Hlavní navigace

Problematika osobních údajů podle nového nařízení GDPR

Jiří Matzner

Od účinnosti nařízení o ochraně osobních údajů uplynul necelý měsíc. Přinášíme několik základních rad, pouček a výkladů, které se GDPR týkají.

Doba čtení: 5 minut

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) přináší celou řadu pojmů a výkladů. Pro snadnější orientaci v problematice GDPR je dobré mít v nich jasno. 

Co je to osobní údaj

Osobním údajem se podle GDPR rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (tzv. subjektu údajů), jako je například jméno a příjmení, identifikační číslo, lokalizační údaje (údaje o poloze), jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní či společenské identity určité fyzické osoby, nebo dokonce síťový identifikátor. Definice osobního údaje se podle GDPR – oproti předchozímu zákonu č. 101/2000 Sb., o ochraně osobních údajů – v zásadě nezměnila. Údaje, jako je jméno, e-mail nebo adresa kterékoliv fyzické osoby, tak osobními údaji podléhajícími režimu GDPR bezesporu jsou. Naopak údaje, jako je název a adresa právnické osoby, osobními údaji nejsou – podstatou osobního údaje je totiž jeho spojitost s určitou fyzickou osobou. 

Čtěte také: Připravili jsme velký rozcestník změn a novinek, které přináší

Podstatné pro definici osobního údaje je také skutečnost, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby. Tato může nastat mnoha různými způsoby. Kromě jména, příjmení, adresy nebo data narození tak může být osobním údajem rovněž např. kód, který je přidělen určitému zaměstnanci, nebo dokonce i IP adresa vašeho počítače, se kterým pracujete. Byť je definice osobního údaje poměrně široká, je třeba mít na paměti, že povinnost řídit se novým nařízením GDPR nastává až v momentě, kdy dochází ke zpracování osobních údajů v rámci podnikatelské činnosti.

Kdo je správce a kdo zpracovatel osobních údajů?

Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů – tento primárně odpovídá za zpracování osobních údajů. Správce může osobní údaje zpracovávat jak pro účely vyplývající z jeho činnosti (jako např. za účelem plnění smluv, zákonných povinností atd.), tak i pro další vlastní individuálně určené účely. Správcem podléhajícím režimu GDPR může být jak fyzická osoba, tak i právnická osoba, pokud osobní údaje zpracovává způsobem, který neumožňuje aplikaci některé z výjimek, jenž uplatnění GDPR na zpracování osobních údajů vylučují (jako třeba v případech osobního či domácího zpracování). U právnických osob je správcem přímo příslušná právnická osoba, nikoli její zaměstnanci, statutární orgány nebo společníci. 

Čtěte více: Zpracování mzdového účetnictví externí firmou a GDPR

Zpracovatelem je oproti tomu osoba, která jakýmkoliv způsobem zpracovává osobních údaje pro určitého správce. Správce nemá žádnou povinnost si zpracovatele pro zpracování osobních údajů najímat. V rámci jeho každodenních činností však zpravidla bude docházet k situacím, kdy bude muset služeb určitého zpracovatele využít (jako např. externí účetní společnosti, poskytovatele cloudového serveru, subdodavatele apod.). Od správce se zpracovatel liší především tím, že v rámci své činnosti může pro správce provádět jen takové operace, kterými jej správce pověří nebo které vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Vztah mezi správcem a zpracovatelem musí být současně upraven zpracovatelskou smlouvou (s náležitostmi uvedenými v čl. 28 GDPR). V neposlední řadě je nutné zmínit, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům získaným od správce, ale nikoli ve vztahu k těm, které zpracovává sám z pozice správce (např. osobní údaje svých vlastních zaměstnanců).

Za co správce odpovídá?

Správce osobních údajů primárně odpovídá za dodržování veškerých povinností kladených na něj nařízením GDPR. Zpracovatel za tyto povinnosti odpovídá až sekundárně. Vztah mezi správcem a zpracovatelem (vč. vzájemných odpovědností) si však lze do určité míry upravit ve zpracovatelské smlouvě. Klíčové je také dodržování tzv. základních zásad zpracování stanovených v čl. 5 nařízení GDPR – jako např. zásady zákonnosti, korektnosti a transparentnosti zpracování, zásady minimalizace zpracovávaných dat, zásady integrity a důvěrnosti zpracování atd. 

Čtěte více: Jak se postavit k (ne)povinnosti vedení záznamů o činnostech zpracování?

Nutností pro zpracování je vždy existence řádného právního titulu pro zpracování osobních údajů – tím musí vždy správce disponovat k tomu, aby vůbec mohl osobní údaje zpracovávat. Osobní údaje musí správce dále dostatečně zabezpečit proti úniku či zneužití a současně má povinnost plnit veškeré další povinnosti, které na něho podle GDPR dopadnou (jako např. jmenovat pověřence pro ochranu osobních údajů, vypracovat záznamy o činnostech zpracování, vypracovat posouzení vlivu na ochranu osobních údajů atd.). Každý správce si ovšem musí vždy sám prověřit (s ohledem na druh zpracovávaných údajů, jejich rozsah, povahu zpracování atd.), v jakém rozsahu na něj povinnosti plynoucí z nařízení GDPR budou dopadat, jelikož paušálně toto stanovit bohužel nejde.

Čtěte více: Nechce být obtěžován telefonáty pro průzkum trhu. Firma musí námitku akceptovat

EBF 2018 tip v článku  jména Podnikatel

Jak je to se zpracováním osobních údajů na internetu?

Každé zpracování osobních údajů musí mít určitý právní základ a opírat se o některý z titulů zpracování uvedených v čl. 6 nařízení GDPR. Jde-li například o osobní údaje vedené ve veřejných rejstřících přístupných na internetu (jako např. jméno a adresa jednatele u s.r.o. nebo člena představenstva u a.s. uvedená v obchodním rejstříku), je zde zpracování založeno na plnění právní povinnosti. V takovýchto případech musí fyzická osoba zveřejnění svých osobních údajů na internetu strpět. Zákonem stanovená veřejnost určitého rejstříku (např. obchodního rejstříku, katastru nemovitostí atd.) ovšem automaticky neznamená, že zveřejněné osobní údaje lze dále neomezeně distribuovat, zveřejňovat a zpracovávat. Další zveřejňování nebo zpracovávání údajů z veřejných rejstříků je totiž také zpracováním osobních údajů, které podléhá GDPR a musí k němu správci opět svědčit určitý konkrétní právní důvod. Nově již tak nebude možné s těmito osobními údaji jen tak bez dalšího nakládat – veřejnost osobních údajů totiž sama o sobě neznamená možnost jejich dalšího neomezeného zpracovávání.

GDPR, e-shopy a online marketing