13.9
Komentář k ochraně osobních údajů podle GDPR
PaedDr. František Havelka, PhD.
NahoruKomentář k ochraně osobních údajů
Dne 25. 5. 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů - General Data Protection Regulation – tedy tzv. GDPR), které spolu se zákonem o zpracování osobních údajů (jehož návrh je aktuálně v legislativním procesu) nahradí dosavadní právní úpravu, tj. zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
Nová právní úprava vychází z dosavadní praxe ochrany osobních údajů vymezené zákonem o ochraně osobních údajů a nad její rámec stanoví některé nové povinnosti pro správce a zpracovatele a práva subjektů, jejichž osobní údaje se zpracovávají. Základní principy spojené s nakládáním s osobními údaji, kterými je nutné se řídit v současné době, se zásadněji nemění, nová právní úprava však je mnohem podrobnější a zavádí řadu nových prvků a povinností.
Protože školy a školská zařízení přicházejí v každodenní praxi do styku s osobními údaji, které na pozici zpracovatele osobních údajů zpracovávají, je třeba této oblasti věnovat odpovídající pozornost. Škola či školské zařízení obvykle zpracovává především osobní údaje učitelů, žáků, rodičů žáků a dalších zákonných zástupců nebo dokonce třetích osob.
NahoruVztah mezi nařízením EU a zákonem č. 101/2000 Sb.
Jak nařízení EU, tak zákon stanoví práva a povinnosti přímo adresátům, v našem případě tedy přímo škole nebo školskému zařízení, jejím zaměstnancům, žákům a jejich zákonným zástupcům, popř. dalším osobám. Nařízení EU má však přednost před zákonem. Je tzv. přímo aplikovatelné a závazné pro všechny členské státy EU, které musí svou zákonnou normu o ochraně osobních údajů upravit tak, aby byla v souladu s GDPR.
Hlavní znaky GDPR:
- -
Je jednotně aplikovatelné v celé EU.
- -
Rozšiřuje pojem osobních údajů – nově též biometrické prvky (sken oční sítnice).
- -
Zpřesňuje souhlas se zpracováním osobních údajů.
- -
Vyžaduje vyšší technickou a organizační bezpečnost správců a zpracovatelů.
- -
Při rozsáhlém a systematickém zpracování osobních údajů požaduje jmenování pověřence na ochranu osobních údajů (DPO - Data Protection Officer).
- -
Zavádí novou povinnost - vést záznamy o činnostech zpracování.
- -
Při rizikových zpracováních osobních údajů požaduje předchozí provedení posouzení vlivu na ochranu osobních údajů (DPIA - Data Protection Impact Assessment) a případně též konzultaci s Úřadem na ochranu osobních údajů (dále "ÚOOÚ").
- -
Posiluje stávající práva fyzických osob (občanů, zákazníků) a zakládá práva nová – právo být zapomenut či právo na přenositelnost údajů.
- -
Porušení ochrany dat musí být oznámeno do 72 hodin jak fyzické osobě, tak ÚOOÚ.
- -
Zavádí nepoměrně vyšší sankce za porušení ochrany osobních údajů - oproti dosavadní maximální částce 10 mil. Kč bude možné uložit sankce až do výše 20 mil. eur nebo 4 % celosvětového obratu podniku.
NahoruSrovnání některých pojmů dosavadní právní úpravy (zákon č. 101/2000 Sb.) s GDPR
Osobní údaj
Citlivý údaj
Anonymní údaj
Oznamovací povinnost
Likvidace osobních údajů
Přístup subjektu údajů k informacím
Ochrana práv subjektu údajů
Právo na přenositelnost údajů
Posuzování vlivu na ochranu osobních údajů
Pověřenec pro ochranu osobních údajů
Porušení ochrany dat
Sankce
Základní pojmy podle GDPR:
- - osobní údaje = veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
- - zpracování = jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
- - omezení zpracování = označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
- - profilování = jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
- - pseudonimizace = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
- - evidence = jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
- - správce = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
- - zpracovatel = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
- - příjemce = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
- - třetí strana = fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
- - souhlas subjektu údajů = subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
- - genetické údaje = osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
- - biometrické údaje = osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
- - údaje o zdravotním stavu = osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
- - zásady zpracování údajů
- zákonnost (pro zpracování existuje některý z důvodů (titulů) upravených Nařízením), korektnost a transparentnost;
- účelovost omezení - osobní údaje smějí být shromažďovány jen pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Každý zpracovatel tedy vždy musí určit účel zpracování osobních údajů;
- minimalizace - zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
- přesnost - osobní údaje…