Pobyt a cestování
Poslední kontrola: 26/03/2021

Ochrana osobních údajů podle nařízení GDPR

Nařízení GDPR stanoví podrobné požadavky na shromažďování, ukládání a správu osobních údajů ze strany podniků a organizací. Vztahují se jak na evropské organizace, které zpracovávají osobní údaje fyzických osob v EU (v tomto případě všechny země EU plus Island, Lichtenštejnsko a Norsko), tak na organizace mimo EU, které se zaměřují na osoby žijící v Unii.

V jakých případech se obecné nařízení o ochraně osobních údajů (GDPR) použije?

Nařízení GDPR se použije, pokud:

Podniky, které nejsou usazeny v EU, ale zpracovávají údaje občanů Unie, musejí jmenovat svého zástupce v EU.

V jakých případech se obecné nařízení o ochraně osobních údajů (GDPR) nepoužije?

Nařízení GDPR se nepoužije, pokud:

Co se považuje za osobní údaje?

Osobním údajem je jakákoli informace o identifikované či identifikovatelné osobě neboli subjektu údajů. Osobní údaje zahrnují například tyto informace:

Zvláštní kategorie údajů

Nesmíte zpracovávat osobní údaje o:

Kdo osobní údaje zpracovává?

Osobní údaje mohou při svém zpracování projít různými společnostmi nebo organizacemi. V rámci tohoto cyklu existují dvě hlavní osoby, které se zpracováním osobních údajů zabývají:

Kdo kontroluje, jak jsou osobní údaje v rámci podniku zpracovávány?

V rámci podniku lze jmenovat pověřence pro ochranu osobních údajů (anglicky Data Protection Officer – DPO), který má na starosti sledování toho, jak se osobní údaje zpracovávají, a který informuje zaměstnance provádějící zpracování osobních údajů o jejich povinnostech a poskytuje jim v této oblasti poradenství. Pověřenec spolupracuje s úřadem pro ochranu údajů (anglicky Data Protection Authority – DPA) a je kontaktní osobou jak pro tento úřad, tak pro fyzické osoby.

Kdy je nutné pověřence pro ochranu osobních údajů jmenovat?

Podnik musí pověřence jmenovat, pokud:

Pokud například zpracováváte osobní údaje, abyste na základě analýzy chování lidí na internetu adresovali přes internetové vyhledávače cílenou reklamu, musí váš podnik mít svého pověřence pro ochranu osobních údajů. Pokud však pouze svým zákazníkům jednou ročně zasíláte reklamní materiály, pověřence jmenovat nemusíte. Podobně, pokud jako lékař shromažďujete údaje o zdravotním stavu svých pacientů, jmenování pověřence pro ochranu osobních údajů pravděpodobně nebude nutné. Pokud však zpracováváte osobní údaje o genetice a zdraví pro nemocnici, budete muset pověřence jmenovat.

Pověřencem může být jeden ze zaměstnanců vaší organizace nebo si jej můžete najmout na základě smlouvy o poskytování služeb. Funkci pověřence pro ochranu osobních údajů může vykonávat jednotlivec nebo část organizace.

Zpracování údajů pro jinou společnost

Správce údajů může využít pouze toho zpracovatele údajů, který nabízí dostatečné záruky, jež musí být stanoveny v písemné smlouvě mezi zúčastněnými stranami. Smlouva musí rovněž obsahovat řadu povinných doložek, např. o tom, že zpracovatel údajů může osobní údaje zpracovávat pouze tehdy, je-li mu to uloženo správcem údajů.

Předávání údajů do zemí mimo EU

Jsou-li osobní údaje předány do zemí mimo EU, ochrana těchto údajů stanovená nařízením GDPR platit nepřestává. Konkrétně: pokud vyvážíte údaje do zahraničí, musí váš podnik zajistit dodržení jednoho z následujících opatření:

Ve kterých případech je povoleno data zpracovávat?

Pravidla EU pro ochranu osobních údajů stanoví, že byste měli údaje zpracovávat korektním a zákonným způsobem, pro určitý a legitimní účel a měli byste zpracovávat pouze údaje nezbytné ke splnění tohoto účelu. Musíte při tom zajistit splnění některé z následujících podmínek zpracování osobních údajů. Tedy, že:

Souhlas se zpracováním údajů

Nařízení GDPR uplatňuje přísná pravidla zpracování údajů založená na souhlasu. Účelem těchto pravidel je zajistit, aby jednotlivci rozuměli tomu, s čím souhlasí. To znamená, že souhlasu musí předcházet dotaz v jasném a běžně užívaném jazyce a samotný souhlas musí být projevem svobodné, konkrétní, informované a jednoznačné vůle. Souhlas by měl být udělen ve formě jednoznačného potvrzení, např. zaškrtnutím políčka na internetových stránkách nebo podepsáním formuláře.

Pokud vám někdo dá souhlas se zpracováním svých osobních údajů, můžete tyto údaje zpracovávat pouze pro účely, k nimž byl tento souhlas dán. Rovněž musíte danému jednotlivci umožnit, aby tento souhlas mohl odvolat.

Poskytování transparentních informací

Jednotlivcům musíte poskytnout jednoznačné informace o tom, kdo jejich osobní údaje zpracovává a proč. Minimálně byste měli uvést následující:

V některých případech musí vámi poskytnuté informace obsahovat také:

Tyto informace musíte poskytnout jasným a srozumitelným jazykem.

Zvláštní pravidla v případě dětí

Pokud shromažďujete osobní údaje o dítěti na základě jeho souhlasu, například při používání účtu na sociálních médiích nebo účtu pro stahování dat, musíte nejdříve získat souhlas jeho rodičů, např. musíte zaslat oznámení rodičům nebo zákonnému zástupci dítěte. Věk, do kterého se jedinec považuje za dítě, záleží na tom, ve které zemi žije, běžně je to do 13 až 16 let.

Právo na přístup k údajům a právo na přenositelnost údajů

Jednotlivcům musíte zajistit právo na bezplatný přístup k jejich osobním údajům. Pokud vás někdo o přístup ke svým údajům požádá, musíte:

Dochází-li ke zpracování údajů na základě souhlasu nebo smlouvy, může vás daný jednotlivec rovněž požádat o to, abyste mu jeho osobní údaje vrátili nebo je předali jiné společnosti. Jedná se tzv. „právo na přenositelnost údajů". Údaje musíte poskytnout v běžně používaném a strojově čitelném formátu.

Právo na opravu a právo vznést námitku

Pokud se jednotlivec domnívá, že jsou jeho údaje nesprávné, neúplné nebo nepřesné, má právo na provedení jejich opravy nebo jejich doplnění, a to bez zbytečného prodlení.

V tomto případě byste měli upozornit všechny příjemce údajů, že osobní údaje, které s nimi sdílíte, byly změněny nebo vymazány. Pokud byl některý z osobních údajů, které jste sdíleli, nesprávný, budete na to muset upozornit každého, kdo s tímto údajem přišel do styku (ale pouze za předpokladu, že k tomu není zapotřebí nepřiměřené úsilí).

Každý jednotlivec rovněž může kdykoli podat námitku proti zpracování svých osobních údajů pro určité účely, pokud váš podnik tyto údaje zpracovává na základě svého oprávněného zájmu nebo z důvodu provedení úkolu ve veřejném zájmu. Pokud nemáte oprávněný zájem, který by převažoval nad zájmy jednotlivce, musíte zpracování osobních údajů ukončit.

Jednotlivec vás také může požádat, abyste zpracování jeho osobních údajů omezili do té doby, než bude stanoveno, zda vaše oprávněné zájmy převažují nad jeho. V případě přímého marketingu jste však vždy povinni zpracování osobních údajů ukončit, pokud vás o to daná osoba požádá.

Právo na výmaz (tzv. „právo být zapomenut")

Za určitých okolností může jednotlivec požádat správce údajů o výmaz svých osobních údajů, například pokud již nejsou jeho údaje potřeba pro účely, pro které byly zpracovávány. Váš podnik však není povinen tak učinit, pokud:

Automatizované rozhodování a profilování

Jednotlivci mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování. Z tohoto pravidla však existují určité výjimky, například pokud dali k automatizovanému rozhodnutí výslovný souhlas. Kromě případů, kdy se automatizované rozhodnutí opírá o právní řád, musí váš podnik:

Příklad: Pokud banka automatizuje rozhodnutí, zda určité osobě poskytne půjčku či ne, tato osoba by měla být o automatizovaném rozhodnutí informována a měla by jí být dána možnost rozhodnutí napadnout a požádat o lidský zásah.

Porušení zabezpečení údajů – jak ho správně ohlásit

Za porušení zabezpečení údajů se považuje situace, kdy jsou osobní údaje, za které jste odpovědni, náhodně nebo neoprávněným způsobem zpřístupněny neoprávněným příjemcům nebo pokud jsou dočasně nedostupné či došlo k jejich pozměnění.

Došlo-li k porušení zabezpečení údajů a ohrožuje to práva a svobody fyzických osob, musíte to ohlásit úřadu pro ochranu údajů do 72 hodin od okamžiku, kdy jste se o porušení zabezpečení dozvěděli.

V závislosti na tom, zda porušení zabezpečení údajů představuje pro postižené osoby vysoké riziko či ne, může být váš podnik rovněž povinen informovat všechny postižené.

Povinnost reagovat na žádosti

V případě, že váš podnik obdrží žádost od fyzické osoby, která chce uplatnit svá práva, měli byste na tuto žádost odpovědět bez zbytečného odkladu, každopádně však do 1 měsíce od obdržení žádosti. Je-li žádost komplikovaná nebo obsahuje více částí, může být tato lhůta prodloužena o 2 měsíce za předpokladu, že je o tom žadatel informován. Žádost by měla být vyřízena bezplatně.

Pokud je žádost zamítnuta, musíte žadateli sdělit důvody zamítnutí a informovat ho o jeho právu podat stížnost k úřadu pro ochranu údajů.

Posouzení vlivu

V případě, že by zamýšlené zpracování údajů mohlo představovat vysoké riziko pro práva a svobody jednotlivců, např. při použití nových technologií, musíte provést posouzení vlivu na ochranu osobních údajů.

K takovému vysokému riziku dochází, pokud:

Pozn.: Úřad pro ochranu osobních údajů může za vysoké riziko považovat i jiné kategorie zpracování údajů.

Pokud opatření uvedená v posouzení vlivu na ochranu osobních údajů neodstraní všechna zjištěná vysoká rizika, je nutné se před zahájením zamýšleného zpracování údajů poradit s úřadem pro ochranu údajů.

Vedení záznamů

Váš podnik musí být schopen prokázat, že jedná v souladu s nařízením GDPR a plní veškeré příslušné povinnosti. Zejména tak musí učinit na žádost úřadu pro ochranu údajů nebo v případě inspekce ze strany tohoto úřadu.

Jedním ze způsobů, jak to zajistit, je vést podrobné záznamy např. o těchto skutečnostech:

Váš podnik by měl rovněž vypracovat postupy a pokyny v písemné formě, pravidelně je aktualizovat a dohlédnout na to, aby je znali všichni zaměstnanci.

Pozor!

Pokud spadáte do kategorie malých a středních podnikůen nebo mikropodniků, záznamy o činnostech zpracování vést nemusíte, pokud tyto činnosti:

  • neprovádíte pravidelně
  • nemají vliv na práva nebo svobody dotčených jednotlivců
  • nezahrnují citlivé údaje nebo záznamy z rejstříku trestů.

Záměrná a standardní ochrana osobních údajů

Záměrná ochrana osobních údajů znamená, že váš podnik by měl vzít v úvahu ochranu osobních údajů již v počáteční fázi plánování nového způsobu zpracování osobních údajů. V souladu s touto zásadou musí správce údajů přijmout všechna nezbytná technická a organizační opatření k zavedení zásad ochrany osobních údajů a k zajištění ochrany práv jednotlivců. Mezi tato opatření patří např. využití pseudonymizace.

Standardní ochrana osobních údajů znamená, že váš podnik by měl vždy jako výchozí použít to nastavení, které co nejvíce chrání soukromí. Příklad: Pokud existují dvě možná nastavení ochrany soukromí, přičemž jedno z nich brání tomu, aby měla k osobním údajům přístup další osoba, měli byste jako výchozí použít právě toto nastavení.

Porušení pravidel a sankce

Pokud váš podnik nebude dodržovat pravidla stanovená v nařízení GDPR, hrozí mu za porušení předpisů vysoké pokuty až do výše 20 milionů eur nebo 4 % celkového obratu. Úřad pro ochranu údajů může uložit další nápravná opatření, např. zakázat vám zpracovávat osobní údaje.

Ochrana údajů a soukromí na internetu – Časté otázkyOtevřít jako externí odkaz

Související témata

Právní předpisy EU

Potřebujete pomoc specializované asistenční služby?

Obraťte se na specializované asistenční služby.

Místní podpora podnikání

Máte otázky týkající se provozování přeshraničního podnikání , např. vývozu nebo rozšíření podnikání do jiné země EU? Pokud ano, síť Enterprise Europe Network vám může zdarma poradit.

Kde získat další pomoc

Sdílet tuto stránku: