Obsah
Kontakt
Odběr zpravodaje
Seriál: GDPR – díl první
O nařízení Evropské unie GDPR jste již jistě slyšeli. Toto Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR – General Data Protection Regulation) bude účinné od 25. 5. 2018.
Nahradí právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
V médiích a na internetu se množí různé, mnohdy velmi rozporu plné informace a diskuse, mohlo by se zdát, že normální komunikace při striktním dodržování této směrnice zanikne. Seriálem o GDPR bychom chtěli trochu zklidnit vody a vnést něco pragmatických informací.
Jednoznačně se týká ochrany osobních údajů fyzických osob. Pozor však, právnické osoby jsou svými statutárními orgány zastoupeny fyzickými osobami!
Co, respektive kdo, je fyzická osoba?
Každý občan Evropské unie, osoba, která je příslušníkem členského státu Evropské unie, nebo zde legálně pobývá, či podniká.
Co jsou osobní údaje?
Jakýkoliv údaj, který umožňuje identifikovat konkrétní osobu, je osobním údajem. Pozor však, co u jedné fyzické osoby je osobním údajem, protože je tímto údajem jasně identifikovaná, ještě nemusí být osobním údajem pro jinou fyzickou osobu. Rozhoduje možnost dle tohoto údaje danou osobu jednoznačně identifikovat. Pěkným příkladem je jmenný seznam účastníků nějakého setkání. My sami jsme organizovali školení, kde se zúčastnilo několik Petrů Němců. V tomto případě Petr Němec dostatečně nepopisuje, o koho se jedná, nelze jej jednoznačně určit. Pokud bychom však k tomuto jménu uvedli další údaj, třeba firma, email stává se osobním údajem. Již lze jednoznačně specifikovat jednu, konkrétní osobu
Z uvedeného příkladu vyplývá, že v mnohých případech jeden údaj není osobním, ale v rámci souboru další se osobním stává. Tento princip je možné použít v rámci tak zvané pseudo anonimizace. O tom však někdy příště.
Správce přitom může mít tyto údaje v jedné databázi nebo ve více oddělených databázích či seznamech.
Nejčastější osobní údaje:
Jméno, adresa, trvalé bydliště, doručovací adresa, pohlaví, věk, datum narození, místo narození, rodné číslo, osobní stav, zdravotní znevýhodnění, fotografický záznam, video záznam, audio záznam, e-mailová adresa (zvláště pokud obsahuje například jméno a firmu), telefonní číslo – soukromé i pracovní, IP adresa, různé identifikační údaje vydané státem:
- identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu a další
- vzdělání
- příjem ze zaměstnání (mzda, plat), příjem z důchodu
- kulturní profil
- jiné
+ osobní údaje dětí nebo manžela/manželky resp. partnera/partnerky – obecné i zvláštní
Nejčastější zvláštní osobní údaje:
údaje o rasovém či etnickém původu (národnost), NE státní občanství, politické názory, NE členství v politické straně nebo hnutí, NE členství v komunistické straně před rokem 1989 (dle ÚS), náboženské vyznání, filozofické vyznání, členství v odborech, zdravotní stav - údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb, sexuální orientace, trestní delikty, pravomocná odsouzení
Nařízení ukládá povinnosti a práva:
- správcům údajů (obvykle zaměstnavatelé či obchodníci),
- zpracovatelům údajů (například firmy, které externě zpracovávají mzdy)
- kategoriím subjektů údajů (typicky zaměstnanci, zákazníci, uchazeči o zaměstnání, kolemjdoucí zaznamenaní na kameru a další.)
Je jasné, že neexistuje jednoznačný a obecný návod, jak nařízení o GDPR implementovat.
Doporučujeme, jak se říká, použít zejména selský rozum.
Sami si zkuste odpovědět na otázky:
- Máte, či zpracováváte osobní údaje,
- pokud ano, proč osobní údaje zpracováváte,
- jsou účely zpracování dostatečně konkrétní,
- které osobní údaje reálně zpracováváte
- a zda nemáte údaje bez konkrétního účelu?
Díky počáteční analýze stavu si uvědomíte, které požadavky a zdali se nařízení o GDPR vztahují přímo na i vás.
Pokud ano doporučujeme, abyste si stanovili interní pravidla a vlastní opatření, pomocí kterých nařízení GDPR naplníte. Zdůrazňuji, vše je o ochraně údajů. O tom, aby data, která vlastníme, či spravujeme, byla chráněna před jejich zneužitím a to jak náhodným, tak cíleným.
Hlavní oblasti působnosti GDPR:
- Povolování a omezování přístupu k datům. Administrátor má nově větší pravomoci v nastavování přístupu uživatelů k datům.
- Anonymizace údajů. Když pomine účel ke zpracování, kvůli kterému jste data shromáždili, je potřeba je anonymizovat.
- Práv zaměstnanců a dalších subjektů údajů. Správce údajů shromažďuje data, zpracovatel je na jeho pokyn zpracovává. Oba musí data chránit a plnit práva zaměstnanců, které jim GDPR dává.
- Povinností správce a zpracovatele. Při zapracování GDPR musíte myslet třeba na evidenční nebo oznamovací povinnost.
Na závěr tohoto úvodního článku zmíním ještě základní Práva subjektů údajů a povinnosti zpracovatelů a správců údajů.
A) Práva subjektů
Právo na informace
Pokud jako správce údajů dostanete od subjektu údajů informace, musíte mu dát vědět třeba to, že je zpracováváte, za jakým účelem údaje získáváte a kdo s nimi bude dále pracovat.
Právo na opravu
Pokud se zákazník domnívá, že o něm zpracováváte nepřesné údaje, může vás na to upozornit. Pak se musíte jeho žádosti věnovat a data – a to je vše.
Právo na výmaz (známé také jako právo být zapomenut)
Právo na výmaz znamená, že subjekt údajů může žádat smazání osobních údajů ze systému:
-
- po uplynutí zákonných či smluvních lhůt
- nebo při odvolání souhlasu ke zpracování osobních údajů.
Právo na přístup k osobním údajům
Pouhým vytisknutím Karty zaměstnance či Karty firmy poskytnete zájemci souhrn informací, které o něm shromažďujete.
Právo na přenositelnost údajů
GDPR přesně nestanovuje formát pro přenositelné údaje. Toto právo pravděpodobně najde využití především pro přenos údajů mezi bankami.
Právo na omezení zpracování
B) Povinnosti správců a zpracovatelů údajů
GDPR ukládá správci a zpracovateli údajů mnoho povinností, například vést evidenci:
- záznamů o zpracování,
- souhlasů se zpracováním subjektů údajů,
- žádostí subjektu údajů o výkon jeho práv, včetně oznamovací povinnosti,
- ověření identity subjektu údajů,
- (a hlášení) incidentů, včetně oznamovací povinnosti
- šetření prováděných dozorovým orgánem – Úřadem na ochranu osobních údajů.
V dalších dílech se budeme věnovat způsobu ochrany dat a konkrétním případům jak postupovat v rámci implementace GDPR zejména u SVJ, SBD, BD a správců bytového a nebytového fondu.
Problematika bude prezentována i v rámci jarních seminářů Jak to dělají jinde. Těmto seminářům se věnujeme v článku: Co vše souvisí s údržbou radiátorů?
Přeji příjemné a inspirativní čtení. A pokud chcete mít jistotu, že další informace o postupu, jak na GDPR, přihlaste se k odběru našich elektronických zpravodajů (<= klikni)
Autor: Ing. Petr Němec