GdprGDPR FAQ

Průběžně pro vás aktualizujeme seznam nejčastějších otázek a odpovědí na téma práva a povinnosti, doporučení WP29, pokyny Evropského i Českého úřadu na ochranu osobních údajů v oblasti GDPR atd..

Obecné

General Data Protection Regulation (Obecné nařízení o ochraně osobních údajů), představuje revoluci v ochraně osobních údajů. Nové EU nařízení General Data Protection Regulation (GDPR) mění pravidla zpracování osobních údajů a zavádí ohromné sankce. A to až do výše 4% z celosvětového obratu, nebo 20 000 000 €

Nařízení GDPR 679/2016 je platné na území unie s vyšší právní silou na úrovni mezinárodní smlouvy. V případě kolize z. č. 101/2000 Sb. má potom GDPR vyšší právní sílu a tedy bude platit GDPR. Samotné GDPR zákon neruší, ale v jistém slova smyslu přebíjí a doplňuje tam, kde jsou v rozporu.

Shromažďujete, uchováváte, nebo používáte níže uvedené údaje? Pak se musíte řídit pravidly GDPR. Zpracováváte údaje pro jiné společnosti? Pak se toto týká i vás.

Prakticky jde o jakákoliv data (nejen v elektronické podobě), která vám pomáhají identifikovat konkrétní fyzickou osobu. Kromě jména je to bydliště, datum a místo narození, identifikační čísla a průkazy, IP adresa, cookies data atd..

Osobní údaje:

  • Jméno, adresa, poloha
  • Elektronický identifikátor
  • Zdravotnické údaje, příjem a další...

Mezi pojišťovny, které vás mohou pojistit proti kybernetickým rizikům patří v omezeném rozsahu Allianz, další pojistné řešení nabízí Renomia a asi nejlépe pokryté oblasti Cyber Security a GDPR nabízí Colonnade.

Vznikne jediný soubor pravidel platný v celé EU. Bude zaveden systém „jediného kontaktního místa“ – za společnost působící v několika zemích by odpovídal jediný orgán pro ochranu údajů (tj. orgán v zemi, v níž má společnost hlavní sídlo). 

Zruší se zbytečné byrokratické požadavky, jako například oznamovací povinnosti. Zjednoduší se předávání údajů z EU a zároveň bude zaručena ochrana osobních údajů.

Díky novým jednodušším, jasnějším a pevnějším pravidlům budou občané moci snadněji chránit své údaje na internetu. Tato pravidla rovněž výrazně sníží náklady podniků. 

Společnostem v EU pak poskytnout výhodu v celosvětové konkurenci, neboť budou moci svým zákazníkům zaručit, že jejich údaje budou důsledně chráněny, a zároveň budou moci podnikat v jednodušším právním prostředí. 


Lidé i podniky očekávají, že pravidla pro ochranu údajů budou soudržná a v celé EU budou uplatňována jednotně. Téměř 90 % Evropanů uvedlo, že chtějí všude v EU stejná práva na ochranu údajů. Dnes tomu tak není.

Přínosy

Osobní údaje při přenosu stále častěji překračují hranice (jak virtuální, tak zeměpisné) a jsou ukládány na serverech v řadě různých zemí jak v EU, tak mimo ni. 

To je podstatou tzv. cloud computingu. Jelikož toky údajů proudí po celém světě, je třeba posílit práva jednotlivců na ochranu údajů v mezinárodním měřítku. K tomu jsou zapotřebí pevné zásady ochrany osobních údajů, které usnadní tok osobních údajů přes hranice a zároveň zaručí silnou a důslednou ochranu, jež nemá žádné mezery ani není zbytečně složitá.

Nová pravidla posilují tzv. „právo být zapomenut“, což znamená, že pokud si již nepřejete, aby vaše osobní údaje byly zpracovávány, a pokud neexistuje žádný legitimní důvod k tomu, aby je daná organizace uchovávala, musí být z jejího systému odstraněny.

Místo toho, abyste museli dokazovat, že již není nutné, aby vaše údaje byly shromažďovány, musí správci údajů dokázat, že vaše údaje nadále potřebují. Poskytovatelé se musí řídit zásadou „standardního nastavení ochrany údajů“, což znamená, že by vám standardní nastavení mělo zaručovat co nejvyšší ochranu soukromí. Společnosti vás budou muset co nejjasněji a nejsrozumitelněji informovat o tom, k čemu budou vaše osobní údaje použity, abyste se mohli sami nejlépe rozhodnout, jaké údaje budete sdílet. Tyto informace musí být doprovázeny snadno pochopitelnými standardními ikonami.

Nové obecné nařízení o ochraně údajů zaručí, že vám v případě zpracování vašich osobních údajů budou poskytnuty jasné a srozumitelné informace. Je-li nutný váš souhlas, musí vás nejprve společnost, která chce zpracovat vaše osobní údaje, požádat, abyste jej vyjádřili zjevným potvrzením.

Nová pravidla rovněž posílí tzv. právo jednotlivce být zapomenut, což znamená, že pokud si již nepřejete, aby vaše osobní údaje byly zpracovávány, a pokud neexistuje žádný legitimní důvod k tomu, aby je daná společnost uchovávala, musí být vymazány.

Nové nařízení také zaručí, že budete mít bezplatný a snadný přístup ke svým osobním údajům, a tudíž budete moci snadněji zjistit, jaké osobní informace o vás společnosti a veřejné orgány mají, a převádět své osobní údaje mezi jednotlivými poskytovateli služeb, což je podstatou tzv. zásady „přenositelnosti údajů“.

Ochrana osobních údajů bude standardem. Policejní orgány a orgány trestního soudnictví budou uplatňovat zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů na začátku každého procesu souvisejícího s osobními údaji, například při vývoji nových databází.

Osoby odpovědné za zpracovávání osobních údajů budou mít větší odpovědnost za svou práci. Orgány musí například jmenovat tzv. inspektory ochrany údajů, kteří budou mít na starosti ochranu osobních údajů v rámci své organizace. Musí rovněž zajistit, aby byl o případech závažného narušení ochrany údajů co nejdříve informován vnitrostátní orgán dozoru.

V 28 členských státech EU v současné době platí rozdílná a vzájemně neslučitelná pravidla pro ochranu údajů. Společnosti se v EU v některých případech musí řídit 28 různými soubory pravidel pro ochranu údajů. Výsledkem je roztříštěné právní prostředí, které vede k právní nejistotě a nerovnoměrné ochraně osob.

Podnikům tím rovněž vznikají zbytečné náklady a značná administrativní zátěž. Zejména malé a střední podniky tato složitá situace odrazuje od toho, aby svou činnost rozšiřovaly do jiných zemí EU, a představuje překážku hospodářského růstu.

Pověřenec

Obecné nařízení nedefinuje pojem rozsáhlý. WP29 doporučuje při určování, zda zpracování je rozsáhlé, vzít v úvahu zejména následující faktory: 

a) počet dotčených subjektů údajů – buď v absolutním vyjádření, nebo podílem na relevantní populaci

b) objem zpracovávaných dat a/nebo rozsah datových položek 

c) doba trvání nebo nepřetržitost zpracovatelské činnosti 

d) územní rozsah zpracovatelské činnosti 

Příklady rozsáhlého zpracování: 

a) zpracování údajů o pacientech v rámci běžné činnosti nemocnice

b) zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např.sledování prostřednictvím čipové tramvajenky) 

c) zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost

d) zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky

e) zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy

f) zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb


Příklady zpracování, která nejsou rozsáhlá: 

a) zpracování údajů o pacientech jednotlivým lékařem

b) zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů individuálním právníkem 

Ano. Podle článku 37, odst. 6 může být pověřencem pracovník správce nebo zpracovatele (interní pověřenec), nebo „může úkoly plnit na základě smlouvy o poskytování služeb“. To znamená, že pověřencem může být externista a v takovém případě vykonává svoji funkci na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo organizací.

Na externího pověřence se vztahují veškeré požadavky článků 37 až 39. Jak je stanoveno v těchto Pokynech, vykonává-li funkci pověřence externí poskytovatel, pak úkoly pověřence mohou být plněny týmově i jednotlivci pracujícími pro daného externistu, přičemž odpovědnost nese určená vedoucí kontaktní osoba pověřená péčí o klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkci pověřence plnil všechny požadavky Obecného nařízení.

V zájmu právní jasnosti a dobré organizace je v Pokynech doporučeno mít ve smlouvě o poskytování služeb jasné rozdělení úkolů v rámci týmu externího pověřence a ustanovit jednu určitou osobu jako vedoucí kontakt pověřený péčí o klienta. 

Za „hlavní činnosti“ lze považovat klíčové operace směřující kdosažení cílů správce nebo zpracovatele. Sem také patří veškeré aktivity, kde zpracování dat je nedílnou součástí činnosti správce nebo zpracovatele. Například zpracování zdravotních dat, jako jsou zdravotní záznamy pacienta, by mělo být považováno za jednu z hlavních činností a nemocnice tak musí jmenovat pověřence.

Na druhé straně, všechny organizace vykonávají určité podpůrné činnosti, kupříkladu vyplácení zaměstnanců nebo standardní podporu výpočetní a informační techniky. Jde o nezbytné funkce podporující hlavní činnost nebo podnikání organizace. Byť nutné nebo podstatné, jsou tyto činnosti považovány spíše za pomocné funkce, než za klíčovou aktivitu. 

Obecné nařízení stanoví, že pověřenec „musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů"

Potřebná úroveň odborných znalostí by měla být určena vzávislosti na prováděných zpracovatelských operacích a požadované ochraně zpracovávaných osobních údajů. Pokud například je zpracovatelská činnost zvláště složitá nebo je prováděna s velkým množstvím citlivých údajů, bude pověřenec potřebovat znalosti a podporu na vyšší úrovni.

Mezi potřebné dovednosti a zkušenosti patří: 

a) znalost národního a unijního práva v oblasti ochrany dat a praktické zkušenosti, včetně hluboké znalosti Obecného nařízení

b) znalost prováděných zpracovatelských operací

c) znalost informačních technologií a bezpečnosti dat

d) znalost dané oblasti podnikání a organizace

e) schopnost propagovat kulturu ochrany dat v organizaci 

Obecné nařízení vyžaduje jmenovat pověřence ve třech konkrétních případech, kdy: 

a) zpracování provádí orgán veřejné moci či veřejný subjekt (bez ohledu na to, jaká data jsou zpracovávána); 

b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. 

Navíc, právo Unie nebo členských států může vyžadovat jmenování pověřence i v dalších situacích. I v případech, kdy Obecné nařízení nevyžaduje jmenování pověřence, mohou organizace dojít k rozhodnutí, že dobrovolné ustavení pověřence je užitečné. Pracovní skupina podle článku 29 (dále jen „WP29“) takovou dobrovolnou iniciativu podporuje.

Obecného nařízení požaduje, aby organizace podporovala svého pověřence tím, „že mu poskytují zdroje nezbytné k plnění (těchto) úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí“. 

V závislosti na povaze zpracovatelských operací a činností a velikosti organizace jsou zdroje, které by pověřenec měl mít k dispozici, následující:

a) aktivní podpora ze strany vyššího managementu

b) dostatek času k plnění úkolů

c) odpovídající podpora finanční, technická (kancelářské prostory, vybavení, zařízení) a personální pokud je potřeba

d) oficiální oznámení o jmenování pověřence všem zaměstnancům

e) přístup do jiných útvarů v organizaci, aby měl pověřenec nezbytnou podporu a informace z těchto útvarů

f) průběžné školení 

Nikoliv. V tomto případě by se jednalo o typický případ střetu zájmů. Úlohou Pověřence pro ochranu osobních údajů je dodržování bezpečnostních pravidel, kontrola uživatelů a zpracovatelů a současně administrátorů.  Řešením je zvolit jinou fyzickou nebo právnickou osobu.

Pravidelné a systematické monitorování subjektů údajů Obecné nařízení nedefinuje, jasně však tento výraz zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Pojem monitorování není ovšem omezen pouze na prostředí online. 

WP29 vykládá slovo „pravidelný“ kombinací jedné nebo více následujících charakteristik: 

a) vyskytující se podle určitého systému

b) přednastavený, organizovaný nebo metodický

c) uskutečňující se jako součást obecného plánu pro sběr dat

 d) vykonávaný jako součást strategie

Příklady: provozování telekomunikační sítě; poskytování telekomunikačních služeb; cílení internetové reklamy pomocí e-mailu, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz); sledování polohy, například u mobilních aplikací; věrnostní programy; behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení; kamerové systémy; propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy, atd. 


Ne, pověřenci nejsou osobně odpovědni za nesoulad s Obecným nařízením. V Obecném nařízení je jasně stanoveno, že je to správce nebo zpracovatel, kdo musí zajistit a doložit, že zpracování probíhá ve shodě s nařízením. Dodržování předpisů pro ochranu osobních údajů je odpovědností správce nebo zpracovatele. 

Pověřenec nemůže v organizaci zastávat místo, na kterém by musel stanovovat účely a prostředky zpracování osobních údajů. Vzhledem k organizační struktuře specifické pro každou organizaci, je potřeba tuto otázku řešit případ od případu.

V konfliktním postavení mohou typicky být pozice ve vyšším managementu (výkonný ředitel, provozní ředitel, finanční ředitel, zdravotní ředitel, vedoucí marketinkového oddělení, vedoucí personálního oddělení nebo vedoucí oddělení IT), ale i pozice na nižším stupni organizační struktury, pokud v takovém postavení dochází k rozhodování o účelech a prostředcích zpracování. 

Pověřenec, v rámci svých povinností, může zejména:

a) shromažďovat informace za účelem zjišťování zpracovatelských činností

b) analyzovat a prověřovat právní soulad zpracovatelských činností

c) informovat, radit a vydávat doporučení správci nebo zpracovateli 

Existuje několik záruk umožňujících pověřenci konat nezávisle ve smyslu recitálu 97:

a) žádné pokyny od správce nebo zpracovatele týkající se výkonu úkolů pověřence

b) nemožnost propuštění nebo sankcionování v souvislosti s plněním úkolů

c) zajištění správcem nebo zpracovatelem, aby žádné pověřencovi úkoly nebo povinnosti nevedly ke střetu zájmů 

Pokud jde o posuzování vlivu na ochranu osobních údajů, správce nebo zpracovatel by si měl dát od pověřence poradit, mimo jiné v následujících věcech: 

a) zda je či není potřeba vypracovat posouzení vlivu na ochranu osobních údajů (dále jen „posouzení vlivu“)

b) jakou metodiku při zpracování posouzení vlivu uplatnit

c) zda posouzení vlivu vypracovat vlastními silami nebo jeho zpracování zadat externě

d) jaká ochranná opatření (včetně technických a organizačních) uplatnit pro zmírnění rizik vůči právům a zájmům subjektů údajů 

e) zda posouzení vlivu bylo zpracováno správně a zda jeho závěry (ať už vedou či ne k pokračování zpracovatelské operace a určují jaká ochranná opatření nutno uplatnit) jsou vsouladu s Obecným nařízením

V případě záznamů o činnostech zpracování má povinnost vést záznamy o zpracovatelských operacích správce nebo zpracovatel, nikoliv pověřenec. Nic ovšem nebrání správci nebo zpracovateli, aby pověřenci zadal úkol vést záznamy o zpracovatelských operacích, přičemž odpovědnost nese správce. Tyto záznamy by měly být chápány jako jeden z nástrojů umožňující pověřenci vykonávat úkoly spočívající v monitorování souladu, informování a poskytování rad správci nebo zpracovateli.

Přenositelnost

Přenositelnost dat v podstatě dává subjektům údajů možnost obdržet a znovu použít „svá“ data pro vlastní účely a napříč různými službami. Toto právo jim usnadní přenášet, kopírovat nebo předávat osobní údaje bez překážek z jednoho IT prostředí do druhého. Kromě posílení pozice spotřebitelů zamezením efektu zaháčkování u jednoho poskytovatele (lock-in), je počítáno s přínosem ve smyslu příležitostí pro inovace a sdílení osobních údajů mezi správci chráněným a zabezpečeným způsobem pod kontrolou subjektu údajů. 

V první řadě jde o právo získat osobní údaje („ve strukturovaném, běžně používaném a strojově čitelném formátu“) zpracovávané správcem a uložit je pro další osobní použití na soukromém zařízení, aniž by byly předány jinému správci. Toto právo tak nabízí snadný způsob, jak subjekty údajů mohou samy spravovat své osobní údaje.

Dále toto právo dává subjektům údajů možnost přenášet svá osobní data od jednoho správce k jinému, „aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil“. Usnadňuje také možnost přenášet, kopírovat nebo předávat osobní údaje bez potíží z jednoho IT prostředí do jiného. 

Správci by v první řadě měli subjektům údajů nabízet možnost přímého stažení a za druhé by jim měli dovolit přímo přenést data k jinému správci. To může být provedeno například poskytnutím rozhraní pro programování aplikací (API).

Subjekty údajů mohou pro držení a uchovávání osobních údajů také využít úložiště osobních údajů, důvěryhodné třetí strany a udělit správcům povolení přistupovat k osobním datům a zpracovávat je podle požadavku, aby data mohla být snadno přenášena od jednoho správce ke druhému. 

Správce vyřizující žádost o přenos dat není odpovědný za zpracování prováděné subjektem údajů nebo jinou společností, která osobní údaje obdržela. Přijímající správce nese zároveň odpovědnost za zajištění, aby přenášená data byla relevantní a nebyla nadbytečná s ohledem na nové zpracování, aby subjekt údajů byl srozumitelně informován o účelu tohoto nového zpracování a, obecněji, aby dodržoval zásady ochrany dat podle ustanovení Obecného nařízení o ochraně osobních údajů (dále jen „Obecné nařízení“) aplikovatelné na dané zpracování. 

Uplatní-li jednotlivec své právo na přenositelnost údajů (nebo další právo podle Obecného nařízení), činí tak bez dopadu na jakékoli jiné právo.

Subjekt údajů může využít svá práva po dobu, po kterou správce zpracovává údaje.
Subjekt údajů může například dále využívat a mít prospěch ze správcovy služby i po uskutečnění přenosu údajů.

Stejně tak, pokud někdo chce uplatnit právo na výmaz, na námitku nebo získat přístup ke svým osobním údajům, nemůže být předchozí nebo následný výkon práva na přenositelnost použit správcem jako záminka k odložení nebo odmítnutí příslušné žádosti.

Přenositelnost dat také nezavdává automaticky důvod k vymazání dat ze systémů správce a nemá vliv na původně stanovenou lhůtu pro uchování dat, která byla předána v souladu s právem na přenositelnost. 

Toto nové právo lze použít při současném splnění tří podmínek

.
1. Vyžádané osobní údaje by měly být zpracovány automatizovaně (vyjma například materiálů v papírové podobě) na základě předchozího souhlasu subjektu údajů nebo jako naplnění smlouvy, jejíž stranou subjekt údajů je.

2. Vyžádané osobní údaje by se měly týkat subjektu údajů a mělo by se jednat o jím poskytnuté údaje. Pracovní skupina WP29 doporučuje správcům nebrat příliš restriktivně větu „osobní údaje týkající se subjektu údajů“, pokud datový soubor týkající se subjektu údajů a jím poskytnutý obsahuje i údaje o třetích stranách a pokud je subjekt údajů použije k podání žádosti proosobní účely. Typickým příkladem datových souborů zahrnujících údaje třetích stran jsou záznamy o telefonním volání (obsahující příchozí i odchozí hovory), které by subjekt údajů chtěl získat, nebo historie bankovního účtu zahrnující příchozí platby třetích stran.

Osobní údaje lze považovat za poskytnuté subjektem údajů, pokud jsou poskytnuta vědomě a aktivně
subjektem údajů, jako jsou data o účtu (např. e-mailová adresa, uživatelské jméno, věk) zadaná přes
formulář online. Také sem ale patří údaje vytvářené a shromažďované prostřednictvím využívání
určité služby nebo zařízení.
Naproti tomu, na data pramenící nebo odvozená z údajů poskytnutých
subjektem údajů, jako je uživatelský profil vytvořený analýzou surových dat z chytrého měření, se
právo na přenositelnost nevztahuje, jelikož nebyla poskytnuta subjektem údajů, nýbrž vytvořena
správcem.

3. Aby výkon tohoto nového práva neměl nepříznivý vliv na práva a svobody třetích stran. Pokud například soubor dat přenášený na žádost subjektu údajů obsahuje osobní údaje týkající se dalších jednotlivců, měl by je nový správce zpracovávat jen, existuje-li náležitý právní základ. Typicky, zpracování pouze subjektem údajů coby součást čistě osobních nebo domácích aktivit bude v pořádku. 

Správci by měli informovat subjekty údajů o právu na přenositelnost dat „stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků“.
WP29 v tomto ohledu doporučuje správcům jasně vysvětlit rozdíl mezi různými typy dat, která subjekt údajů může obdržet při použití práva na přenositelnost nebo na přístup a také by měli informovat o právu na přenositelnost údajů před uzavřením účtu, a tím subjektu údajů umožnit získat a uložit své osobní údaje.

Dodatkově by správci přijímající na žádost subjektu údajů přenositelná data mohli, v rámci dobré praxe, poskytnout subjektu údajů úplnou informaci o povaze osobních dat důležitých pro poskytování svých služeb. 

Pracovní skupina WP29 doporučuje správcům vytvořit náležité postupy umožňující jednotlivci podat žádost o přenos údajů a získat data, která se ho týkají.
Správci musí mít postup autentizace, aby mohli spolehlivě ověřit totožnost subjektu požadujícího své osobní údaje nebo obecně uplatňujícího práva stanovená v Obecném nařízení. 

Osobní údaje mají být předány ve strukturovaném, běžně používaném a strojově čitelném formátu. Tato specifikace má zajistit použitelnost datového formátu použitého správcem, čili žádoucí je schopnost vzájemné spolupráce mezi systémy (interoperabilita).

To ovšem neznamená, že mají správci provozovat kompatibilní systémy. Správci by s přenášenými daty měli dát k dispozici metadata v co největším množství a s nejvyšší přesností a rozlišitelností, aby zůstal zachován přesný význam vyměňovaných informací.

Vzhledem k velkému rozsahu potencionálních typů dat, která mohou být správcem zpracovávána, neuvádí Obecné nařízení žádná konkrétní doporučení ohledně formátu osobních údajů, které mají být poskytnuty.

Nejpříhodnější formát se bude lišit sektor od sektoru a odpovídající formáty možná už jsou k dispozici, měly by však vždy být vybírány ty, které jsou srozumitelné. 

Pracovní skupina WP29 naléhavě vyzývá ke spolupráci zainteresovaných stran z dotčených odvětví a obchodních asociací s cílem společně vypracovat vzájemně použitelné standardy a formáty naplňující požadavky práva na přenositelnost údajů. 

Článek 12 zakazuje správci účtovat poplatek za poskytnutí osobních údajů, nemůže-li prokázat, že žádosti jsou zjevně nedůvodné nebo nepřiměřené, „zejména proto, že se opakují“.

V případě služeb informační společnosti nebo podobných online služeb specializujících se na automatizované zpracování osobních údajů je velmi nepravděpodobné, že by vyřízení násobné žádosti o přenos mohlo být považováno za nadměrnou zátěž.

Pro tyto případy doporučuje WP29 stanovit rozumný časový rámec přizpůsobený dané situaci a zpravit o něm subjekt údajů. 

Data velkého objemu

Hlavní výhodou dat velkého objemu je, že mohou odhalit vzorce mezi různými zdroji a soubory údajů, a tím poskytnout užitečné poznatky. Vezměme si například zdraví, potravinové zabezpečení, inteligentní dopravní systémy, energetickou účinnost a územní plánování.

V konečném důsledku tato data velkého objemu umožní vyšší produktivitu a lepší služby, které jsou zdrojem hospodářského růstu. Využití dat velkého objemu stovkou největších výrobců EU by mohlo vést k úsporám ve výši 425 miliard EUR a do roku 2020 by analýzy dat velkého objemu mohly posílit hospodářský růst EU o dalších 1,9%, což znamená zvýšení HDP o 206 miliard EUR.

Výrazem data velkého objemu se označují velké objemy různých druhů údajů získaných z různých zdrojů, například od lidí, z počítačů nebo senzorů. Těmito údaji mohou být informace o počasí, satelitní snímkování, digitální fotogra e a videa, přechodné záznamy nebo signály GPS. 

Data velkého objemu mohou zahrnovat osobní údaje: tj. jakékoli informace týkající se jednotlivce, jako jsou jména, fotogra e, emailové adresy, bankovní údaje, příspěvky na sociálních sítích, zdravotní informace nebo počítačová IP adresu.

Právní důvody zpracování

  1. Zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně.
  2. Omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely.
  3. Minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány.
  4. Přesnost - osobní údaje musí být přesné.
  5. Omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány.
  6. Integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 Obecného nařízení. 
Dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti.

Ale proto, že v článku 5 odst. 2 Obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. 

Jde o vyjádření tzv. principu odpovědnosti správce. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též kodexy a osvědčení.

Zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. 

Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.

Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. 

Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. 

Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

  1. Subjekt údajů udělil souhlas pro jeden či více konkrétních účelů.
  2. Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
  3. Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
  4. Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
  5. Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
  6. Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.


Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.

Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu,
pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů.

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení.

Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. 

Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. 

Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. 

Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.

Subjekt údajů má právo svůj souhlas kdykoli odvolat. 

Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. 

Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. 

Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů. 

Neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.

Obecné nařízení v předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami Obecného nařízení. 

To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 Obecného nařízení. 

Například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.

Osobní údaje patří subjektům údajů a ty musí v některých případech, zejména v zákonem stanovených případech, strpět jejich zveřejnění např. ve veřejném rejstříku.

Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík).

Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. 

Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. 

Obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen.

Bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti Obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů.

Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. 

Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce měl absenci právního důvodu. 

Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.

GDPR Accelerator™

Zpracovatelská smlouva je ryze právní záležitost, kterou nejde plošně poskytnou, nebo garantovat.  Její struktura a obsah musí být vždy na míru potřebám společnosti. Existují nějaké první návrhy, které mají 30+ stránek a psali se měsíce, ale zda je to správná cesta se ještě neví. Jde tedy spíše o právní konzultaci case by case a tu z titulu certifkačního orgánu ani nesmíme poskytnout.

To, co můžeme konzultovat a garantovat jsou procesní, technické a IT oblasti. Na její strukturu a obsah mají rozdílné názory i samotné advokátní kanceláře.

Chcete získat dárek k narozeninám?