FAQ
Často kladené dotazy
Pověřenec pro ochranu osobních údajů (z angličtiny “Data Protection Officer”)
V jakých případech je povinné jmenovat pověřence pro ochranu osobních údajů?
Správce a zpracovatel mají povinnost jmenovat pověřence ve třech případech, a to pokud:
- zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (např. obec), s výjimkou soudů jednajících v rámci svých soudních pravomocí,
- hlavní činnosti správce nebo zpracovatele spočívají v operacích, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů osobních údajů (např. nemocnice),
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
V některých případech může pověřence ustanovit jen správce nebo jen zpracovatel, podle toho, kdo splňuje podmínky jmenování. V jiných případech musí pověřence jmenovat správce i zpracovatel (oba by potom měli vzájemně spolupracovat).
Je možné jmenovat pověřence pro ochranu osobních údajů i v případě, že to nařízení neukládá?
Dobrovolné jmenování pověřence není vyloučeno. Organizace, která nemá povinnost ustanovit pověřence a ani nechce ustanovit pověřence dobrovolně, přesto může zaměstnávat někoho, kdo se bude ochranou osobních údajů zabývat. Všem se ale musí dát najevo, že tato osoba není v postavení pověřence.
Jakou má mít pověřenec pro ochranu osobních údajů kvalifikaci?
Nařízení ke vzdělání pověřence uvádí jen to, že se má jednat o osobu s profesními kvalitami. Pověřenec by měl disponovat zejména odbornou znalostí práva a měl by mít praxi v oblasti ochrany osobních údajů. Funkci pověřence však nemusí vykonávat pouze osoby s právním vzděláním, dostačující je právní povědomí o ochraně osobních údajů a nařízení. Žádoucí je též znalost informačních systémů a technického zabezpečení dat.
Co bude hlavním úkolem pověřence pro ochranu osobních údajů?
Hlavním úkolem pověřence bude zejména poskytovat informace a poradenství správci nebo zpracovateli a zaměstnancům, kteří zpracování provádějí. Dále bude monitorovat soulad zpracování údajů s nařízením a předpisy v oblasti ochrany osobních údajů. V neposlední řadě bude pověřenec spolupracovat s dozorovým orgánem, kterým je Úřad pro ochranu osobních údajů.
Může být funkce pověřenec pro ochranu osobních údajů poskytována osobou právnickou?
Právnická osoba může funkci pověřence poskytovat jako službu, tj. funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi správcem a externí firmou. V takovém případě však musí být určena konkrétní fyzická osoba, která bude funkci pověřence vykonávat. Nařízení též počítá s možností, kdy pověřencem bude pracovník správce nebo zpracovatele.
Je možné plnit funkci pověřence pro ochranu osobních údajů pro více správců?
Jediný pověřenec může být jmenován pro skupinu podniků za předpokladu, že bude snadno dosažitelný z každého podniku. Není důležitá fyzická dostupnost pověřence, důležité je, aby byl dosažitelný bezpečnými komunikačními prostředky. Jediný pověřenec může být jmenován i pro několik orgánů veřejné moci nebo veřejných subjektů s přihlédnutím k jejich organizační struktuře.
Jak se dozvím, kdo je pověřencem v dané společnosti?
Správce nebo zpracovatel zveřejní kontaktní údaje pověřence a sdělí kontaktní údaje pověřence dozorovému orgánu. To umožní pověřence přímo kontaktovat, aniž by se fyzické osoby musely obracet na jiné složky organizace.
Jaké mám záruky, že bude pověřenec pro ochranu osobních údajů jednat nezávisle?
Správce ani zpracovatel především nemohou pověřenci dávat žádné pokyny týkající se jeho úkolů. Další zárukou nezávislého jednání je nemožnost propuštění nebo sankcionování pověřence v souvislosti s plněním svých úkolů. Správce nebo zpracovatel má také zajistit, aby žádné úkoly pověřence nevedly ke střetu zájmů.
Je pověřenec osobně odpovědný za nedodržování nařízení?
Pověřenec nemá osobní odpovědnost za nedodržování nařízení. Tuto povinnost nese správce. Povinností správce je nejen zajistit soulad s nařízením, ale také povinnost být schopen tento soulad doložit. Pověřenec napomáhá zajišťovat soulad s ustanovením nařízení, právní soulad v oblasti ochrany osobních údajů je ale odpovědností správce nebo zpracovatele. Nicméně existuje možnost smluvní odpovědnosti za škodu v případě pověřence externího, která je u pověřence, jež je zároveň zaměstnancem u dané společnosti, výrazně omezena.
Záznamy o činnostech
K čemu jsou záznamy o činnostech zpracování vedeny?
Záznamy představují náhradu za oznamovací povinnost, která byla zrušena nařízením. Správci mají povinnost záznamy na žádost zpřístupnit dozorovému orgánu. Vzhledem k tomu, že je správce odpovědný za dodržení zásad zpracování, které jsou uvedeny v nařízení a zároveň musí být schopen tento soulad doložit, budou záznamy též sloužit k dokládání souladu s nařízením.
Co obsahují záznamy o činnostech zpracování?
Záznamy obsahují informace o prováděném zpracování, což správci umožní lehčí orientaci ohledně zpracování, která provádí. Záznamy musí obsahovat např. tyto informace:
– jméno a kontaktní údaje správce, zástupce správce a pověřence pro ochranu osobních údajů
– účely zpracování,
– popis kategorií subjektů údajů a kategorií osobních údajů,
– kategorie příjemců, kterým jsou osobní údaje zpřístupněny.
Kdo vede záznamy o činnostech zpracování?
Vést záznamy je povinností každého správce a jeho případného zástupce. Za jejich zpracování též odpovídají.
Jakým způsobem se záznamy o činnostech zpracování vyhotovují?
Záznamy se vyhotovují písemně, čímž se rozumí i elektronická podoba záznamu.
Kdo nemusí záznamy o činnostech zpracovávat?
Výjimku z této povinnosti mají malé a střední podniky, zaměstnávající méně než 250 zaměstnanců. Výjimku však nelze použít, pokud prováděné zpracování osobních údajů představuje riziko pro práva a svobody dotčených osob, pokud zpracování není příležitostné nebo jsou zpracovávány zvláštní kategorie osobních údajů, tj. citlivé údaje (např. informace o zdravotním stavu), nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činech.
Jaká sankce hrozí za neprovedení záznamů o činnostech zpracování?
Neprovedení povinností při vedení záznamů může být v souladu s nařízením sankcionováno do výše 10 mil EUR nebo 2% celkového ročního obratu, pokud se jedná o podnik.
Posouzení vlivu na ochranu osobních údajů (z angličtiny “Data Protection Impact Assessment”)
Co je posouzení vlivu na ochranu osobních údajů?
Posouzení vlivu na ochranu osobních údajů neboli DPIA (Data Protection Impact Assessment) je nástroj, který pomáhá organizacím najít nejefektivnější způsob, jakým uvést pravidla na ochranu osobních údajů do souladu s nařízením.
Kdo a v jakých případech posouzení vlivu na ochranu osobních údajů provádí?
Posouzení provádí správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob.
Kdy má být posouzení vlivu na ochranu osobních údajů provedeno?
Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.
V jakých případech je posouzení vlivu na ochranu osobních údajů nutné provést?
Posouzení se vyžaduje zejména v těchto případech:
– u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
– u rozsáhlého zpracování citlivých údajů nebo rozsudků v trestních věcech,
– u rozsáhlého systematického monitorování veřejně přístupných prostorů.
Za účelem snadnějšího vyhodnocení povinnosti provést posouzení mají dozorové orgány povinnost sestavit a zveřejnit seznam druhů operací zpracování údajů, které podléhají požadavku na posouzení.
Co musí posouzení vlivu na ochranu osobních údajů obsahovat?
Posouzení má mít podle nařízení alespoň tyto čtyři náležitosti:
– popis zamýšlených operací zpracování a účely zpracování,
– posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů,
– posouzení rizik pro práva a svobody subjektů údajů,
– plánovaná opatření k řešení rizik.
Je nutné posouzení vlivu na ochranu osobních údajů zveřejnit?
Není. Nařízení takovou povinnost neukládá. Nicméně zveřejnit posouzení, případně pouze zveřejnění částečné se doporučuje. Zvýší se tak důvěra a prokázání odpovědnosti a transparentnost zpracování údajů.
Je nutné pro každý druh operací vypracovat nové posouzení vlivu na ochranu osobních údajů?
Ne. Pro soubor podobných operací zpracování, které přestavují podobné riziko, může stačit jedno posouzení. Za určitých okolností se tedy posouzení nemusí vztahovat pouze na jeden projekt, ale předmět posouzení může být širší (např. když jeden správce bude používat kamerový systém na různých místech).
Kdy je nutné posouzení vlivu na ochranu osobních údajů konzultovat s dozorovým orgánem?
Pokud správce na základě posouzení zjistí, že by dané zpracování představovalo vysoké riziko, pokud by nepřijal opatření ke zmírnění tohoto rizika, musí zpracování údajů předem konzultovat s dozorovým orgánem, tj. Úřadem pro ochranu osobních údajů.
Kdo odpovídá za provedení posouzení vlivu na ochranu osobních údajů?
Za provedení posouzení odpovídá správce. Pokud správce jmenoval pověřence pro ochranu osobních údajů, musí si vyžádat jeho posudek, který je nutné zohlednit a zdokumentovat v rámci posouzení. Nicméně správce zůstává odpovědný, i když pověřil jinou osobu, která za něj posouzení vykonala.
Jaká sankce hrozí za nesplnění povinnosti provést posouzení vlivu na ochranu osobních údajů?
Za neprovedení posouzení lze udělit sankci buď do výše 10 mil EUR nebo až do 2 % celkového ročního obratu.
Přenositelnost osobních údajů
Co znamená právo na přenositelnost údajů?
Právo na přenositelnost je právo subjektu údajů, aby mu správce předal všechny o něm zpracovávané informace. Uplatněním tohoto práva získává osoba možnost uchovat údaje pro další soukromé účely nebo možnost je předat jinému správci. Zároveň má subjekt údajů, pokud o to požádá a je-li to technicky proveditelné, i právo na to, aby správce předal jeho osobní údaje jinému správci.
V jakém formátu jsou údaje poskytovány?
Správce má povinnost poskytnout údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Nařízení žádné doporučení ohledně formátu nestanoví.
Jaké jsou podmínky pro uplatnění práva na přenositelnost?
Podmínky pro uplatnění práva na přenositelnost jsou dvě, a je třeba je splnit současně:
– zpracování je založeno na souhlasu nebo smlouvě a
– zpracování se provádí automatizovaně.
Existuje výjimka z práva na přenositelnost údajů?
Ano. Právo na přenositelnost se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
Jaká je lhůta pro vyřízení žádosti o přenositelnost údajů?
Správce musí poskytnout osobní údaje subjektu údajů nebo je předat jinému správci bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti o předání údajů. U komplikovanějších žádostí je lhůta 3 měsíce od podání žádosti za podmínky, že subjekt údajů bude do 1 měsíce informován o důvodech odkladu.
Jsou náklady spojené s právem na přenositelnost zpoplatněny?
Správce si může účtovat poplatek za předání osobních údajů jen v případě, že se jedná o žádost zjevně nedůvodnou nebo nadbytečnou.
Jaký je rozsah dat, které správce údajů uchovává?
Správce nemá povinnost uchovávat údaje déle, než je nezbytné pro účel zpracování, nebo déle než po stanovenou dobu zpracovaní. Správce nemá ani povinnost uchovávat osobní údaje pouze pro účely potenciální žádosti subjektu údajů o přenos údajů.
Správce, ke kterému budou údaje přeneseny, má povinnost zpracovávat jen údaje relevantní a přiměřené vzhledem k novému zpracování. Pokud budou některé přenášené údaje nadbytečné s ohledem na účel nového zpracování, neměly by být novým správcem uchovány a zpracovány.
Jakých údajů se práva na přenositelnost údajů týkají?
Právo na přenositelnost se vztahuje pouze na údaje, které se týkají subjektu údajů. Nelze tedy žádat o předání údajů, které se subjektu údajů netýkají nebo jsou anonymní. Naopak údaje pseudonymní předmětem daného práva jsou. Musí se samozřejmě týkat subjektu údajů a správce je musí být schopný ke konkrétnímu subjektu údajů přiřadit.
Vzniká správci údajů nějaká další povinnost v souvislosti s přenositelností?
Správce údajů musí splnit informační povinnost. Správce má povinnost předem informovat subjekt údajů o existenci práva na přenositelnost údajů. Informační povinnost se vztahuje též na správce přijímající přenášené údaje. Ti by měli informovat o povaze osobních údajů relevantních k výkonu svých služeb.
GDPR v prostředí marketingu, e-Shopů a HR
Koho se vlastně nařízení o ochraně osobních údajů týká?
Nařízení se týká velkého množství subjektů, a to nejen poskytovatelů online služeb, ale i společností a jednotlivců zpracovávajících data fyzických osob. Až na výjimky budou mít i orgány veřejné správy povinnost se nařízením řídit. Nařízení se dotkne všech, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.
Týká se nařízení i těch, kdo analyzují chování uživatelů na webu?
Nařízení se dotkne každého, kdo jakýmkoli způsobem shromažďuje nebo zpracovává osobní údaje. Tedy například i těch, kteří sledují a analyzují chování uživatelů na webu pomocí tzv. cookies nebo rozesílají na svou databázi kontaktů prodejní e-maily.
Jak konkrétně nařízení o ochraně osobních údajů ovlivní e-shopy?
Nařízení se netýká pouze technického řešení e-shopu, ale týká se všech procesů v organizaci, v nichž jsou zahrnuty osobní údaje.
Nařízení se týká nejen vlastních zaměstnanců, ale i všech provozovatelů e-shopů či jiných internetových služeb, u kterých se zákazník registruje svými osobními údaji.
Co bude pro provozovatele e-shopů nařízení především znamenat?
Pro provozovatele e-shopů a webových služeb bude nařízení znamenat především nutnost získání souhlasu zákazníků se zpracováním jejich osobních údajů a pak také daleko větší důraz na bezpečné uchovávání získaných dat.
Jak je to s udělením souhlasu?
Souhlas subjektu údajů musí být především konkrétní, informovaný a jednoznačný projev vůle. Souhlas se zpracováním osobních údajů musí být požadován odděleně od ostatních podmínek a neměl by být podmínkou pro samotné využití služby. Zákazník také může již poskytnutý souhlas kdykoli odvolat a obchodník nebo provozovatel služby mu za tímto účelem musí připravit jednoduchou cestu, jak odvolání souhlasu provést.
Co vše je považováno za osobní údaje?
Nařízení v tomto ohledu není konkrétní a pod osobním údajem uvádí jen obecnou definici: „veškeré informace o identifikované nebo identifikovatelné fyzické osobě.“ Nejčastější typy osobních údajů v organizacích jsou například jméno a příjmení, datum narození, ale také i IP adresa, email, cookies aj.
Jak je možné zjistit, kde všude má společnost data konkrétní osoby uložena?
Aby bylo možné zjistit, kde všude jsou data uloženy, musí každá společnost projít analýzou, která ukáže, kde se s osobními daty pracuje. Bez toho by ani nebylo možné naplnit požadavky nařízení.
Týká se nařízení i e-shopu, který má jen 2 zaměstnance?
Ano, i e-shop, který má jen málo zaměstnanců, ale zpracovává osobní údaje zákazníků, spadá do účinnosti nařízení. Není důležité jaké množství zaměstnanců e-shop má, ani kolik zákazníků má. V podstatě jakákoliv organizace, která má alespoň jednoho zaměstnance, musí zpracovávat jeho osobní údaje, a musí je podle nařízení chránit.
Je možné shromažďovat data do budoucna?
Osoby provádějící marketing často shromažďují co nejvíce informací a použijí je až v budoucnu, případně až v pozdější kampani. Data však mohou být shromažďována pouze za určitým účelem a uchovávána pouze po dobu, kdy plní tento účel. Podle nařízení bude třeba získat nový souhlas, pro použití již získaných údajů pro účely jiné, než ke kterým byla data získána a k nimž byl souhlasu udělen.
Co může zaměstnanec v souvislosti s HR požadovat?
Zaměstnanec má právo být informován o tom, jaké všechny osobní údaje o něm HR eviduje, jak je zpracovává a kdo s nimi nakládá.