GDPR SLOVNÍČEK

Citlivé údaje

Zvláštní kategorie osobních údajů neboli citlivé údaje jsou takové osobní údaje, které mohou mít významný vliv na základní práva a svobody.

Prakticky si můžete představit, že jejich únik může představovat riziko ztráty reputace, snížení společenského uplatnění, různé formy diskriminace až po riziko ohrožení života. Proto citlivé údaje vyžadují zvýšenou ochranu.

Mezi citlivé údaje náleží informace o rase, etnickém původu, politické názory, náboženství, sexuální orientace, zdraví, trestných deliktech či pravomocném odsouzení. V rámci GDPR jsou mezi citlivé údaje nově řazeny také biometrické a genetické údaje. 

Cookies

Cookies jsou malé datové soubory, které umožňují ukládat si o uživateli konkrétní údaje a při příští návštěvě jej odlišit. Jejich využití je klíčové pro personalizaci. GDPR se věnuje především trackovacím cookies. 

DPO – pověřenec pro ochranu osobních údajů

DPO je pověřencem ochrany osobních údajů (Data Protection Officer). Jeho hlavním úkolem bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků. Na starost ve firmě by měl mít řízení systému interní ochrany dat.

Povinnost jmenovat DPO máte, pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování občanů,
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

ePrivacy

ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích je nadstavbou GDPR, které se na elektronické komunikace zaměřovalo spíše okrajově. (Mimo jiné řeší také problematiku zasílání obchodních sdělení.) 

Nařízení ePrivacy v porovnání s tím zaručuje důvěrnost všech elektronických kontaktů bez ohledu na to, zda obsahují osobní údaje. Ochrana soukromí bude zaručena nejen u obsahu, ale též u metadat odvozených z elektronické komunikace. Pro shromažďování těchto dat bude vyžadován souhlas. 

ePrivacy bude mít značný dopad na práci s cookies.

Účinnost obou uvedených nařízení měla nastat 25. května 2018. V případě ePrivacy je však legislativní proces teprve na začátku a již nyní je jasné, že se v tomto termínu nestihne. Předpokládá se účinnost okolo roku 2020.

GDPR 

General Data Protection Regulation. Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Přináší nová práva subjektů a mnohá zpřísnění. Pokud s GDPR začínáte, pokračujte na tuto stránku >>

Informační povinnost

Informační povinnost je již nyní součástí aktuálního zákona č. 101/2000 Sb., o ochraně osobních údajů (§ 11, odst. 1).  

  • Citace § 11 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů:

Již nyní je Správce při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21. (Informační povinnost může plnit za Správce Zpracovatel.)

S GDPR musí informační povinnost obsahovat:

  • rozsah, účel zpracování, právní titul,
  • které osobní údaje,
  • po jak dlouhou dobu,
  • komu – kdo je Správce,
  • komu mohou být zpřístupněny,
  • práva subjektu údajů (úprava, výmaz, informace o tom, jaké údaje jsou zpracovávány, možnost obrátit se na kontrolní orgán).

 

Osobní údaje

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat –zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 

Za zvláštní kategorii osobních údajů neboli citlivých údajů jsou pak považovány takové osobní údaje, které mohou mít významný vliv na základní práva a svobody.

Právní titul (důvod)

Každý účel zpracování musí být opřen o některý z těchto právních titulů.  Právní tituly (důvod), které mohou být základem pro zpracování:

  • plnění smlouvy,
  • splnění právní povinnosti,
  • ochrana životně důležitých zájmů subjektů údajů,
  • veřejný zájem, výkon veřejné moci,
  • oprávněný zájem Správce,
  • souhlas.

Každý účel zpracování musí být opřen o některý z těchto právních titulů. 

Profilování

Profilování je jakákoli forma automatizovaného zpracování osobních údajů, na základě které dochází k vyhodnocení nebo předvídání aspektů v chování osob. Pokud profilování provádíte, vztahují se na vás speciální povinnosti, subjekty údajů mají v souvislosti s profilováním další práva.

Práva subjektů spojené s profilováním:

  • právo nebýt předmětem automatizovaného rozhodnutí,
  • informační povinnost a právo na přístup,
  • právo vznést námitku.

 

Souhlas se zpracováním

Souhlas se zpracováním je jedním z šesti právních titulů, na základě kterých mohou být osobní údaje zpracovávány. Pokud je zpracování založeno na souhlasu, musí být správce schopen tento souhlas doložit. Doložit musí nejen samotný souhlas, ale také to, že souhlas splnil následující podmínky.

Souhlas z pohledu GDPR musí být:

  • svobodný,
  • informovaný,
  • jednoznačný
  • a ničím nepodmíněný. 

Souhlas může být odvolán. Odvolání souhlasu nemusí znamenat nutnost údaje zlikvidovat. (Souhlas je vždy vázán ke konkrétnímu účelu a odvolání souhlasu je opět odvoláním souhlasu ke zpracování z daného účelu. Pokud jsou údaje zpracovávány i za jiným účelem, mohou být uchovány.)

Souhlas se s GDPR stává rovnocenným s dalšími pěti tituly. Jeho získání se stává složitější, a stává se tak poslední možností, pokud nevyužijete jiný z právních titulů. 

Správce

Správce osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů. Zodpovídá za opodstatnění zpracování na základě některého z právních titulů a zodpovídá za zabezpečení osobních údajů, které mu byly svěřeny.

Subjekt údajů

Subjekt údajů je žijící fyzická osoba (i podnikající), která je obyvatelem EU a ke které se osobní údaje váží. GDPR se nevztahuje na právnické osoby a zesnulé.

UOOU

Úřad pro ochranu osobních údajů je správním úřadem, který v České republice dohlíží na ochranu soukromí a osobních údajů. Kromě toho vyřizuje stížnosti na šíření spamu prostředky, které jsou v Česku nelegální. Odkaz na stránky úřadu >>

Zpracování osobních údajů

Zpracování osobních údajů je operace nebo soubor operací, které jsou správcem či zpracovatelem systematicky prováděny s osobními údaji, např.:

  • shromažďování,
  • zaznamenání,
  • uspořádání,
  • vyhledávání,
  • strukturování, 
  • třídění,
  • kombinování,
  • ukládání na nosiče informací,
  • zpřístupňování,
  • úprava,
  • uchovávání,
  • likvidace,
  • atd.

Zpracovatel

Zpracovatelem osobních údajů je fyzická či právnická osoba, agentura, orgán veřejné moci nebo jiný subjekt, kterého správce pověří zpracováním osobních údajů. (Provádět může jen takové zpracovatelské operace, kterými jej pověřil správce nebo vyplývají s činnosti, kterou pro správce vykonává.)

Chybí vám vysvětlení nějakého pojmu v souvislosti s GDPR?

Napište nám na gdpr@smartemailing.cz. Slovníček pro vás rádi doplníme. 

Odborný garant obsahu

Advokátní kancelář KROUPAHELÁN

KROUPAHELÁN
KROUPAHELÁN

www.kroupahelan.cz

Svou práci stavíme na odbornosti, kvalitě, dodržování termínů a dlouhodobých vztazích. K ruce jsme vám v Praze i v Brně.
Advokacii děláme POCTIVĚ A S NADŠENÍM. Netváříme se, že rozumíme všemu. Máme své specializace, ve kterých vynikáme. Ve své praxi se dlouhodobě zaměřujeme na ochranu duševního vlastnictví, právo IT, ochranu osobních údajů a obchodování na internetu.
Při poskytování právního poradenství v oblasti ochrany osobních údajů vycházíme z osobních zkušeností získaných při aplikaci zákona o ochraně osobních údajů, realizovaných GDPR auditů a znalosti nejenom z oblasti českého a evropského práva, ale i rozhodovací praxe českých soudů, Soudního dvora EU a Úřadu pro ochranu osobních údajů a vodítek Pracovní skupiny WP29 k GDPR.

Mgr. Ivana JANKEOVÁ
Mgr. Ivana JANKEOVÁ

Ivana má profesní zkušenosti z oblasti soukromého práva se zaměřením na e-commerce, ochranu osobních údajů, právo duševního vlastnictví a právo hospodářské soutěže. Je absolventkou Právnické a Ekonomicko-správní fakulty Masarykovy univerzity v Brně, právo studovala také na univerzitě v americkém Tennessee a v Helsinkách. Působila v řadě významných advokátních kancelářích a organizacích, mimo jiné na Evropském úřadu pro boj proti podvodům při Evropské komisi v Bruselu a v mezinárodní kanceláři Clifford Chance. Před připojením k týmu kanceláře KROUPAHELÁN působila v advokátní kanceláři Ambruz & Dark Deloitte Legal s. r. o.

Mgr. Josef BÁTRLA
Mgr. Josef BÁTRLA

Právo duševního vlastnictví a právo informačních technologií byla Josefova doména už při studiích, kdy započal navštěvovat odborné konference a účastnit se vědeckých soutěží. Po absolvování Právnické fakulty Masarykovy univerzity s diplomovou prací na téma „Licencování autorských práv a práv souvisejících online“ nastoupil do advokátní kanceláře ROWAN LEGAL, advokátní kancelář s. r. o., kde si rozšířil specializaci na kybernetickou bezpečnost a právo na ochranu osobních údajů, kterou od letošního roku praktikuje v týmu kanceláře KROUPAHELÁN, kde doplňuje svoje zkušenosti z implementace GDPR v různých sektorech.