Logo Aplikace GDPR
Přihlášení   
Aplikace GDPRZákladní informace k GDPR
 

Základní informace k GDPR

 

S účinností od 25. 5. 2018 nabude účinnosti Nařízení, které prakticky nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů („Zákon“). Nařízení bude platit jednotně ve všech zemích Evropské unie a v Lichtenštejnsku, Islandu a Norsku. Nařízení je výsledkem několika let trvajícího úsilí reformovat ochranu osobních údajů v Evropské unii, byť nakonec nejde o žádnou revoluční změnu oproti dosavadním pravidlům, ale spíše o potvrzení dosavadního směřování ochrany osobních údajů, sjednocení ve všech dotčených evropských zemích a precizaci dosud spíše obecné (a tedy méně jednoznačné) právní úpravy. Dále v textu výslovně uvádíme změny, které Nařízení od května 2018 přináší.

Povinnosti ve vztahu k osobním údajům upravují také další (speciální) právní předpisy, které se použijí pouze ve zvláštních situacích. Bude se jednat například o případy zpracování zdravotnické dokumentace (zákon č. 372/2011 Sb.), zpracování osobních údajů v souvislosti s dodržováním opatření proti legalizaci výnosů z trestné činnosti (zákon č. 253/2008 Sb.), zasíláním obchodních sdělení (zákon č. 480/2004 Sb.), monitorováním zaměstnanců (zákon č. 262/2006 Sb.) nebo poskytováním finančních služeb (např. zákon č. 256/2004 Sb.). K dalším průnikům Nařízení může docházet v případě ochrany soukromí fyzických osob, které upravuje občanský zákoník (zákon č. 89/2012 Sb.). Není-li dále uvedeno jinak, nejsou oblasti upravené těmito dalšími předpisy předmětem tohoto přehledu.

V souvislosti s účinností Nařízení dojde ke zrušení Zákona a měl by být přijat nový zákon o zpracování osobních údajů, který však má Nařízení doplňovat pouze v méně podstatných ohledech. Nový zákon má dát především rámec pro fungování Úřadu pro ochranu osobních údajů („Úřad“).

Rovněž je třeba zmínit směrnici Evropského parlamentu a Rady 2016/680 ze dne 27. dubna 2016, která se vztahuje na zpracování osobních údajů v souvislosti se stíháním trestných činů. Tato nová směrnici o ochraně osobních údajů by neměla být zaměňována s Nařízením.

V sekci Dokumenty k GDPR naleznete důležité dokumenty, vztahující se k problematice aplikace GDPR v praxi. Chcete-li se zeptat na něco ohledně GDPR, napište nám přes kontaktní formulár v sekci Kontakty.

1.    ZÁKLADNÍ POJMY

Pro orientaci v úpravě ochrany osobních údajů je nutné vyložit alespoň ty nejvýznamnější termíny, které se v této souvislosti používají.

1.1    OSOBNÍ ÚDAJ

Osobním údajem se rozumí veškeré informace o určené nebo určitelné fyzické osobě (nikoli tedy právnické osobě). V zásadě tedy osobním údajem může být jakákoliv informace, která ať už samostatně, nebo v souhrnu s dalšími informacemi může sloužit k identifikaci konkrétního člověka. Příklady takových informací jsou jméno, identifikační číslo, údaje o poloze, obrazový a/nebo zvukový záznam, síťový identifikátor zařízení nebo zvláštní fyzický, fyziologický, genetický, psychický, ekonomický, kulturní nebo společenský prvek. Za jistých okolností může být osobním údajem i samotná e-mailová adresa, zejména, lze li z ní vyčíst jméno osoby. Osobními údaji jsou i údaje zveřejněné ve veřejných rejstřících (např. obchodní rejstřík) a seznamech (např. katastr nemovitostí). Dle Nařízení nejsou osobními údaji informace, které se týkají již zesnulých osob. Ty však mohou být chráněny jinými právními předpisy (např. občanským zákoníkem).

1.2    CITLIVÝ ÚDAJ

Citlivými údaji se rozumí některé zvláštní osobní údaje o fyzické osobě, jejichž zpracování může mít zásadní dopad na danou fyzickou osobu. Jedná se zejména o rasový nebo etnický původ, členství v odborech, sexuální orientaci, zdravotní stav, biometrické údaje apod. Na zpracování citlivých údajů jsou kladeny vyšší nároky, jak je uvedeno dále v textu. Dle Nařízení informace o odsouzení za trestný čin nespadají do kategorie citlivých údajů, ale i tak pro ně platí přísnější pravidla než pro běžné zpracování osobních údajů.

1.3    ZPRACOVÁNÍ

Zpracování je ve vztahu k osobním údajům vymezeno jako jakákoliv operace nebo soubor operací s osobními údaji. Při posuzování, zda se jedná o zpracování, nehraje roli, zda jde o zpracování automatizované, nebo ne. Typickými příklady zpracování osobních údajů jsou pak jejich shromažďování, ukládání, zpřístupňování, vyhledávání, šíření, zveřejňování, třídění, ale také např. likvidace. Zpracováním však není každé nakládání s osobními údaji, ale jen takové, které je prováděno za určitým účelem, do jisté míry systematicky, a tedy více sofistikovaně. Například snímání kamerami je ve smyslu Zákona považováno za zpracování v případě, kdy tyto kamery mají záznam, který se dá zpětně zobrazit. V případě kamer bez záznamu tak o zpracování nejde. Nařízení se také nevztahuje na zpracování, které provádí fyzická osoba výlučně pro osobní potřebu. Obecně platí, že automatické zpracování, byť není samo o sobě zakázáno, podléhá přísnějším požadavkům. Nařízení výslovně zmiňuje tzv. profilování, které na základě získaných osobních údajů a za pomoci automatických nástrojů (algoritmů) přisuzuje konkrétním lidem určitá hodnocení či obecné závěry, které se týkají ekonomické, pracovní nebo zdravotní situace fyzické osoby, jejich zájmů nebo výskytu. 

1.4    SPRÁVCE

Správcem se rozumí kterýkoliv subjekt, který určuje účel a prostředky zpracování osobních údajů. Nejčastěji půjde o osobu, která rozhodla o tom, že budou určité osobní údaje zpracovány. 

1.5    ZPRACOVATEL

Zpracovatelem je kterýkoliv subjekt (obdobně vymezen jako správce), který provádí pro správce zpracování osobních údajů subjektů, nejčastěji na základě smlouvy o zpracování osobních údajů. Zpracovatel tedy v zásadě není ten, kdo má na zpracování vlastní zájem, ale jde o poskytovatele služby pro jiného.

2.    PŘÍPUSTNOST ZPRACOVÁNÍ ÚDAJŮ

Základní pravidlem ve vztahu ke zpracování osobních údajů je zákaz zpracovávat osobní údaje v jiných případech než výslovně dovolených právními předpisy a pro jiné než konkrétně stanovené účely.

2.1    DŮVOD PRO ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Nařízení počítá pouze s omezenými důvody pro zpracování osobních údajů. Nejsou-li tyto důvody naplněny, je zpracování zakázáno.

(a)    Zpracování se souhlasem

Upřednostňovaným důvodem pro zpracování je souhlas subjektu údajů, tedy fyzické osoby, jíž se zpracovávané údaje týkají. Souhlas přitom musí být udělen svobodně a na základě dostatečného informování o rozsahu a důsledcích zpracování. Svoboda při udělení souhlasu spočívá na straně správce především v tom, že souhlas musí být oddělen od jiných záležitostí, ke kterým se subjekt vyjadřuje. Pokud například fyzická osoba uzavírá smlouvu, neměl by být souhlas se zpracováním osobních údajů „ukryt“ v těle smlouvy, ale měl by být přehledně uveden zvlášť, popř. na samostatném listu nebo dialogovém oknu, resp. check boxu. Zároveň je nepřípustné, aby bylo plnění (např. uzavření kupní smlouvy, smlouvy na dodávky služeb) pro subjekt údajů podmiňováno udělením souhlasu se zpracováním jeho osobních údajů. Taková závislost dodaného plnění na uděleném souhlasu by zpochybňovala svobodu subjektu.
Požadavek informovaného souhlasu především znamená, že subjekt ví, k jakému konkrétnímu účelu mají být osobní údaje zpracovány. Správce je však povinen informovat subjekt údajů o dalších údajích, k tomu viz čl. 3.1 tohoto přehledu. Forma souhlasu není stanovena (nemusí být například písemný), ale správce musí být kdykoli schopen udělení souhlasu prokázat. Fyzická osoba může kdykoli svůj souhlas odvolat, a to třeba jen pro určitý účel. Od tohoto okamžiku nemohou být osobní údaje zpracovávány, ledaže existuje jiný zákonný důvod zpracování [viz dále body (b)–(g)]. Nařízení zpřísňuje podmínky pro získání souhlasu, zejména s ohledem na jeho formální projev. Správce bude muset být schopen prokázat, že fyzická osoba udělila souhlas na podkladě srozumitelných informací poskytnutých správcem odděleně od ostatních skutečností. Dosud získané souhlasy tak sice zůstávají v platnosti i po nabytí účinnosti Nařízení, nicméně nemusí nutně odpovídat požadavkům Nařízení a je možné, že bude třeba získat souhlasy nové. 

(b)    Zpracování za účelem dodržení právní povinnosti

Správce nepotřebuje souhlas subjektů údajů, pokud zpracováním jejich osobních údajů plní povinnosti uložené mu některým právním předpisem. Tak například zákonná povinnost zaměstnavatele vést mzdovou agendu znamená nutně zpracovávání osobních údajů. V tomto nezbytném zákonném rozsahu zpracování pak zaměstnavatel nepotřebuje souhlas zaměstnanců. 

(c)    Zpracování za účelem plnění smlouvy

Dalším zákonným důvodem pro zpracování osobních údajů je nezbytnost z důvodu plnění smlouvy uzavřené se subjektem údajů. Příkladem je např. uchovávání informací o zákaznících za účelem doručení zboží nebo vyřízení reklamace.

(d)    Zpracování k ochraně životně důležitých zájmů subjektu údajů

Tento důvod pro zpracování bude velmi výjimečný a jeho trvání jen dočasné. Půjde o případy nakládaní s údaji, pokud je to nezbytné v zájmu zachování života nebo zdraví fyzických osob a pokud zároveň není možno získat jejich souhlas z důvodu např. jejich zdravotního stavu. Správce však musí následně bez zbytečného odkladu získat souhlas dotčené osoby ke zpracování jejich osobních údajů. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat.

(e)    Zpracování k ochraně práv a oprávněných zájmů 

Správce je dále bez souhlasu oprávněn zpracovávat osobní údaje v případech, kdy je zpracování nezbytné pro účely výkonu jeho oprávněných zájmů. Musí se však jednat o případy, kdy zájmy správce převáží nad zájmy subjektu údajů. Oprávněným zájmem správce je např. uchovávat kamerové záznamy pro účely ochrany majetku, kdy tento zájem převáží nad zájmem subjektu na ochranu soukromí.

(f)    Zpracování osobních údajů ve veřejném zájmu

V případě, kdy správce  zpracovává osobní údaje jako součást výkonu veřejné moci, představuje tato skutečnost rovněž oprávněný důvod pro zpracování osobních údajů. Výkonem veřejné moci mohou být vedle orgánů veřejné moci pověřeny i fyzické a právnické osoby.

2.2    VÁZANOST URČITÝM ÚČELEM ZPRACOVÁNÍ

Účel zpracování osobních údajů musí odpovídat povolenému důvodu a musí být výslovně vyjádřen. Osobní údaje získané pro určitý účel nesmějí být dále zpracovány v rozporu s tímto účelem nebo pro jiný účel (s výjimkou dalšího zpracování pro archivační, vědecké a statistické účely). Správce si tedy musí předem dobře rozmyslet, k jakému účelu má zájem osobní údaje shromažďovat a dále zpracovávat a zda tento účel odpovídá některému z výše uvedených zákonných důvodů zpracování. Dle Nařízení je nově možné zpracovávat osobní údaje pro jiný účel za splnění určitých podmínek, zejm. v případech, kdy je tento jiný účel slučitelný s původně deklarovaným účelem a kdy je subjekt údajů předem o zpracování pro tento jiný účel informován.

2.3    ZPRACOVÁNÍ CITLIVÝCH ÚDAJŮ

Zpracování citlivých údajů je až na několik konkrétních výjimek zakázáno. Nařízení i další zvláštní předpisy stanoví z tohoto pravidla omezené výjimky. Na prvním místě je možné citlivé údaje zpracovávat na základě výslovného souhlasu dotčené fyzické osoby, který musí být opět podložen poskytnutím detailních informací o způsobech, subjektech a době zpracování, jakož i zvláštních právech této osoby vůči správci.

2.4    ROZSAH ZPRACOVÁNÍ

Správce je oprávněn zpracovávat osobní údaje výlučně v množství přiměřeném, odpovídajícím deklarovanému účelu zpracování a pouze po nezbytně nutnou dobu. Správce by měl být připraven obhájit, že je zpracování osobních údajů co do druhu, množství a době zpracování skutečně potřebné k naplnění účelu zpracování na základě některého ze zákonných důvodů zpracování.

2.5    MONITORING ZAMĚSTNANCŮ

V praxi při činnosti zaměstnavatele může docházet k situacím, kdy určitá činnost spadá jak pod úpravu Nařízení, tak se na ni budou vztahovat omezení dle Zákoníku práce. Půjde zejména o situace, kdy zaměstnavatel své zaměstnance podrobuje nějaké formě monitoringu jeho činnosti. Zákoník práce vyjmenovává tyto formy kontroly:­
  • sledování;
  • odposlechy;
  • záznamy telefonických hovorů;­
  • kontrola elektronické pošty nebo listovních zásilek adresovaných zaměstnanci; a to bez ohledu na to, zda jde o skrytou nebo otevřenou formu monitoringu, nebo zda s ní zaměstnanec souhlasí.
Tyto kontrolní mechanizmy nemusí vždy představovat zpracování osobních údajů podle Nařízení. Takovým příkladem budou odposlechy telefonátů nebo kamerového sledování bez pořizování záznamů. Pokud však půjde o zpracování osobních údajů zaměstnanců ve smyslu Nařízení, bude zapotřebí nejprve vyhovět požadavkům Zákoníku práce. Zákoník práce umožňuje sledování zaměstnanců pouze v případě, že je zde je závažný důvod pro sledování spočívající ve zvláštní povaze činnosti zaměstnavatele. Zvláštní povaha činnosti zaměstnavatele může spočívat v nakládání s ceninami či jinými hodnotami vyšší hodnoty, v zajištění bezpečnosti osob a majetku při výskytu zvláštních rizik či nějaké nebezpečné činnosti, které je třeba předcházet. Nepostačuje však jen sama zvláštní povaha činnosti zaměstnavatele, ale musí být dán rovněž závažný důvod.
 
Kupříkladu při nakládání s věcmi vysoké hodnoty musí existovat závažný důvod použití této formy zabezpečení, např. nemožnost zajistit ochranu věcí vysoké hodnoty jiným způsobem, ať už vhodným zabezpečením či jinými postupy. Sledování zaměstnanců při nesplnění výše uvedených požadavků Zákoníku práce není možné obejít získáním souhlasu zaměstnance. Případný souhlas zaměstnance je v tomto ohledu zcela bez významu a neopravňuje zaměstnavatele provádět sledování zaměstnanců. Naopak platí, že jsou-li splněny podmínky Zákoníku práce pro použití některého z uvedených kontrolních mechanizmů, nemusí s tím zaměstnanec souhlasit, ale zaměstnavatel je povinen jej informovat o rozsahu kontroly a o způsobech jejího provádění.

3.    POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Správci je v oblasti ochrany osobních údajů ukládáno značné množství povinností. Pracovně je možné si je rozdělit na dvě skupiny: Povinnosti správce vůči dotčeným fyzickým osobám, které osobní údaje poskytují; těmto povinnostem správce odpovídají specifická subjektivní práva fyzických osob (části 3.1–3.5). Další skupina povinností správce působí především dovnitř jeho procesů, popř. vůči Úřadu (části 3.6–3.10).

3.1    INFORMAČNÍ POVINNOST

V okamžiku získání osobních údajů je správce povinen poskytnout subjektu informace týkající se zejména osoby správce, jeho kontaktních údajů, účelů zpracování osobních údajů, případných další příjemců osobních údajů a potenciálního úmyslu předat osobní údaje do třetí země nebo mezinárodní organizaci. Stejně tak je správce povinen učinit v případě, kdy správce získá osobní údaje od jiné osoby, než je subjekt údajů. Nařízení časově dále upřesňuje, že správce poskytne výše uvedené informace při první komunikaci se subjektem, nejpozději však do jednoho měsíce od získání osobních údajů. Správce je dále povinen na žádost subjektu poskytnout rovněž bezplatně informace o zpracovávaných osobních údajích, jejich rozsahu, dalších příjemcích a přijatých bezpečnostních opatřeních, jakož i vysvětlení v případě podezření o nezákonném zpracování osobních údajů. 

3.2    OPRAVA OSOBNÍCH ÚDAJŮ

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil či doplnil nepřesné nebo neúplné osobní údaje, které se ho týkají, popřípadě je blokoval nebo zcela odstranil.

3.3    PRÁVO BÝT ZAPOMENUT

Správce je povinen vymazat shromážděné osobní údaje, a to především v případě, kdy byl vyčerpán účel zpracování osobních údajů, osobní údaje byly zpracovány protiprávně či dotčená fyzická osoba odvolá souhlas se zpracováním svých osobních údajů a správce nemá jiný zákonný důvod pro zpracování.

3.4    PRÁVO NEBÝT PŘEDMĚTEM AUTOMATIZOVANÉHO INDIVIDUÁLNÍHO ROZHODOVÁNÍ

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro subjekt mělo právní či jiné významné účinky. Profilováním se pro účely Nařízení rozumí využívání osobních údajů subjektu k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, např. k předpovědi potenciální ekonomické situace, preferencí, zdravotního stavu subjektu apod. Výjimkou jsou případy, kdy je profilování nutné k uzavření nebo plnění smlouvy, je povoleno právními předpisy nebo je prováděno se souhlasem subjektu.

3.5    PRÁVO NA PŘENOSITELNOST OSOBNÍCH ÚDAJŮ

Nově podle Nařízení má subjekt údajů právo na přenesení jeho osobních údajů k jinému správci. Původní správce je tak povinen předat subjektu zpracovávané osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Toto právo je fyzickým osobám přiznáno v případě, kdy jsou osobní údaje zpracovávány na základě souhlasu, pro účely plnění smlouvy či automatizovaně. Účelem je ulehčit pohyb osobních údajů v zájmu dotčených fyzických osob.

3.6    BEZPEČNOSTNÍ OPATŘENÍ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Nařízení ukládá správcům povinnost zabezpečit osobní údaje, přičemž neukládá konkrétní povinnosti, jak tohoto zabezpečení dosáhnout. Jaké zabezpečovací prostředky správce zvolí, záleží právě na správci a rovněž správce je za zabezpečení osobních údajů odpovědný. Standardně se zabezpečení osobních údajů dělí na technická a organizační.
Technickými se rozumí zejména zabezpečení spočívající ve fyzické ochraně, tj. např. uzamykání místností, ve kterých jsou obsaženy nosiče s osobními údaji, či elektronickém zabezpečení před nedovoleným přístupem.
Organizační opatření pak např. definují přístupy k osobním údajům či k nakládání s nimi pro jednotlivé pracovníky nebo jejich skupiny. Mohou také spočívat ve vydávání závazných informačních materiálů nebo pořádání interních školení za účelem pěstování vědomí pracovníků o povinnostech souvisejících s ochranou osobních údajů.
Nařízení dále uvádí příklady některých takových opatření, které by měli správci ve vhodných případech zavést:­
  • pseudonymizace, tj. zpracování osobních údajů takovým způsobem, že nemohou být přirazeny ke konkrétnímu subjektu samostatně, ale až v návaznosti na dodatečné informace, které jsou zpracovány odděleně a jsou zabezpečeny tak, aby nemohly být neoprávněně spárovány;­
  • šifrování osobních údajů, tj. ochrana pomocí šifrovacího klíče, znemožňující přístup k osobním údajům bez dešifrovacího klíče;
  • zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování, tím se rozumí zejména opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením osobních údajů a aktualizace bezpečnostních opatření s ohledem na dostupnou technologii za účelem zajištění funkční ochrany osobních údajů;
  • a­ schopnost obnovit dostupnost osobních údajů a přístup k nim v případech bezpečnostních incidentů, čímž se rozumí události, kdy dojde k náhodnému nebo protiprávnímu zničení, ztrátě, změně, poskytnutí nebo zpřístupnění zpracovávaných osobních údajů.
Správce je povinen zajistit, že jeho pracovníci zpracovávají osobní údaje pouze na jeho pokyn, zejména vytvořit organizační strukturu tak, aby osobní údaje byly přístupné pouze určitým zaměstnancům, u nichž to pracovní zařazení vyžaduje. Přijatá opatření je správce povinen dokumentovat, pravidelně testovat, posuzovat a hodnotit a v případě potřeby aktualizovat. Nařízení rovněž nově přináší povinnost informovat Úřad v případě rizikových bezpečnostních incidentů. Správce je dále povinen takovouto událost zdokumentovat a pokud je pravděpodobný nepříznivý následek pro subjekty, např. v podobě zpřístupnění osobních údajů třetím osobám bez souhlasu subjektu, je správce povinen o porušení informovat i je.

3.7    ZÁZNAMY O ZPRACOVÁNÍ A AUDITY

U správců, kteří buď (i) zaměstnávají více než 250 osob, (ii) jejich zpracování osobních údajů není jen příležitostné (tzn. je prováděno stabilně v nezanedbatelném rozsahu), (iii) zpracovávají citlivé údaje či údaje týkající se trestních řízení, nebo (iv) jejich zpracování pravděpodobně představuje riziko pro práva a svobody subjektů údajů, bude dle Nařízení platit povinnost, v návaznosti na průběžné posuzování a aktualizování přijatých opatření, vést dokumentaci o způsobu zpracování osobních údajů, zejména ohledně účelů zpracování, kategoriích zpracovávaných osobních údajů či příjemců osobních údajů.
Nařízení nově výslovně počítá s možností auditů a certifikací k prokázání plnění povinností. Za tímto účelem je nově upraveno zejména osvědčení o ochraně údajů. V České republice to bude pravděpodobně nejprve Český institut pro akreditaci, o. p. s. který bude moci jednotlivým správcům vystavovat osvědčení o ochraně osobních údajů prokazující soulad procesu zpracovávání s Nařízením. Je však třeba upozornit na to, že toto osvědčení bude dobrovolné a jeho vystavení nebude snižovat odpovědnost správce za případné pochybení při plnění povinností stanovených Nařízením.

3.8    POSOUZENÍ VLIVU

Ve stanovených rizikových případech, např. při využití nových technologií, při plánovaném monitorování veřejně přístupných prostorů či při systematickém vyhodnocování osobnostních aspektů fyzických osob, bude správce nově podle Nařízení muset posoudit vliv těchto potenciálních rizikových případů na ochranu osobních údajů. Výstupem tohoto procesu může být zpráva obsahující přinejmenším popis zamýšlených operací a účely zpracování, posouzení nezbytnosti a přiměřenosti těchto operací s ohledem na účel zpracovávání, posouzení rizik a návrhy jejich odstranění, popř. minimalizace, a to včetně použitých bezpečnostních opatření.

3.9    POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ

Je-li správce orgánem veřejné moci nebo veřejným subjektem a dále ve výjimečných případech, kdy činnost správce spočívá v rozsáhlém systematickém monitorování subjektů osobních údajů či v případě rozsáhlého zpracování citlivých údajů, je správce nově podle Nařízení povinen ustanovit pověřence pro ochranu osobních údajů, tj. osobu kontrolující soulad procesů zpracování osobních údajů s právními předpisy. Osobu pověřence je správce povinen sdělit Úřadu a jeho kontaktní údaje zveřejnit. Na pověřence pro ochranu osobních údajů nejsou výslovně kladeny žádné kvalifikační požadavky, ale Nařízení předpokládá odborné znalosti práva a praxe v oblasti ochrany osobních údajů.
Správce je pak povinen pověřenci poskytnout zdroje potřebné pro výkon jeho úkolů, přístup k osobním údajům a zajišťovat udržování jeho odborných znalostí. Pověřenec pro ochranu osobních údajů má své úkoly plnit odborně a nezávisle, pročež mu správce nesmí udělovat pokyny týkající se plnění těchto úkolů. Skupina složená z vícero ovládajících a ovládaných osob, popř. subjekty zastupující kategorie správců mohou zvolit společného pověřence pro ochranu osobních údajů.

3.10    KODEXY CHOVÁNÍ

Na základě Nařízení mohou státní orgány, orgány EU, jakož i sdružení či jiné subjekty zastupující skupiny správců či zpracovatelů vypracovat kodexy chování za účelem upřesnění povinností stanovených Nařízením, zejména ve vztahu k transparentnosti zpracování, pseudonymizaci a dalším bezpečnostním opatřením, nebo např. ve vztahu k plnění informační povinnosti. Evropská komise pak může rozhodnout o přiznání všeobecné platnosti některých kodexů chování a za účelem všeobecné platnosti tyto kodexy zveřejnit. Lze tedy očekávat, že v budoucnu se bude oblast závazných předpisů konkretizovat a právní úprava ochrany osobních údajů rozšiřovat.

4.    PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ

Předávání osobních údajů správcem jinému správci je v rámci Evropské unie a některých dalších zemí v zásadě dovoleno. Za tímto účelem je třeba informovat subjekt údajů o potenciálních příjemcích jeho osobních údajů. Pro předávání osobních údajů do třetích zemí je momentálně třeba povolení Úřadu. Od účinnosti Nařízení pak individuální povolení nebude potřeba získat, předání však bude možné pouze do zemí, do kterých to Evropská Komise paušálně povolila.

Za účelem ochrany osobních údajů předávaných do třetích zemí nebo mezinárodním organizacím pak Nařízení předkládá několik možností, jak této ochrany docílit:

  1. Rozhodnutí o odpovídající ochraně – Evropská komise je oprávněna způsob ochrany osobních údajů příslušné třetí země či mezinárodní organizace označit za dostačující, čímž je předávání osobních údajů do takto označených zemí či těmto mezinárodním organizacím povoleno bez nutnosti dalšího povolení. Například ve vztahu k předávání osobních údajů do USA bylo přijato prováděcí rozhodnutí komise (EU) 2016/12580, na základě kterého byly USA označeny za stát zajišťující odpovídající úroveň ochrany osobních údajů (tzv. „Štít EU-USA na ochranu soukromí“).
  2. Vhodné záruky – těmi se rozumí některé nástroje ochrany osobních údajů (např. doložka s příslušným příjemcem či mezinárodní smlouva o ochraně osobních údajů), přijaté za účelem ochrany osobních údajů; a
  3. Závazná podniková pravidla – u společností se spřízněnými osobami (např. v rámci koncernu) je možné, po schválení Úřadem, vydat závazná podniková pravidla, která musí být platná a vymahatelná pro všechny takto spřízněné osoby a musí subjektům údajů poskytovat práva srovnatelná s právy dle Nařízení.

5.    SANKCE

Za porušení některých povinností, např. ve vztahu k povinnosti uchovávat záznamy o zpracování, tak může Úřad udělit pokutu až do výše 10.000.000 eur, nebo až do výše 2 % celosvětového ročního obratu, podle toho, která hodnota je vyšší.

Ve vztahu k podstatnějším pravidlům zpracování osobních údajů, tj. např. požadavkům na zákonnost zpracování, informační povinnost a další práva subjektů údajů, jsou pak horní hranice pokut nastaveny až na 20.000.000 eur, nebo až 4 % celosvětového ročního obratu.

Zásady, za které odpovídá správce:

  1. Osobní údaje lze zpracovávat pouze za podmínek dovolených právními předpisy.
  2. Zpracování musí probíhat pouze pro konkrétní účel. Nesmí být zpracovávány pro jiný účel, který je neslučitelný s původně deklarovaným účelem.
  3. Osobní údaje musí být zpracovávány pouze v rozsahu nezbytném pro daný účel a v aktuálním stavu.
  4. Osobní údaje musí být zpracovávány pouze nezbytně potřebnou dobu.
  5. Nesmí být zpracovávány neaktuální, nebo nepřesné osobní údaje.
  6. Osobní údaje musí být zabezpečeny proti neoprávněnému nakládání a náhodnou ztrátou či zničením.