Nařízení EP a Rady (EU) 2016/679o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR)
směrnice z 1995 zrušena – nefungoval „safeharbour“
od 25.5.2018 bezprostředně použitelné (28 členských států + EFTA, aplikační přednost, ponechává však národním státům pravomoci k jeho provedení a úpravě, zvláště v oblasti citlivých osobních údajů, připouští lex specialis(zákony proti praní špinavých peněz)
„single set of rules“
Co se chrání?
„osobní údaje“
veškeré informace o identifikované nebo identifikovatelné fyzické osobě (fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity)
-
bez ohledu na jejich státní příslušnost nebo bydliště, nevztahuje se na osobní údaje právnických osob
-
nevztahuje se na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti (ale hostingové služby pro činnosti osobní povahy ano)
-
právo na ochranu osobních údajů není absolutní - proporcionalita, zpracování osobních údajů by mělo sloužit lidem
-
souhlas nutný i pro uchovávání cookies - síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence, a které slouží k profilování FO
ochrana osobních údajů je základním právem – cílem harmonizace a volný pohyb osobních údajů
požadavky na osobní údaje: zákonnost, korektnost, transparentnost, jen údaje přiměřené, relevantní a omezené na nezbytný rozsah
zvláštní podmínky pro zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby
Koho zavazuje?
Každého, kdo zpracovává data fyzických osob (i orgány veřejné správy)
bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni
„správce“: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (i správce mimo EU, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb - musí jmenovat zástupce, který nese odpovědnost)
„zpracovatel“: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
Zpracování
jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
-
technologicky neutrální, aplikuje se jak při automatizovaném, tak manuálním zpracování (údajů evidovaných nebo takových, které mají být do evidence vloženy)
-
osobní údaje subjektů údajů nacházejících se v Unii uskutečněné správcem nebo zpracovatelem, jenž není v Unii usazen, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů bez ohledu na to, zda je spojena s platbou
Zásady:
zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
-
subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
-
nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
-
nezbytné pro splnění právní povinnosti, která se na správce vztahuje
-
nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
-
nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
-
nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě
Automatizované individuální rozhodování, včetně profilování
právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká
Výjimky:
-
pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů
-
povoleno právem
-
založeno na výslovném souhlasu subjektu údajů
Práva subjektů osobních údajů:
-
přístup ke svým osobním údajům
-
být informován o vhodných zárukách
-
kopie osobních údajů, přenositelnost
-
oprava nepřesných nebo neúplných údajů
-
výmaz („právo být zapomenut“) nebo na omezení zpracování
Právo subjektu údajů na přístup k osobním údajům
-
účely zpracování
-
kategorie dotčených osobních údajů
-
příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
-
plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá ke stanovení této doby
-
informace o zdroji osobních údajů
-
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
Právo subjektu údajů být informován o vhodných zárukách
Právo subjektu údajů na kopie osobních údajů,
Právo subjektu na přenositelnost (portabilita)
Fyzická osoba má právo na kopii zpracovaných osobních údajů o ní v podobě, která umožňuje přenést zpracované údaje k jinému poskytovateli služby
-
nakoupené položky, playlist, kontakty z emailu (neukládá-li zpracovatel, nemusí předat)
-
jen data získaná od subjektu a týkající se subjektu (široký výklad, tj. i poskytnutá jen udělením práv aplikaci; co údaje o protistraně? ta nový zpracovatel nesmí zpracovávat)
-
o tomto právu musí zpracovatel subjekt informovat
-
jak rychle? bezodkladně (= do měsíce)
-
bezplatně
-
forma: strojově čitelné (= zachovat informace vč. metadat, tj. ne PDF)
Právo subjektu údajů na opravu nepřesných nebo neúplných údajů
Právo subjektu údajů na výmaz („právo být zapomenut“; RTBF) nebo na omezení zpracování
pokud:
-
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
-
subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány
-
subjekt údajů vznese námitky proti zpracování
-
osobní údaje byly zpracovány protiprávně
-
osobní údaje musí být vymazány ke splnění právní povinnosti
-
osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti
Postupy
zrušena obecná ohlašovací povinnost dle Směrnice 95/46/ES
správce musí sám posoudit vliv na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika
předání ke zpracování mimo EU: „safeharbour“ - neoslabovat úroveň ochrany dle GDPR, Komise může za bezpečnou prohlásit území, odvětví v určité zemi nebo urč. mez. organizaci
Povinnosti správce:
získat souhlas
jednoznačné potvrzení - vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů
souhlas dítěte až od 16 let (národní státy mohou snížit až na 13)
jak?
písemné prohlášení (i elektronicky) nebo ústní, mlčení souhlasem není
Správce musí být schopen souhlas prokázat
Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. Souhlas není platný, je-li mezi správcem a subjektem jasná nerovnováha
Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny
Správce nesmí pátrat po dalších údajích, které by mu FO umožnily identifikovat
Odvolat souhlas musí být stejně snadné jako jej poskytnout
Transparentnost
subjekt musí dostat informace stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek.
-
právo na přístup ke shromážděným osobním údajům, které se ho týkají (strukturované, strojově čitelné)
-
právo na opravu osobních údajů, které se jí týkají
-
„právo být zapomenut“
Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací
Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká
přijmout opatření (kodex), informovat subjekt, bezplatně:
-
totožnost a kontaktní údaje správce a jeho případného zástupce
-
případně kontaktní údaje případného pověřence pro ochranu osobních údajů
-
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
-
případné příjemce nebo kategorie příjemců osobních údajů
-
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně
-
doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby
-
existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů
-
existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním
-
existence práva podat stížnost u dozorového úřadu
-
skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
-
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:
-
zdroj, odkud správce osobní údaje získal
-
totožnost a kontaktní údaje správce a případně jeho zástupce
-
případně kontaktní údaje případného pověřence pro ochranu osobních údajů
-
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
-
kategorie dotčených osobních údajů
-
případné příjemce nebo kategorie příjemců osobních údajů
-
případný záměr správce předat osobní údaje příjemci ve třetí zemi
Povinnost provádět posouzení dopadu na ochranu osobních údajů
místo ohlašovací povinnosti – správce je před zahájením zpracování provést tzv. posouzení dopadu na ochranu osobních údajů, tj. systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné. Vypracování takového posouzení by mohlo být delegováno na inspektora pro ochranu údajů, pokud bude danou společností jmenován
-
kdy (příklady): zpracování citlivých údajů, systematického monitorování veřejně přístupných míst nebo systematického a rozsáhlého vyhodnocování osobních aspektů fyzických osob, včetně profilování
-
okruh činností bude muset zveřejnit dozorový orgán
-
posuzovat přiměřenost zásahu do práv druhých, jejichž údaje budou předmětem zpracování, ještě před zahájením samotného zpracování, v současnosti vyplývá pro správce z obecných principů ochrany osobních údajů obsažených ve směrnici, zejména z povinnosti správce stanovit legální a legitimní účel zpracování, zpracovávat osobní údaje pouze na základě řádného právního titulu a v přiměřeném rozsahu
Předběžné konzultace
Vyplyne-li z posouzení, že zpracování bude vysoce rizikové a riziko nelze zmírnit přiměřenými prostředky, pokud jde o dostupnost technologií a nákladů na jejich zavedení – pokud se nenajdou žádná dostupná opatření, zpracování lze provést
- právně nepůjde o povolení!
Povinnost vést záznamy o zpracováních osobních údajů
Povinnost ohlašovat případy narušení bezpečnosti
zatím ji měli jen poskytovatelé služby elektronických komunikací
při porušení: jednat bez odkladu a je-li to možné, ohlásit dozorovému úřadu a subjektu (popsat povahu porušení, doporučení subjektu). kdy nemusí? je-li splněna kterákoli z těchto podmínek:
-
správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
-
správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
-
vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
Povinnost jmenovat DPO – Data Protection Officera (inspektora, pověřence) ochrany údajů
víc než Compliance – také IT procesy, technologie
explicitně stanovena pro orgány veřejné moci, správce nebo zpracovatele, jejichž hlavní činnost spočívá v operacích, které kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů. V jiných případech to bude určovat národní zákon