GDPR: Jak právo chrání osobní údaje?
ObsahSvé osobní údaje poskytuje každý z nás téměř každodenně, ať už jde o nakupování na internetu, komunikaci s úřady nebo členství v různých zájmových skupinách a organizacích. Víte ale, co tzv. zpracování vašich osobních údajů obnáší a jaká práva máte, pokud k němu dochází nebo jaké povinnosti na vás dopadají, pokud osobní údaje zpracováváte?
GDPR (General Data Protection Regulation – obecné nařízení o ochraně osobních údajů) v současné době představuje právní rámec ochrany osobních údajů, který platí na celém území EU. Pravidla, která obsahuje, se vztahují na velmi široký okruh situací, od činnosti správních orgánů přes fungování spolků až třeba k dokumentaci zasedání zastupitelstva.
Tento manuál nabízí stručný přehled základních institutů a principů GDPR a ukázku toho, jak se ochrana osobních údajů projevuje v konkrétních případech. Manuál vám doporučujeme k pročtení, ať už jste v pozici subjektu nebo správce osobních údajů.
Slovníček základních pojmů
V textu nařízení se objevuje mnoho termínů, bez jejichž znalosti se v konkrétních ustanoveních jen stěží zorientujete. Následující odstavce proto poskytují základní přehled a vysvětlení stěžejních pojmů.
Koho se GDPR týká?
V textu nařízení se často setkáte s označením osob, kterých se týkají určitá práva nebo povinnosti. Jde zejména o správce, zpracovatele a subjekt osobních údajů.
Správcem osobních údajů je každý, kdo určuje:
- účel zpracování osobních údajů (např. evidence členů spolku, zpracování internetové objednávky zboží, zasílání obchodních sdělení),
- prostředky zpracování osobních údajů (např. automatizace dat)
Správcem osobních údajů je také každý, kdo osobní údaje:
- shromažďuje (např. je ukládá do evidence členů spolku),
- zpracovává (např. rozesílá automatizované e-maily členům spolku vedeným v evidenci členů spolku) a
- uchovává.[1]
Zpracovatelem je ten, který je na správci závislý a údaje zpracovává pouze podle správcových pokynů. Správce a zpracovatel mohou často splývat.[2]
Subjektem osobních údajů je fyzická (nikoli však právnická) osoba, k jejíž identifikaci mohou údaje vést.[3] Je to tedy ten, o jehož osobní údaje se jedná.
Příkladem vztahu správce, zpracovatele a subjektu může být situace, kdy firma uzavře smlouvu se společností, která poskytuje služby mzdového účetnictví. Firma je správcem osobních údajů, protože systematicky shromažďuje a uchovává údaje svých zaměstnanců, mzdová společnost je zpracovatelem, neboť podle pokynů firmy zpracovává převzaté údaje zaměstnanců, a subjekty údajů jsou samotní zaměstnanci.
Osobní údaje
Osobní údaje (OÚ) jsou jakékoli informace o identifikované nebo identifikovatelné fyzické osobě. [4] Na základě osobního údaje tedy musí být možné osobu alespoň nepřímo, pomocí nějakého identifikátoru identifikovat.
Mezi takové identifikátory se počítají například:
- jméno,
- adresa,
- věk,
- pohlaví,
- datum narození,
- telefonní číslo,[5]
- dynamická IP adresa,
- vzdělání
- fotografie,
- video nebo audio záznam.
Osobním údajem může být jeden údaj nebo i více údajů, které teprve dohromady umožňují konkrétní osobu určit. Správce přitom může mít tyto údaje v jedné databázi nebo ve více oddělených databázích či seznamech. Kombinace věku a vzdělání osobním údajem nebude. Pokud ale k těmto údajům připojíme jméno, o osobní údaj se jednat bude.
Zvláštní případ představují e-mailové adresy. Záleží na tom, jak moc je adresa specifická a zda je možné na jejím základě identifikovat konkrétní osobu. Například e-mailová adresa jan.novak@... na běžně používaném internetovém serveru může patřit stovkám lidí toho jména, a proto sama o sobě nepředstavuje osobní údaj. E-mailová adresa jan.novak@jmenofirmy.cz už ale osobním údajem je.
Za osobní údaje se pak nepovažují:
- anonymizované údaje,
- údaje o zemřelých osobách,
- údaje získané v rámci činnosti čistě osobní povahy, která nemá obchodní či institucionální charakter (domácí použití).[6] Jde například o vedení osobních adresářů kontaktů nebo jejich využívání na sociálních sítích.
Některé osobní údaje vyžadují zvláštní formu ochrany
Zvláštní skupinou osobních údajů jsou dříve tzv. citlivé údaje. Jedná se o údaje o:
- rasovém či etnickém původu,
- politických názorech (údaj o členství v politické straně sem nespadá),
- náboženském vyznání nebo filozofickém přesvědčení,
- členství v odborech,
- zdravotním stavu,
- sexuálním životě a sexuální orientaci,
a dále:
- genetické údaje (př. DNA, krevní skupina, Rh faktor krve) a
- biometrické údaje (př. snímek obličeje, otisk prstu, snímek sítnice, podpis).
Tyto údaje podléhají přísnější ochraně než jiné osobní údaje. Až na stanovené výjimky je zakázáno je zpracovávat.
Výjimkou může být například, pokud je zpracování osobního údaje nezbytné v souvislosti s lékařským zákrokem nebo pro posouzení, zda má daná osoba nárok na čerpání dávek sociálního zabezpečení. Se zpracováním svých osobních údajů však musíte souhlasit. Ve výjimečných případech se souhlas nevyžaduje. Jde například o situaci, kdy je zpracování osobních údajů nezbytné pro ochranu vašeho života a nejste ve stavu souhlas udělit.[7]
Zpracování údajů má svá pravidla
Zpracování označuje jakoukoli operaci s osobními údaji
Zpracováním může být celá řada úkonů, například:
- vyhledání.
- shromáždění,
- zaznamenání a strukturování,
- uložení,
- pozměnění či zkombinování,
- použití,
- nahlédnutí nebo zpřístupnění,
- výmaz nebo zničení.[8]
Zpracování osobních údajů musí být v souladu se základními zásadami
Při nakládání s osobními údaji musí správce a zpracovatel postupovat v souladu s těmito zásadami:[9]
- Zásada zákonnosti, korektnosti a transparentnosti. Osobní údaje může správce nebo zpracovatel zpracovávat pouze na základě právního titulu a musí vás o zpracování informovat. Vaše osobní údaje tak může zpracovávat jen tehdy, pokud s tím výslovně souhlasíte, pokud to tak stanoví zákon nebo pokud je zpracovává při plnění nějaké své povinnosti.
- Zásada účelového omezení. Správce vám musí sdělit určitý účel, kterým je vázán, tj. nesmí vaše údaje bez dalšího zpracovat za jiným účelem. Pokud je tedy účelem zpracování zmíněná evidence členů spolku, údaje a kontakty, které správce za účelem evidence zpracovává, nemůže použít např. také pro rozesílku obchodních sdělení.
- Zásada minimalizace údajů. Správce nebo zpracovatel mají zpracovávat pouze ty údaje, které jsou nezbytně nutné pro dosažení účelu, pro který je zpracovávají.[10] V evidenci členů spolku obvykle postačí uvést jméno, popř. kontaktní údaje členů. Pokud by tedy správce nebo zpracovatel navíc zpracovával i údaje jiné, např. o sexuální orientaci členů spolku, tato zásada by byla porušena.
- Zásada přesnosti. Lze zpracovávat pouze přesné a aktuální údaje.
- Zásada omezení uložení. Údaje nemají být ukládány po dobu delší, než je nutné. Např. v případě koupě výrobku může prodejce jakožto správce a zpracovatel uchovávat vaše údaje pouze do okamžiku uplynutí záruční doby. V rámci záruční doby v případě reklamace vaše údaje totiž ještě bude potřebovat, po jejím uplynutí již nikoli.
- Zásada integrity a důvěrnosti. Správce má povinnost údaje náležitě zabezpečit. Pokud údaje ukládá v listinné podobě, musí je ukládat na místě, ke kterému má přístup pouze on (např. v uzamčené skříňce). Pokud jde o data v počítači, přístup k nim musí být např. chráněn heslem.
Z jakých důvodů mohou být osobní údaje zpracovávány?
Ke zpracování osobních údajů existuje celkem šest právních titulů - důvodů, které umožňují údaje zpracovávat.[11] Údaje tak správce nebo zpracovatel může zpracovávat, pokud je splněna jedna z následujících podmínek:
- Vy jakožto subjekt údajů se zpracováním údajů výslovně souhlasíte, např. podpisem prohlášení o souhlasu s poskytnutím údajů.
- Zpracování je nezbytné pro splnění smlouvy, jejíž stranou jste vy jakožto subjekt údajů. V praxi jde například o situaci, kdy poskytnete své osobní údaje e-shopu v rámci nákupu na internetu a e-shop vaše údaje následně použije k tomu, aby vám zboží zaslal.
- Je to nezbytné pro splnění právní povinnosti správce. To se týká např. evidence faktur pro daňové účely, kdy prodejce musí vaše osobní údaje uchovávat (tedy zpracovávat) i poté, co vám již zboží došlo, v rámci vedení svého účetnictví.
- Je to důležité pro ochranu životně důležitých zájmů vás jakožto subjektu údajů nebo třetí osoby.
- Jde o provádění veřejného zájmu nebo výkon veřejné moci. Tento důvod se uplatní například při podání žádosti správnímu orgánu, např. stavebnímu úřadu. Úřad, kterému žádost podáte, při jejím vyřizování zpracovává vaše osobní údaje.
- Je to nezbytné pro oprávněný zájem správce či třetí osoby. Zároveň je potřeba, aby před tímto zájmem neměly přednost zájmy vás jakožto subjektu osobních údajů nebo třetí osoby. Oprávněným zájmem správce může být například zamezení podvodům, administrativní účel nebo i přímý marketing. Vždy ale musíte mít možnost se např. z odběru obchodních novinek odhlásit.[12]
Jaká máte jako subjekt údajů práva?
U správce údajů se můžete domáhat těchto práv:
- Právo na informace o zpracování osobních údajů vč. informací o porušení zabezpečení osobních údajů. Předtím, než správce začne údaje zpracovávat, musí vás o tom informovat a zároveň vám sdělit podrobnosti zpracování, včetně např. účelu, prostředku a délky uchování údajů. Pokud údaje uchovává např. v počítačové databázi a dojde k softwarovému útoku, máte právo se o tom dozvědět.[13]
- Právo na přístup k osobním údajům. Na základě tohoto práva můžete od správce získat potvrzení zpracování údajů nebo kopii zpracovávaných údajů.[14]
- Právo na opravu. V případě, že by některý z údajů byl nesprávný nebo nepřesný, máte právo domáhat se jeho opravy. Na nesprávnost nebo nepřesnost musíte správce upozornit tím, že podáte žádost o opravu. Správce se vaší žádosti musí zabývat.[15]
- Právo na výmaz neboli „právo být zapomenut“. Správce musí zlikvidovat vaše osobní údaje například tehdy, pokud již nejsou potřebné ke stanovenému účelu, pokud odvoláte souhlas ke zpracování nebo pokud správce údaje zpracovával protiprávně.[16]
- Právo na omezení zpracování. V případech, kdy např. popíráte přesnost osobních údajů nebo v okamžiku, kdy vznesete námitku (viz níže), může správce vaše osobní údaje nadále zpracovávat jedině s vaším souhlasem. Pokud je právním titulem zpracování vašich osobních údajů ochrana práv třetích osob nebo veřejného zájmu, může je dále zpracovávat i bez vašeho souhlasu.[17]
- Právo na přenositelnost údajů. Po správci můžete požadovat, aby vám poskytl vaše osobní údaje v běžně používaném formátu a umožnil vám předat je dalšímu správci. Toto je možné, pokud správce zpracovává vaše údaje na základě vašeho souhlasu nebo pokud údaje zpracovává automatizovaně.[18]
- Právo vznést námitku. Můžete vyjádřit nesouhlas se zpracováním nebo se způsobem zpracování vašich osobních údajů. Správce v takových případech osobní údaje nesmí dále zpracovávat, pokud neprokáže, že pro to existuje oprávněný zájem, který nad vaší námitkou převažuje. Pokud vznesete námitku proti zpracování pro účely přímého marketingu (tedy např. zasílání obchodních sdělení), správce vaše osobní údaje bez dalšího dále zpracovávat nesmí.[19]
- Právo nebýt předmětem automatizovaného rozhodnutí. Pokud jde o situaci, kdy zpracování vašich údajů může zasáhnout do vašich práv nebo vám založit další povinnosti, je potřeba, aby o něm rozhodla „lidská síla“, nikoli počítač. Skrze automatizaci totiž v některých případech může dojít např. k zamítnutí žádosti o úvěr.[20]
- Právo podat stížnost. Pokud se domníváte, že došlo k porušení ochrany vašich osobních údajů, můžete podat stížnost k Úřadu na ochranu osobních údajů. Zároveň se můžete domáhat i nápravy u soudu.[21]
- Právo odvolat souhlas, pokud jste jej předtím dali. Správce má povinnost zajistit, aby pro vás odvolání souhlasu bylo stejně snadné jako jeho poskytnutí.[22]
Jaké informace vám musí správce poskytnout?
V situaci, kdy po vás kdokoli, resp. správce údajů bude požadovat poskytnutí vašich osobních údajů, máte právo získat informace, které se zpracováním vašich údajů souvisí. Správce například musí:
- poskytnout vám své kontaktní údaje, případně kontakt na jeho zástupce nebo pověřence pro ochranu osobních údajů,
- informovat vás, za jakým účelem vaše osobní údaje zpracovává,
- sdělit vám identitu dalších příjemců, pokud hodlá vaše osobní údaje předávat někam dál.
Správce má povinnost poskytnout i další informace, pokud jsou nezbytné k zajištění spravedlivého a transparentního zpracování. Správce vás musí informovat např. o:
- době, po kterou budou vaše osobní údaje uloženy,
- tom, že existují další oprávněné zájmy správce nebo třetích osob nebo
- tom, že máte právo podat stížnost u Úřadu ochrany osobních údajů.[23]
Příklady z praxe – co když se stanete správcem?
Spolek spravuje osobní údaje svých členů
Obecně bývají spolky spíše „malými“ správci, mnoho povinností se na ně proto nevztahuje. Pokud se však podílíte na chodu spolku, je nutné klást důraz na to, abyste subjekty údajů (např. členy) informovali o tom, jak s jejich osobními údaji bude spolek nakládat, proč a za jakým účelem.
Je povinností správce (zde předsedy spolku) subjekty informovat o jejich právech. To lze provést například tak, že jakožto správce členy o jejich právech ústně nebo písemně poučíte. Doporučujeme zahrnout informaci o poučení do zápisu. Pokud chcete veřejně použít fotografie svých členů, potřebujete jejich informovaný souhlas.[24]
Další povinností je chránit osobní údaje jako takové. Osobní údaje uchovávané ve fyzické podobě postačí skladovat v uzamykatelném prostoru. Na počítači je vhodné mít přístupové heslo a antivirus. K údajům by měly mít přístup pouze ty osoby, které jsou s údaji oprávněné nakládat.
Všichni správci musí uzavřít zpracovatelskou smlouvu, pokud osobní údaje zpracovávají externí zpracovatelé. Externím zpracovatelem je například firma, která poskytuje nějaký počítačový systém, ve kterém jsou osobní údaje zpracovávány, či externí správce sítě.
Obec zpracovává osobní údaje v zápisu ze zasedání zastupitelstva
Obec musí o každém zasedání zastupitelstva provést zápis. Zápis se poté ukládá na obecním úřadě, popř. [25] Magistrátu hlavního města Prahy.[26] Občané obce mají právo do něj kdykoli nahlédnout, a to v plném znění. [27]
Pokud by však obec zápis uveřejnila na webu či ho poskytla na žádost dle informačního zákona, musí anonymizovat ty osobní údaje, při jejichž zveřejnění hrozí zásah do soukromí osoby, jejíž osobní údaje zápis obsahuje.[28]
Příkladem je situace, kdy zápis ze zasedání zastupitelstva obsahuje usnesení o prodeji obecní nemovitosti konkrétnímu člověku. V takovém případě je potřeba osobní údaje kupujícího anonymizovat takovým způsobem, aby ze zápisu nebylo zřejmé, o koho se jedná. Dle velikosti obce může jít o kompletní začernění, uvedení iniciál apod. V zápisu se naopak ponechá identifikace nemovitosti a cena, za kterou byla prodána. Tyto informace by měly být dostatečné pro kontrolu toho, zda obec se svým majetkem nakládá hospodárně. V zápisu je také vhodné informovat, že osobní údaje kupujícího jsou k nahlédnutí na obecním úřadě. Pokud by někdo měl pochybnosti, které se vztahují k osobě kupujícího (např. střet zájmů), může nahlédnout do neanonymizovaného zápisu.
Pokud nahráváte zasedání zastupitelstva nebo jednání se správním orgánem, zpracováváte osobní údaje účastníků
Obecně platí, že bez souhlasu dané osoby je možné pořídit nebo použít zvukový či obrazový záznam pouze v případě, že tato osoba veřejně vystoupí v záležitosti veřejného zájmu.[29] Jde tak například o úředníky při ústním jednání nebo zastupitele nebo občany na zasedání zastupitelstva.
Výjimka, kdy souhlas k nahrávání není potřeba, se použije jen pro činnost, která s veřejným jednáním nesouvisí. S veřejným jednáním nesouvisí například záběr na monitor notebooku občanů v hledišti, rozhovory o přestávce nebo zdravotní potíže zúčastněných. V těchto případech by již souhlas byl potřeba.
Jestliže v rámci projednávaných bodů zazní osobní údaje a jejich zveřejnění není ve veřejném zájmu, je nutné tyto údaje anonymizovat.[30] Součástí obrazového či zvukového záznamu tak nesmí být například jméno osoby, která žádá o prominutí dlužného nájemného.
Pro další informace o nahrávání zasedání zastupitelstva nebo jednání s orgánem veřejné správy doporučuje prostudovat náš Kompletní průvodce pořizováním nahrávek veřejné správy.
[7] Čl. 9 GDPR
[9] Čl. 5 GDPR
[11] Čl. 6 GDPR
[12] Čl. 21 odst. 3 GDPR
[13] Čl. 13 a 14 GDPR
[14] Čl. 15 GDPR
[15] Čl. 16 GDPR
[16] Čl. 17 GDPR
[17] Čl. 18 GDPR
[18] Čl. 20 GDPR
[19] Čl. 21 GDPR
[20] Čl. 22 GDPR
[21] Čl. 77 GDPR
[22] Čl. 7 odst. 3 GDPR
[23] Čl. 13 GDPR