Časté dotazy

Kdo je subjekt údajů, správce a zpracovatel?

Subjekt údajů je člověk, o jehož údaje se jedná. Správce je ten, kdo operace s osobními údaji provádí buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností. Zpracovatel je člověk, kterého správce pověří prací s osobními údaji a ty zpracovává pouze na základě pokynů správce. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího písemného povolení správce. Zpracovatel musí dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Co přesně znamená termín „zpracování osobních údajů“?

Termín označuje operace prováděné s osobními údaji a pouze na ně se GDPR vztahuje. Tedy ne na každé použití osobního údaje v jakékoli situaci. Neměli bychom ochranu osobních údajů ztotožňovat s ochranou osobnosti podle občanského zákoníku.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

V oblasti IT je nejčastějším zpracovatelem: provozovatel informačního systému pro správce osobních údajů (nebo jeho části), externí správce sítě, externí bezpečnostní správce nebo poskytovatel datového úložiště (cloudu).

Při své práci v IT se mohu k datům dostat. Jsem zpracovatelem?

Pokud zajišťujete podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (např. provádíte opravy zařízení a výpočetní techniky nebo jste dodavatelem služeb servisu PC), nejste zpracovatelem. Zpracovateli nejsou osoby, které se při provádění svých služeb, pouze nahodile dostávají do styku s osobními údaji. Náplň vaší činnosti byste měli mít jasně popsanou ve smlouvě, aby bylo zřejmé, že mezi vaše povinnosti nepatří osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázali k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména je nezpřístupníte a nepředáte nikomu dalšímu.

Desatero zpracování pro správce

Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.

1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.

2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.

3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.

4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.

5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.

6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.

7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.

8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.

9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).

10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.