí v každodenní praxi do styku s osobními údaji, které na pozici zpracovatele osobních údajů zpracovávají, je třeba této oblasti věnovat odpovídající pozornost. Škola či školské zařízení obvykle zpracovává především osobní údaje učitelů, žáků, rodičů žáků a dalších zákonných zástupců nebo dokonce třetích osob.

Vztah mezi nařízením EU a zákonem č. 101/2000 Sb.

Jak nařízení EU, tak zákon stanoví práva a povinnosti přímo adresátům, v našem případě tedy přímo škole nebo školskému zařízení, jejím zaměstnancům, žákům a jejich zákonným zástupcům, popř. dalším osobám. Nařízení EU má však přednost před zákonem. Je tzv. přímo aplikovatelné a závazné pro všechny členské státy EU, které musí svou zákonnou normu o ochraně osobních údajů upravit tak, aby byla v souladu s GDPR.

Hlavní znaky GDPR:

  • - Je jednotně aplikovatelné v celé EU.
  • - Rozšiřuje pojem osobních údajů – nově též biometrické prvky (sken oční sítnice).
  • - Zpřesňuje souhlas se zpracováním osobních údajů.
  • - Vyžaduje vyšší technickou a organizační bezpečnost správců a zpracovatelů.
  • - Při rozsáhlém a systematickém zpracování osobních údajů požaduje jmenování pověřence na ochranu osobních údajů (DPO - Data Protection Officer).
  • - Zavádí novou povinnost - vést záznamy o činnostech zpracování.
  • - Při rizikových zpracováních osobních údajů požaduje předchozí provedení posouzení vlivu na ochranu osobních údajů (DPIA - Data Protection Impact Assessment) a případně též konzultaci s Úřadem na ochranu osobních údajů (dále "ÚOOÚ").
  • - Posiluje stávající práva fyzických osob (občanů, zákazníků) a zakládá práva nová – právo být zapomenut či právo na přenositelnost údajů.
  • - Porušení ochrany dat musí být oznámeno do 72 hodin jak fyzické osobě, tak ÚOOÚ.
  • - Zavádí nepoměrně vyšší sankce za porušení ochrany osobních údajů - oproti dosavadní maximální částce 10 mil. Kč bude možné uložit sankce až do výše 20 mil. eur nebo 4 % celosvětového obratu podniku.

Srovnání některých pojmů dosavadní právní úpravy (zákon č. 101/2000 Sb.) s GDPR

Osobní údaj

101/2000 Sb. jakákoliv informace týkající se určeného nebo určitelné fyzické osoby. Fyzická osoba se považuje za určenou nebo určitelnou, jestliže ji lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 
GDPR veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 

Citlivý údaj

101/2000 Sb. osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě fyzické osoby a genetický údaj fyzické osoby; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci fyzické osoby. 
GDPR speciální kategorie, která zahrnuje údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob. Nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. 

Anonymní údaj

101/2000 Sb. takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určené nebo určitelné fyzické osobě. 
GDPR GDPR se na anonymní data nevztahuje. 

Oznamovací povinnost

101/2000 Sb. ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování je povinen tuto skutečnost písemně oznámit Úřadu pro ochranu osobních údajů před zpracováním osobních údajů. 
GDPR Oznamovací povinnost bude zrušena. 

Likvidace osobních údajů

101/2000 Sb. správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti fyzické osoby. 
GDPR Právo být zapomenut – subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se dané fyzické osoby týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat. 

Přístup subjektu údajů k informacím

101/2000 Sb. požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat. 
GDPR Právo na přístup – fyzická osoba má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům. 

Ochrana práv subjektu údajů

101/2000 Sb. je-li žádost fyzické osoby shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav. 
GDPR Právo na opravu – fyzická osoba má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se jí týkají. S přihlédnutím k účelům zpracování má fyzická osoba práva na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. 

Právo na přenositelnost údajů

101/2000 Sb. Není v zákoně upraveno. 
GDPR Fyzická osoba má právo získat osobní údaje, které se jí týkají, jež poskytla správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.. 

Posuzování vlivu na ochranu osobních údajů

101/2000 Sb. Není v zákoně upraveno 
GDPR Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro právo a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení. 

Pověřenec pro ochranu osobních údajů

101/2000 Sb. Není v zákoně upraveno 
GDPR Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů. 

Porušení ochrany dat

101/2000 Sb. Není v zákoně upraveno 
GDPR Jakékoliv porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu. 

Sankce

101/2000 Sb. max. do výše 10 000 000 Kč 
GDPR 10 000 000 EUR nebo do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, 20 000 000 EUR nebo do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok. 

Základní pojmy podle GDPR:

  • - osobní údaje = veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
  • - zpracování = jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
  • - omezení zpracování = označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
  • - profilování = jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
  • - pseudonimizace = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
  • - evidence = jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
  • - správce = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
  • - zpracovatel = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  • - příjemce = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
  • - třetí strana = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
  • - souhlas subjektu údajů = subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
  • - genetické údaje = osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
  • - biometrické údaje = osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
  • - údaje o zdravotním stavu = osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
  • - zásady zpracování údajů
    1. zákonnost (pro zpracování existuje některý z důvodů (titulů) upravených Nařízením), korektnost a transparentnost;
    2. účelovost omezení - osobní údaje smějí být shromažďovány jen pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Každý zpracovatel tedy vždy musí určit účel zpracování osobních údajů;
    3. minimalizace - zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou
Nahrávám...
Nahrávám...