1.63
Jak se připravit na nové nařízení o ochraně osobních údajů – 4. díl
Mgr. Mgr. Radana Burešová
V rámci přípravy na GDPR je vhodné provést následující kroky:
1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat
2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.
Dále se musí podniknout opatření:
3. ve vztahu k ochraně zpracovávaných osobních údajů
4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),
5. ve vztahu k dozorovému úřadu.
ad 4) Povinnosti ve vztahu k subjektům osobních údajů
Správce má řadu povinností vůči subjektům údajů, tj. fyzickým osobám, jejichž osobní údaje zpracovává. Tyto povinnosti lze rozdělit do dvou skupin – na ty, které je třeba splnit vždy a na ty, které vznikají jen v určitých případech, a to z popudu subjektu údajů.
Ať už správce osobní údaje zpracovává se souhlasem subjektů údajů, nebo z jiných právních důvodů, vždy musí subjektu údajů poskytnout tyto informace:
1. podle článku 13 GDPR, pokud údaje získává přímo od subjektu údajů (např. pokud dotčené osoby vyplňují formuláře nebo pokud jsou sledovány např. kamerou) – tyto informace musí být poskytnuty při získání údajů (je vhodné, aby informace byly přímo součástí souhlasu se zpracováním osobních údajů v případech, kdy je souhlas právním důvodem zpracování):
a) totožnost a kontaktní údaje správce a jeho případného zástupce;
b) kontaktní údaje pověřence pro ochranu osobních údajů, pokud byla tato funkce zřízena, viz níže;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování (příslušné ustanovení čl. 6 odst. 1 GDPR – např. souhlas);
d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) GDPR;
e) případné příjemce nebo kategorie příjemců osobních údajů (další osoby, kterým budou dotčené osobní údaje předány, pokud možno jmenovitě, pokud to nejde jmenovitě, podle typu – např. právní a daňoví poradci atd.);
f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Evropské komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci GDPR, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny;
a dále pokud je to potřebné v zájmu transparentnosti a spravedlnosti (doporučuje se vždy):
g) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
h) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
i) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
j) existence práva podat stížnost u dozorového úřadu;
k) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
l) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
2. podle článku 14 GDPR, pokud údaje získává z jiných zdrojů (např. z veřejně dostupných zdrojů nebo od jiných subjektů údajů):
a) všechny informace uvedené výše v bodě 1 s výjimkou informací uvedených pod písmenem e);
b) kategorie dotčených osobních údajů (protože subjekt údaje sám neposkytl, neví, jaké jeho osobní údaje jsou zpracovávány – např. jméno, příjmení, adresa, podoba apod.);
c) zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda pocházejí z veřejně dostupných zdrojů.
Pokud jsou zpracovávány údaje, které nebyly získány od subjektů údajů, je jim nutno informace podle článku 14 GDPR poskytnout:
-
v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
-
nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
-
nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
Informace není nutno poskytovat, pokud je subjekt již (prokazatelně) má a jestliže jsou zpracovávány údaje, které nebyly získány…