Informace k ochraně osobních údajů – GDPR
Nařízení Evropského parlamentu a rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) představuje reformu ochrany osobních údajů v rámci Evropské unie. Vztahuje se na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
Vedle Nařízení Evropského parlamentu a rady (EU) 2016/679 stále v současné době platí český zákon č. 101/2000 Sb., o ochraně osobních údajů. Předpokládá se však vydání nového právního předpisu. Nové nařízení nepřináší úplnou revoluci v oblasti ochrany osobních údajů, některé povinnosti zaváděné obecným nařízením jsou však zcela nové.
Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou, jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života, obydlí a komunikace, ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost.
Hospodářská a sociální integrace vyplývající z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničních toků osobních údajů. V celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků. Právo Unie zavazuje vnitrostátní orgány členských států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti nebo provádět úkoly jménem orgánu jiného členského státu.
Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život a měly by dále usnadňovat volný pohyb osobních údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů.
Správce osobních údajů:
Jazyková škola Language Corner s.r.o.
Na Tržišti 1566
256 01 Benešov
IČ 014 09 565
POJMY
Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby
Citlivý údaj – zvláštní kategorie osobního údaje – osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby
Účel zpracování osobních údajů – činnost, proces či aktivita, pro kterou je nezbytné či účelné osobní údaje subjektu údajů zpracovávat.
Zpracování osobních údajů– jakákoli operace s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, seřazení či zkombinování, omezení, výmaz nebo zničení
Správcem– fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
Titul zpracování osobních údajů – zákonnost (legálnost) zpracování osobních údajů. Právnická osoba zpracovává pouze osobní údaje subjektů údajů, pro které byla zmocněna zvláštním právním předpisem, nebo na základě dobrovolného smluvního ujednání, ve svém oprávněném zájmu, při výkonu veřejné moci nebo při plnění úkolu ve veřejném zájmu anebo na základě svobodného a informovaného souhlasu od subjektu údajů.
Subjekt údajů – fyzická osoba, k níž se osobní údaje vztahují
Zdroje osobních údajů – fyzická osoba nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, od kterého jsou osobní údaje získány.
Příjemce osobních údajů – fyzická osoba nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.
Souhlasemsubjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
Nové nebo nově upravené oblasti a hlavní změny jsou zejména:
- právo „být zapomenut“ (čl. 17)
- právo na přenositelnost osobních údajů (čl. 20)
- podrobná úprava vztahu správce a zpracovatele
- posílení kontroly nad správci mimo území EU
- posílení řady požadavků na správce a zpracovatele, včetně hodnocení dopadů na soukromí a předběžných konzultací s dozorovým orgánem
- upuštění od notifikace všech nových zpracování osobních údajů dozorovému orgánu
- posílení pravidel o zabezpečení dat (zejm. technickém) a hlášení narušení bezpečnosti osobních dat
- pro veřejnou správu a pro část podniků povinný pověřenec pro ochranu osobních údajů
- podrobná úprava instrumentů soft law (kodexy chování, certifikace)
- zásadní sjednocení pravomocí dozorových úřadů (pro ochranu osobních údajů)
- podrobná úprava spolupráce dozorových úřadů
- zcela nová a principiálně nevyzkoušená úprava společného rozhodování dozorových úřadů v různých typech přeshraničních případů
- zavedení rozhodovací pravomoci pro Evropský sbor dozorových úřadů v konkrétních věcech • sjednocení prostředků pro soudní ochranu před rozhodnutím či nečinností dozorového úřadu a pro soudní ochranu před nezákonným zpracováním, včetně náhrady škody
Naopak nová úprava v zásadě přebírá nebo jen mírně upravuje:
- většinu hlavních definic (osobní údaj, citlivé údaje, správce, koncept souhlasu atd.)
- většinu zásad ochrany osobních údajů (principy a zákonnost zpracování)
- většinu práv subjektů údajů a základní povinnosti správců
- koncept bariéry u přenosů do třetích zemí s důkladnými restrikcemi a požadavky na ochranu osobních údajů
- zásadní prvky postavení nezávislých dozorových úřadů
- koncept výjimek pro privilegovaná zpracování (archivní, statistická, vědecká, historická)
- koncept výjimek pro ochranu veřejných zájmů (bezpečnost, ekonomika, ochrana práv jiných atd.).
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Osobní údaje jsou zpracovávány a chráněny v souladu s Nařízením a dalšími právními předpisy upravujícími ochranu osobních údajů. Základní zásady zpracování osobních údajů (čl. 5 Nařízení) jsou následující:
- Zásada zákonnosti – zpracovávat osobní údaje lze jen na základě jednoho z definovaných právních titulů, zpracování nesmí být v rozporu se zákonem.
- Zásady korektnosti a transparentnosti – správce je povinen být otevřený ohledně zpracování a musí zajišťovat dostatečnou míru informovanosti údajů
- Zásada účelového omezení – správce je oprávněn zpracovávat až na výjimky, osobní údaje pouze za účelem, za kterým byly shromážděny.
- Zásada minimalizace údajů – zpracovávány jsou jen nezbytné údaje ve vztahu k danému účelu
- Přesnost a aktuálnost
- Zásada omezení uložení – povinnost správce vymazat nebo anonymizovat údaje, které již nepotřebuje
- Zásada integrity a důvěrnosti – osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Správce může dle článku 6. Nařízení, zpracovávat osobní údaje subjektů údajů na základě následujících právních titulů:
Souhlas – subjekt údajů udělil souhlas ke zpracování svých osobních údajů. Poskytnutí takového souhlasu je dobrovolné, svobodné a nepodmíněné. Udělený souhlas lze kdykoliv odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.
Plnění smlouvy – zpracování osobních údajů je nezbytné pro splnění smlouvy. Správce zpracovává osobní údaje subjektů údajů pro účely související s provedením opatření přijatých před uzavřením smlouvy nebo plněním smluvních vztahů obou smluvních stran, jedná se např. o zpracování osobních údajů za účelem uzavření nájemní smlouvy
Plnění právní povinnosti – právní předpis po správci požaduje, aby osobní údaje zpracovával, resp. aby prováděl určitou činnost, pro kterou je zpracování osobních údajů nezbytné.
Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu– zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
Oprávněný zájem – zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.
Ochrana životně důležitého zájmu – v případě, kdy je zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
PRÁVA SUBJEKTU
Subjekt údajů má zejména
- Právo na informace (čl. 12 až čl. 15 Nařízení):
- Informace o totožnosti a kontaktních údajích správce
- Informace o účelech zpracování
- Informace o kategoriích osobních údajů
- Informace o příjemcích nebo kategoriích příjemců, kterým jsou osobní údaje
předávány (včetně předávání do třetích zemí a mezinárodním organizacím a s tím
souvisejícími zárukami ochrany)
- Informace o plánované době, po kterou jsou osobní údaje uloženy
- Skutečnost, že dochází k automatizovanému rozhodování včetně profilování a informace o použitém postupu a důsledcích takového zpracování
- Konkretizaci oprávněného zájmu správce
- Informace o zdroji, ze kterého osobní údaje pocházejí
- Právo na informaci, zda jsou či nejsou jeho osobní údaje zpracovávány a napřístup ke svým zpracovávaným osobním údajům.
- Právo na opravu osobních údajů (čl. 16 Nařízení)– subjekt údajů má právo, aby správce bez zbytečného odkladu opravil nepřesné údaje a neúplné údaje doplnil
- Právo na výmaz osobních údajů (čl. 17 Nařízení)– subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal zbytečné údaje, které se daného subjektu týkají, pokud je dán jeden z těchto důvodů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- subjekt údajů odvolá svůj souhlas a neexistuje žádný další právní důvod pro zpracování;
- subjekt údajů vznese námitky proti zpracování ve veřejném zájmu nebo oprávněném zájmu správce a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování za účelem přímého marketingu;
- osobní údaje byly zpracovány protiprávně;
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti mladšímu 16 let.
Jestliže správce osobní údaje zveřejnil, přijme přiměřené kroky, včetně technických opatření, aby informoval další správce a požádal je o vymazání odkazů na tyto osobních údajů, jejich kopie či replikace.
Právo na výmaz však není absolutní a existují z něho stanovené výjimky.
- Právo na omezení zpracování (čl. 18 Nařízení) – subjekt údajů má právo na to, aby správce omezil zpracování v případech, že:
- subjekt údajů popírá přesnost osobních údajů
- zpracování je protiprávní a správce údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- správce již osobních údajů nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- subjekt údajů vznesl námitku proti zpracování (správce omezí zpracování do rozhodnutí, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů).
- Právo na přenositelnost údajů(čl. 20 Nařízení) – subjekt údajů má právo získat osobní údaje v běžně používaném formátu a právo předat tyto údaje jinému správci v případě, že zpracování je založeno na souhlasu nebo na smlouvě a zpracování se provádí automatizovaně.
Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
Právem na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.
- Právo vznést námitku– subjekt údajů má právo vznést námitku proti zpracování osobních údajů, pokud je zpracování založeno na základě oprávněných zájmů správce nebo plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci – správce musí zpracování ukončit, jestliže neprokáže závažné oprávněné důvody pro zpracování, které převažují nad právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
- Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování. Výjimky – pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů; povoleno právem EU nebo členského státu, které se na správce vztahuje; založeno na výslovném souhlasu subjektu údajů.
- Právo na konzultace s pověřencem ve všech záležitostech souvisejících s výkonem práv správce údajů a se zpracováním jejich osobních údajů.
- Právo podat stížnost u dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno obecné nařízení.
- Právo na účinnou soudní ochranu vůči dozorovému úřadu; vůči správci nebo zpracovateli.
Omezení práv a povinností je možné pouze právem Evropské unie nebo členského státu za stanovených podmínek.