Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Zjednodušeně řečeno jsou to všechny údaje, za pomocí kterých můžeme určitou osobu identifikovat (ne jen hypoteticky, ale reálně).
Příklad: jméno a příjmení, email, mobilní telefon, rodné číslo, fotografie a video, informace o zájmech, adresa, IP adresa, cookies
“Petr Novák” jméno a příjmení tak četné, že samo o sobě ještě nemusí být osobním údajem. Ovšem ve spojení s dalšími identifikátory (jako e-mail nebo datum narození, případně zájmy této osoby) se již o osobní údaj jednat bude.
Citlivé osobní údaje
GDPR počítá s údaji o zdravotním stavu, sexuální orientaci, rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, a trestních deliktech či pravomocném odsouzení osob. Jsou to osobní údaje, které mohou být samy o sobě důvodem pro diskriminaci nebo ztížení pozice osoby. K těmto údajům je potřeba přistupovat s mimořádnou péčí.
Příklad: národnostní, rasový nebo etnický původ, politické postoje, náboženství a filozofické přesvědčení, zdravotní stav, sexuální orientace
Subjekt údajů
Subjektem údajů je žijící fyzická osoba, jíž se osobní údaje týkají. Údaje vztahující se k právnické osobě za osobní údaje považovat nelze - subjektem údajů tudíž není právnická osoba.
Příklad: subjekt údajů může být zákazník e-shopu, který vyplnil objednávkový formulář (jméno, příjmení, telefon, adresa), subjekt údajů není třeba samostatně stojící název firmy
Zpracování osobních údajů
Není to jakékoli nakládání s osobními údaji, ale systematická činnost, kterou správce činí za určitým účelem. Zpracování může probíhatautomaticky, manuálně anebo kombinací obojího. GDPR přitom uvádí následující činnosti - shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Osobní údaje, které nejsou zpracovávány, ale přesto je s nimi jiným než systematickým způsobem nakládáno, jsou chráněny v režimu Občasnkého zákoníku (zákon č. 89/2012 Sb.)
Příklad: Systematické ukládání e-mailů, telefonních čísel a dalších osobních údajů do databáze a jejich následné používání, seznam zaměstnanců za účelem vedení mezd a docházky, nahrávání a ukládání kamerových záznamů v prodejně, zveřejňování obsahu na internetu spojeného s konkrétní osobou (rozhovor, video, fotografie apod.).
Informační povinnost
Podle GDPR je potřeba udržovat vysokou míru informovanosti osob, jejichž údaje jsou zpracovávány. Není přitom podstatné, jakým způsobem jsou údaje získávány (internet, telefon, osobně na prodejně). Subjekt údajů by měl být informován v okamžiku získání osobních údajů.
Příklad: Je několik možností v závislosti na konkrétních situacích, jak tuto povinnost splnit. Může to být vypracovaná dokumentace jako Firemní politika zpracovávání osobních údajů zaměstnanců, Pravidla o zpracovávání osobních údajů zveřejněná na webu nebo podrobné informace v objednávkovém formuláři či zaslaný e-mail. Důležité je, nezapomenout na informovat o všem, co GDPR ve smyslu čl. 14 požaduje a použít přitom jednoduchý jazyk a uživatelsky přívětivou formu.
Právní titul
Oprávnění správce osobní údaje zpracovávat. Jedná se nezbytný předpoklad pro to, aby vůbec mohly být osobní údaje zpracovávány. Pokud správce nemá právní titul (důvod), pak je nutné zpracování ukončit a osobní údaje odstranit.
Právních titulů je podle GDPR šest a jsou si naprosto rovnocenné. Žádný není lepší než jiný, dokonce ani často adorovaný souhlas.
Souhlas se zpracováním osobních údajů
Plnění smlouvy
Oprávněný zájem
Plnění právní povinnosti
Životně důležitý zájem
Úkol ve veřejném zájmu
Příklad: Zákazník nakoupí v e-shopu. Aby mohla být objednávka zpracována je nezbytné uvést jméno, příjmení, adresu a email (právním titulem je plnění kupní smlouvy). Následně bude archivovat fakturu, a to 10 let (plnění právní povinnosti) a současně chce využívat e-mailovou adresu svého zákazníka k zasílání obchodního sdělení e-mailem (k tomu zváží právní titul oprávněný zájem, zváží na jakou dobu a řádně o tom zákazníka informuje).
Oprávněný zájem
Je to jeden ze šesti rovnocenných právních titulů. Oprávněný zájem bude záležet na individuálním zvážení správce, zda jej bude moci využít jako právního titulu ke zpracování. Může jít o čistě subjektivní potřebu správce. Tato potřeba musí být velmi intenzivní, aby ke zpracování opravňovala. Zároveň však nad tímto zájmem nesmí převažovat zájmy nebo základní práva a svobody subjektu údajů. Za oprávněný zájem bývá typicky označován např. konvenční přímý marketing.
Příklad: Obchodník má zájem na ochraně svého majetku, proto monitoruje prostor prodejny kamerovým systémem. Oprávněnost zájmu bude záviset na posouzení toho, v jakém rozsahu je monitorování nastaveno případně, jak dlouho jsou záznamy uloženy. Zájem majitele na ochraně majetku nesmí být v rozporu se zájmy fyzických osob na ochraně osobních údajů.
Souhlas se zpracováním osobních údajů.
Souhlas je jedním z právních titulů (důvodů) ke zpracování osobních údajů. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává své svolení ke zpracování svých osobních údajů. Je to aktivní, dobrovolný a bezpodmínečný projev vůle.
Není pravda, že každé zpracování osobních údajů musí být založeno na souhlasu. V některých případech může být souhlas dokonce vyžadován nadbytečně.
Příklad: Raději budu souhlas vyžadovat vždy a všude, jistota je jistota. To je bohužel častý mýtus. Preventivní souhlasy k oprávněnému zpracovávání nevedou. Typicky u vlastního zákazníka není potřeba dožadovat se souhlasu se zpracováním osobních údajů, pokud dojdu k závěru, že již mohu zpracovávat na základě zákon - právní titul “oprávněný zájem”.
Souhlas se zasíláním obchodních sdělení
Obchodní sdělení (email, sms) je možné posílat elektronickými prostředky podle pravidel zákona č. 480/2004 Sb. o službách informační společnosti. Tento zákon s účinností GDPR nezmizí, naopak, pravidla pro zasílání obchodních sdělení budou stále platit. Obchodní sdělení je možné zasílat
a. pokud s tím adresát vyslovil předchozí souhlas nebo
b. se jedná o stávající zákazníky, avšak pouze k propagaci vlastních obdobných výrobků nebo služeb (musí být dodržena možnost se jednoduše odhlásit).
Příklad: Svým stávajícím zákazníkům mohu poslat novinky e-mailem, zde je mírnější opt-out režim. Důležité je, aby to byli zákazníci, kteří se v minulosti z odběru neohlásili a také, aby šlo skutečně o mé zákazníky (nikoli koupenou databázi). Propagovat mohu pouze obdobné výrobky a služby - vyžaduje se alespoň základní souvislost předmětu propagace. Pokud se nejedná o zákazníky, bude pravděpodobně souhlas potřeba.
Správce
Subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá.
Příklad: Majitel e-shopu, který systematicky sbírá data o svých zákaznících za různými účely (doručení objednávky, poslání newsletteru) a různými způsoby (pop-up formulář, objednávkový formulář, e-book, soutěž). Navíc má zaměstnance, jejichž osobní údaje také zpracovává.
Zpracovatel
Zpracovává osobní data na základě pověření nebo smlouvy pro správce, dle jeho pokynů.
Příklad: Majitel e-shopu může při svém podnikání předávat osobní údaje k dalšímu zpracování zpracovateli. Tím může být mzdová účetní nebo e-mailingová agentura, ale také různí poskytovatelé zaměstnaneckých benefitů.
POZOR! V některých případech může být jeden subjekt správce a zpracovatel v jedné osobě. Jindy zase mohou být správci v rovnocenné pozici společných správců (např. uživatel Facebooku a Facebook). Dále pak agentura nebo konzultant se také mohou stát správci vedle jiného správce a to v případě, pokud jim klient přenechá veškeré pravomoci ohledně správy osobních údajů. Pak už je to konzultant nebo agentura, kdo určuje účely a prostředky zpracování osobních údajů.
Zpracovatelská smlouva
Ke správnému nastavení vztahu mezi správcem a zpracovatelem musí být uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Nemusí se jednat o samostatný dokument. Správce, byť některé osobní údaje svěří zpracovateli, zůstává stále odpovědný za zpracování.
Příklad: Zpracovatelská smlouva definuje také vztah stran zpracování osobních údajů mezi Ecomailem a jeho klienty. Momentálně jsou podmínky pro zpracování součástí VOP, které budou revidovány podle GDPR. Zpracovatelská smlouva bude připravena v nové verzi VOP. Nové VOP bude možné pouze “schválit” po přihlášení do účtu, současně bude možné smlouvu stáhnout ve formátu .pdf.
Profilování
Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu. Obvykle za účelem zmapování preferencí subjektu údajů za účelem předvídání dalšího chování.
Příklad: Segmentace zákazníků podle získaných osobních údajů - pohlaví, věk, záliby, transakční historie nákupů - to vše za účelem lepšího cílení reklamy.
DPO
Data Protection Officer - Pověřenec na ochranu osobních údajů. Hlavním úkolem DPO je dohlížení na soulad zpracování osobních údajů s povinnostmi stanovenými GDPR. Za tím účelem bude pravděpodobně organizovat interní audity, školení pracovníků, dozorování a aktualizace nastavených procesů zpracování dat.
Ustanovit DPO není povinné pro všechny. Jmenování pověřence je povinné pokud:
zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Příklad: Zdravotnické zařízení, které poskytuje péči zároveň zpracovává osobní údaje všech svých pacientů. Nemocnice je v pozici správce, pro kterého je zpracování osobních údajů hlavní činností, současně bude pravděpodobně docházet také ke zpracování zvláštních kategorií údajů (zdravotní stav). Běžný e-shop pravděpodobně DPO jmenovat nemusí, není však vyloučeno jeho dobrovolné jmenování.
Posouzení vlivu na ochranu osobních údajů
Dokumentace, kterou musí správce vypracovat, v případech:
systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech,
rozsáhlého systematického monitorování veřejně přístupných prostorů.
Posouzení se musí provést před započetím předmětného zpracování.
Příklad: Výsledkem by měla být dokumentace anebo softwarové řešení, která správci umožní zmírnit rizika a současně prokázat soulad procesů s GDPR.
Máte otázky nebo potřebujete vyřešit GDPR pro svou firmu?
