image top 01 image top 02 image top 03


Mgr. Bc. Petr Mach
Slezská 1297/3
120 00 Praha 2
Tel: 736 539 403
Email: ak@pmlegal.czZde prosím zanechte Váš kontakt.
Neprodleně se Vám ozveme.

Při nakládání s osobními údaji dodržujeme příslušné právní předpisy a řídíme se těmito zásadami .

Aktuality

Změny v oblasti ochrany osobních údajů související s účinností Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“ nebo „GDPR“)

Dne 25. 5. 2018 nabyde účinnosti nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které zavádí nové povinnosti pro správce a zpracovatele osobních údajů fyzických osob a přiznává nová práva subjektům osobních údajů. Je třeba zdůraznit zejména níže uvedené instituty, práva a povinnosti.

1. Osobní údaje (čl. 4 Nařízení)

Nařízení považuje za osobní údaje veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

2. Zásady zpracování osobních údajů (čl. 5 Nařízení)

Nařízení stanovuje následující zásady pro zpracovávání osobních údajů, jejichž dodržení musí být správce schopen v případě potřeby doložit. Osobní údaje musí být:

a) zpracovávány korektně a zákonným a transparentním způsobem,
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný,
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány,
d) přesné a v případě potřeby aktualizované,
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány,
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

3. Zákonnost zpracování (čl. 6 Nařízení)

Zákonnost zpracování je dána jedním z níže uvedených základů pro zpracování osobních údajů:

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

V tomto směru je tedy třeba zdůraznit, že není třeba vždy souhlasu subjektu údajů, pokud je naplněn jiný z právních základů pro zpracování osobních údajů, nejčastěji tedy nezbytnost zpracování pro plnění smlouvy (obchodní partneři) či nezbytnost pro splnění právní povinnosti (např. zaměstnanci).

4. Souhlas se zpracováním osobních údajů (čl. 7, 8 Nařízení)

Souhlas by měl být podle Nařízení dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván. V případě dětí Nařízení vyžaduje až na výjimky souhlas nositele rodičovské zodpovědnosti.

5. Právo na přístup k údajům (čl. 15 Nařízení)

Nařízení ukládá povinnost stanovit postupy, které by usnadnily výkon práv subjektů údajů podle Nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Mělo by být umožněno podávat žádosti elektronicky. Správce údajů bude povinen reagovat na žádosti bez zbytečného odkladu nejpozději však do jednoho měsíce.

6. Právo na výmaz (právo být zapomenut) (čl. 17 Nařízení)

Fyzická osobě dle Nařízení náleží právo „být zapomenut“, pokud již nejsou potřebné jeho osobní údaje pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s Nařízením z jiných důvodů.

Mezi výjimkami k výkonu tohoto práva Nařízení stanoví možnost dalšího uchovávání osobních údajů z důvodu splnění právní povinnosti, pro účely archivace ve veřejném zájmu, nebo pro určení, výkon nebo obhajobu právních nároků.

7. Odpovědnost správce (čl. 24 Nařízení)

Správce je odpovědný za zavedení vhodných technických a organizačních opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s Nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. Jedním z prvků, jimiž lze dle Nařízení doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v čl. 40 Nařízení nebo schválených mechanismů pro vydávání osvědčení uvedených v čl. 42 Nařízení.

8. Záznamy o činnostech zpracování (čl. 30 Nařízení)

Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce Nařízení doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

Tyto povinnosti se dle Nařízení nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže mimo jiné zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů či zpracování není příležitostné. Výklad uvedených výjimek není v Nařízení blíže konkretizován a bude buď předmětem výkladového stanoviska příslušných orgánů anebo budoucí výkladové praxe.

9. Zabezpečení osobních údajů (čl. 32 - 34 Nařízení)

Nařízení ukládá správci povinnost provést s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Dále nařízení ukládá správci povinnost přijmout opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce.

Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu (ÚOOÚ), ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Nařízení stanoví obsahové náležitosti takovéhoto ohlášení.

Správce je povinen (až na Nařízením stanovené výjimky) porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby tento mohl učinit nezbytná opatření.

10. Odpovědnost, sankce za porušení Nařízení (čl. 82 - 84 Nařízení)

Subjekt údajů, který v důsledku porušení Nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce náhradu utrpěné újmy.

Za porušení Nařízení lze uložit správní pokuty až do výše 20.000.000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

Zpět na hlavní stranu