GDPR a ochrana osobních údajů

GDPR (General Data Protection Regulation) neboli Obecné nařízení o ochraně osobních údajů je nařízení EU (2016/679), které má vyjít v platnost 25.5.2018. Obsahuje 778 řádků, oblasti IT bezpečnosti se věnuje 26 řádků. Důvodem zavedení tohoto právního rámce je hájit práva občanů v Evropském prostoru a zamezit tak neoprávněnému zacházení s jejich osobními údaji.

  1. Obecné informace
  2. Osobní údaje a jejich zpracování
  3. Proč GDPR a koho se bude týkat
  4. Jak zpracovávat os. údaje v souladu s GDPR

GDPR vstoupí v platnost 25. 5. 2018, tedy za:

 

Co je GDPR

gdpr

  • Nařízení EU
  • Předmětem je ochrana osobních údajů fyzických osob
  • Účinnost od 25.5.2018
  • Univerzální použitelnost a uplatnitelnost ve všech státech EU (včetně Islandu, Norska a Lichtenštejnska)
  • Sjednocující účinek a vymahatelnost

Charakteristickým rysem obecného nařízení o ochraně osobních údajů (dále jen GDPR) je univerzální použitelnost a uplatnitelnost ve všech státech EU včetně Islandu, Norska a Lichtenštejnska. Sjednocující účinek je jeden z hlavních cílů Obecného nařízení.

„veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“

Osobní údaje a jejich zpracování

Zákon č.101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, definuje v § 4 písmeno a) pojem osobní údaj takto: „Osobním údajem (se rozumí) jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“

Osobní údaje

Fyzickou osobu je možné identifikovat určitými identifikátory, jejichž soubor tvoří osobní údaje. Identifikovatelnost rozlišujeme na:

  • přímou – je odlišena např. jméno, číslo dokladu, kreditní karta, kontaktní údaje…
  • nepřímou – je možno ji odlišit – informace o nákupech, údaje z registrů, metadata…

Osobní údaje můžeme dále rozdělit na:

  • Obecné (Jméno, Pohlaví, Věk, Datum narození, Osobní stav, IP adresa, Fotografický záznam, E-mailová adresa, Telefon)
  • Citlivé (Údaje o rasovém či etnickém původu, politických názorech, členství v odborech, náboženství, filozofickém vyznání, zdravotním stavu, sexuální orientace, údaje o trestních deliktech, pravomocném odsouzení)

Zpracování osobních údajů

Jedná se o operaci nebo soubor operací s osobními údaji (shromažďování, ukládání, zaznamenání, upořádání, vyhledávání použití…). Osobní údaje zpracovává zpracovatel, který je předává správci.

Role dle GDPR

  • Subjekt údajů – každá fyzická osoba, uživatel, jehož osobní údaje budou zpracovávany
  • Správce – každý subjekt, který odpovídá za zpracování (lze pověřit třetí osobu)
  • Zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura, popřípadě jiný subjekt, který zpracovává osobní údaje pro správce. Zpracovatel bývá nejčastěji rovnou i správce.

zpracovani osobnich udaju

Důvody zavedení GDPR

Jedním z hlavních důvodů je zastaralost zákonů o ochraně osobních údajů. Zákony sahají do roku 1995 a od té doby se online prostředí značně změnilo, od nástupu sociálních sítí a možností se skrze ně registrovat po cloudové řešení a další technologie. Dalším velmi diskutovaným důvodem je neoprávněné shromažďování citlivých dat o uživatelích jak samotnými firmami za účelem co nejvíce cílené personalizace reklam, tak tajnými službami některých států, které hojně shromažďovali údaje o občanech EU.

Koho se GDPR bude týkat?

GDPR se bude týkat všech firem, institucí, tedy i e-shopů, provozovatelů webových stránek a online služeb. Prakticky každého, kdo nějakým způsobem shromažďuje nebo zpracovává osobní údaje o občanech EU.

DPO (Data Protection Officer)

Větším zpracovatelům dat nařizuje směrnice zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Úkolem DPO bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. Role pověřence může být dle GDPR řešena i externě. „Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb“ (čl. 37 odst. 6). Předmět role/služby je poskytování informací a poradenství správcům, zpracovatelům… Dozorovým úřadem v ČR je ÚOOÚ (Úřad pro ochranu osobních údajů)

Sankce

Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Proto GDPR zavádí astronomické pokuty za porušování. Pokud za závažné porušení či nezavedení může sahat až do výše 20 000 000 EUR (4 % z globálního obratu korporace).

Jak zpracovávat osobní údaje v souladu s GDPR

osobni udaje

Každý, kdo spravuje osobní údaje si musí co nejdříve, nejpozději do 25.5.2018 udělat pořádek v datech a přesně vyspecifikovat:

  • CO jsou osobní data
  • KDE jsou
  • JAK se zpracovávají
  • PRO jaký účel
  • souhlasy v souladu

Je potřeba zkontrolovat, zdali byl udělen souhlas v souladu s právním rámcem GDPR. Např. dle normy nesmí být zaškrtávátko (souhlasím…) již zaškrtnuto, je třeba aby uživatel udělal akt zaškrtnutí, pokud bude již předvyplněno, jedná se o porušení pravidel GDPR.

Souhlas se zpracováním osobních údajů

data

  • Pro konkrétní účel – nesmí být obecný
  • Vědomé a jednoznačné svolení (písemně, elektronicky, ústně)
  • Odlišný od jiných záležitostí (není ničím podmíněný)
  • Jednoznačný a výslovný (tzv. opt-in)
  • Jasný, svobodný
  • Snadný a kdykoliv odvolatelný
  • Udělený na určitou dobu

Dle GDPR je možné zpracovávat osobní údaje zákonně těmito způsoby:

  • Udělením souhlasu – písemný souhlas, elektronický i ústní (např. po telefonu)
  • Smlouva – údaje vyžadované zákonem pro platné uzavření a plnění smlouvy
  • V rámci ochrany životně důležitých zájmů subjektů údajů – ohrožení života, záchranné složky
  • Úkoly prováděné ve veřejném zájmu nebo při výkonu veřejné moci – bezpečnostní složky, státní orgány, archivace historie (totalitní režimy, genocida, válečné zločiny)
  • Oprávněný zájem – trestní činnosti, svědectví, soudy, centrální registr dlužníků, zabránění neoprávněného přístupu k el. Komunikacích, zabránění šíření škodlivých kódů, zamezení útoků.

Již udělené souhlasy musí být harmonizovány!

Subjekt údajů a jeho práva

Subjekt údajů musí být informován o svých právech a účelech zpracování osobních údajů.

  • Nově musí mít přístup ke svým OÚ
  • Právo na opravu OÚ důvod objektivní či subjektivní.
  • Právo na žádost o VÝMAZ „PRÁVO BÝT ZAPOMENUT“ – výjimka právní důvody, veřejný zájem
    • při odvolání souhlasu a pokud již nejsou potřebné pro účely zpracování
    • všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány (i zálohy). Pokud by byly dohledány např. v cache databáze, jedná se o porušení pravidel.
    • Potvrzení osobě o smazání
    • Musí být ze strany zpracovatele technologicky zajištěno uchování, zpracování a vymazání osobních údajů.

zabezpeceni osobnich udaju

Závěr

Cílem GDPR je sjednotit přístup a vytvořit obecný rámec jak nakládat s osobními daty v celé Evropské Unii. Toto nařízení je platné pro všechny, kteří se pohybují na Evropském trhu – tedy i pro firmy se sídlem v Asii, Americe, atd., ale obchodující na Evropském trhu a shromažďují data o občanech EU. GDPR výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie. Již dnes jsou správci a zpracovatelé osobních údajů povinni mít technická a organizační opatření, aby zajistili vhodnou úroveň zabezpečení zpracovávání os. údajů. Po účinnosti GDPR bude nutné zajitit např. tzv. pseudonymizaci a šifrování dat o uživatelích, bezpečnost a zálohování dat, omezená přístupová práva k datům a detailně vyspecifikované (technicky i organizačně), jakým způsobem je s daty nakládáno. Velmi důležité je mít ve firmě řízený proces ochrany osobních údajů, tímto se dá vyhnout případným sankcím, dozorový úřad pravděpodobně nařídí nesrovnalosti ve stanovené lhůtě opravit.

Užitečné zdroje:
GDPR.CZ
Ochrana osobních údajů z pohledu zvláštních právních úprav
UOOZ