GDPR a územně samosprávné celky
Ministerstvo vnitra zveřejnilo systémovou analýzu ochrany osobních údajů v krajích (dostupná zde: http://www.mvcr.cz/gdpr/clanek/systemova-analyza-kraju.aspx). Soubor dokumentů shrnuje, jaké osobní údaje jsou v krajích zpracovávány, na základě jakých titulů, v jakých systémech a zejména, kde vznikají nesoulady se současným nastavením ochrany osobních údajů a co je třeba napravit. Analýza je velice podrobná a prakticky zaměřená a přehledně shrnuje problémy, jimiž se musí samosprávné celky zabývat, a navrhuje pro ně řešení.
Pro obce Ministerstvo vnitra rovněž zveřejnilo „check-list“, který má sloužit jako základní metodika v přípravách na GDPR (dostupný zde: http://www.mvcr.cz/gdpr/clanek/kontrolni-seznamy-checklisty-pro-obce.aspx).
26. únor 2018
Předávání osobních údajů do třetích zemí (se zvláštním důrazem na USA)
Základním předpokladem předávání do třetích zemí je dodržení zásady zákonnosti, tedy je zejména potřeba mít jeden z tzv. právních titulů pro zpracování osobních údajů. Pokud tomu tak je, pak musí správce/zpracovatel postupovat jak v souladu s obecnými podmínkami Nařízení, která platí při jakémkoliv zpracování osobních údajů (tedy i v rámci EU), tak i dodatečné podmínky stanovené pro předávání do zemí mimo EU tak, aby nebyla znehodnocena úroveň ochrany fyzických osob – subjektů údajů podle tohoto Nařízení.
Zajištění dostatečné úrovně ochrany v praxi znamená především to, že je možné předávat osobní údaje pouze do těch zemí, kde je zajištěna dostatečná právní ochrana osobních údajů, resp. musí správce/zpracovatel přijmout takové instrumenty, které tuto ochranu zajistí.
Nařízení stanoví tři právní důvody pro předávání:
- rozhodnutí o odpovídající ochraně vydané EK (jmenovitě některé státy či území, zahrnujíce v to i rozhodnutí o odpovídající úrovni ochrany v USA – tzv. Privacy Shield)
- předávání založené na vhodných zárukách (např. závazné nástroje mezi orgány veřejné moci, závazná podniková pravidla, standardní smluvní doložky, schválené kodexy chování, dále pak vlastní smluvní doložky schválené dozorovým úřadem apod.); tento důvod je možné použít, pokud se jedná o předávání do země, ve které existuje účinná právní ochrana fyzických osob jakožto subjektů údajů)
- výjimky pro specifické situace (taxativně vyjmenovává Nařízení).
Program Privacy Shield funguje od srpna 2016 na principu volné registrace, což znamená, že se do něj může zaregistrovat jakákoliv společnost v USA a tato nepodléhá žádnému schválení. Je tedy pouze na zapsané společnosti, aby přijala a dodržovala všechna opatření, která jsou podle tohoto programu vyžadována (samozřejmě při možnosti zpětné kontroly ze strany federálních úřadů). Základní zásady Privacy Shield v mnohém, ne však zcela, odpovídají základním zásadám ochrany osobních údajů podle předpisů EU. Z mnohých důvodů, které na tomto místě nebudeme rozebírat, je budoucnost tohoto programu nejistá, a proto se správci/zpracovateli doporučuje mít připraven i jiný právní důvod pro předávání osobních údajů do USA, především – pokud to situace a postavení správce/zpracovatele dovoluje - závazná podniková pravidla, lze uvažovat i o schváleném kodexu chování nebo standardních smluvních doložkách.
22. únor 2018
Odpovědnost správce vs. odpovědnost zpracovatele
Správce odpovídá za dodržování povinností daných nařízením, tedy i za dodržování zásad zpracování (toto musí být správce schopen doložit).
Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat, tzv. zpracovatele, musí však vybrat takového, který poskytuje dostatečné záruky vhodných technických a organizačních opatření; tak, aby zpracování splňovalo požadavky nařízení a byla zajištěna ochrana práv subjektu údajů. Nařízení GDPR stanoví povinně písemnou smlouvu (včetně elektronické formy) nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a zpracovatelem. Obsahem smlouvy je zejména předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů a další náležitosti stanovené v čl. 28 odst. 3 nařízení. Správce se přizváním zpracovatele ke zpracování osobních údajů nezbavuje odpovědnosti za zpracování osobních údajů, platí zde tzv. sdílená odpovědnost za zpracování dat. K úniku dat (incidentu) může dojít na straně správce i zpracovatele, proto lze doporučit velmi precizně definovat odpovědnost obou zúčastněných stran ve zpracovatelské smlouvě.
Co se týče práva na náhradu újmy a odpovědnost, je správce zapojený do zpracování odpovědný za újmu, kterou způsobí zpracováním, které porušuje nařízení; zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Pokud je do zpracování zapojeno více správců nebo správce a zpracovatel, nastupuje solidární odpovědnost za porušení povinností.
22. únor 2018
Příspěvkové organizace a jejich povinnosti
Příspěvkové organizace jsou subjekty zřizované územním samosprávným celkem nebo státem, které mají vlastní subjektivitu a vlastní agendu, ve které nakládají s osobními údaji. Nejčastěji budou při jejich zpracování vystupovat v roli správce; může docházet ke sdílení osobních údajů buď více příspěvkových organizací, nebo příspěvkové organizace a zřizovatele, v tomto případě je nezbytné ve smlouvě stanovit jasná pravidla pro nakládání s osobními údaji a vymezit odpovědnost všech zúčastněných.
Pokud příspěvková organizace zejména vystupuje jako orgán veřejné moci (např. škola), je veřejným subjektem (tento je definován v návrhu nového zákona o zpracování osobních údajů, na definitivní znění si však musíme počkat) nebo zpracovává zvláštní kategorii údajů (např. nemocnice), má za povinnost jmenovat pověřence pro ochranu osobních údajů.
22. únor 2018
Slovensko vyhlásilo Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Slovensko vyhlásilo dne 30. 1. 2018 ve Zbierke zákonov Slovenskej republiky Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
19. únor 2018
„DPIA“ – posouzení vlivu na ochranu osobních údajů
Úřad pro ochranu osobních údajů připravil návrh pokynů pro provádění DPIA – tedy povinnosti provést předběžné posouzení vlivu zamýšleného zpracování osobních údajů na ochranu osobních údajů, pokud takové zpracování představuje vysoké riziko pro práva a svobody fyzických osob.
ÚOOÚ připravil podrobná kritéria, podle nichž lze jednoduše posoudit, zda zpracování představuje takové riziko. Mezi tato kritéria patří mimo jiné povaha osobních údajů, rozsah jejich zpracování i povaha správce a systémy zpracování. Součástí pokynů jsou i konkrétní příklady, kdy pro zpracování osobních údajů nebude nutné provádět DPIA, jako např. pro vedení účetnictví, provoz soukromé lékařské ordinace nebo pro používání kamery na osobním vozidle.
10. únor 2018
Přípravy českého zákona o zpracování osobních údajů
Ministerstvo vnitra zveřejnilo dokument, ve kterém se vypořádává se stovkami připomínek k návrhu zákona o zpracování osobních údajů, který má od května vedle GDPR být základním předpisem pro ochranu osobních údajů v České republice.
Některé z připomínek byly akceptovány a zapracovány do návrhu, který po projednání vládou zamíří do poslanecké sněmovny.
Stávající podoba návrhu zákona je dostupná zde: https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5
25. leden 2018
S blížící se účinností GDPR sílí trend ochrany osobních údajů
Internetový gigant Google neuspěl s odvoláním u německých soudů proti nařízení hamburského úřadu pro ochranu osobních údajů. Podle něj je stávající ochrana osobních údajů nedostačující a Google ji musí posílit, zejména pokud jde o získávání souhlasů uživatelů.
Problémům se nevyhne ani Facebook, s nímž vede řízení německý antimonopolní úřad – z podezření na zneužívání dominantního postavení také sběrem a zpracováním osobních údajů od třetích stran.
Ve prospěch ochrany osobních údajů zasáhl rovněž český Ústavní soud, a to ve svém nálezu, týkajícím se zákona o elektronické evidenci tržeb. Ten vedle dalších ustanovení zrušil tu část zákona o EET, která stanoví povinnost uvádět na účtenkách „DIČ“. V případě podnikatelů – fyzických osob tvoří totiž základ „DIČ“ rodné číslo a právě takové uvádění rodného čísla má Ústavní soud za nepřiměřené. S tímto názorem vyslovil souhlas i Úřad pro ochranu osobních údajů.
15. leden 2018
S přípravami na GDPR pomohou i české úřady
I v České republice, byť zatím ne na úrovni zákona, probíhají přípravy na GDPR.
Státní ústav pro kontrolu léčiv se vyjádřil k tomu, jak postupovat při získávání souhlasu se zpracováním osobních údajů v klinických hodnoceních.
Metodiku pro zpracování osobních údajů podle GDPR v oblasti zdravotnictví pak připravilo Ministerstvo zdravotnictví. To se již dříve nechalo slyšet, že pro správce, kteří dodržovali stávající předpisy, nebudou změny nijak citelné.
Ministerstvo vnitra na svých webových stránkách zřídilo novou sekci, věnující se GDPR. Zde informuje o aktualitách a probíhajících aktivitách, jako jsou připravované vzorové systémové analýzy ve vztahu ke krajům a obcím.
8. leden 2018
WP 29 připravila další vodítka k GDPR
Skupina WP 29 připravila návrhy nových pokynů, které se týkají souhlasu se zpracováním osobních údajů a principu transparentnosti ve zpracování osobních údajů.
Návrh pokynů o transparentnosti se týká především informační povinnosti a uvádí přímo použitelné, nebo naopak nepoužitelné textace, a také způsoby, jak je vhodné subjekty informovat (jako dobrá praxe jsou např. uváděny formuláře, které subjekty snadno vyplní a podají).
Návrh pokynů týkajících se souhlasu se zpracováním osobních údajů konkretizuje podmínky pro udělení souhlasu tak, aby byl vždy svobodný, konkrétní, informovaný a jednoznačný.
14. prosinec 2017
