SLOVNÍK POJMŮ

Anonymizace

Anonymizované údaje jsou takové údaje, které nelze ani nepřímo přiřadit ke konkrétní osobě. Osobu již podle údajů nelze identifikovat a nejsou s ní tedy nijak spojitelné.

Z toho vyplývá, že na anonymizované údaje se Nařízení GDPR nevztahuje.

Anonymizované údaje se často používají ve výzkumech, kde se zpracovává velké množství dat a kde nejsou důležité informace o konkrétní osobě. Jde především o statistiky obecně nebo průzkum jiných trendů, které jsou pozorovatelné na základě velkého množství vstupních údajů.

Za anonymizované údaje se považují jen takové, které již opravdu není možné přiřadit konkrétní osobě. POZOR, pouhý výmaz jména a příjmení nemusí být dostačující, jelikož pomocí ostatních údajů je možné určit konkrétní osobu nebo velmi malou skupinu konkrétních lidí.

Article 29 Working Party

(→ Článek 29 Pracovní skupina; → Pracovní skupina 29; → Working Party 29)

Pracovní skupina 29, neboli WP 29, byla ustanovena článkem 29 Směrnice 95/46/ES. Tato skupina byla nezávislým evropským poradním orgánem na ochranu dat a soukromí.

WP 29 byla složena z vedoucích zástupců dozorových úřadů členských států EU. S datem použití Nařízení GDPR, tj. 25. května 2018, se WP 29 změnila na Evropský sbor pro ochranu osobních údajů (EPDB). Úkolem Sboru je především zajišťování jednotného uplatňování Nařízení GDPR, monitorování uplatňování Nařízení GDPR a vydávání pokynů, zaručených postupů a doporučení.

Autentizační cookie

Autentizační cookie umožňuje uložení potvrzení, že je uživatel přihlášen, např. do e-shopu, databáze nebo na sociální síť. Bez autentizačních cookies by server nevěděl, že už přihlášení a ověření uživatele proběhlo, a vyžadoval by je při návštěvě každé další stránky.

Automatizované individuální rozhodování

(→ Profilování)

Profilování je kterákoliv forma automatizovaného zpracování osobních údajů, při které dochází k hodnocení nebo předpovědi chování jednotlivých osob. Může jít například o hodnocení ekonomické situace jedince pro účely nabídky půjčky, hypotéky, spoření nebo pojistky, hodnocení pracovního výkonu, zdravotního stavu, místa pohybu nebo osobních preferencí.

Dnes je možné se s profilováním setkat hlavně ve spojitosti s finančními službami, kde například banky profilují své klienty, nebo s internetem, kde provozovatelé stránek sledují pohyb osob na internetu (např. pomocí cookies).

Profilování se skládá ze tří prvků:

• musí jít o automatizovanou formu zpracování,
• musí být prováděno s osobními údaji, a
• předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.

Profilování musí zahrnovat nějakou formu automatizovaného zpracování, ačkoli lidský zásah nutně nevylučuje takovou činnost z této definice.

Automatizováné zpracování osobních údajů

Automatizované zpracování osobních údajů je jednou z forem zpracování osobních údajů. K takovému zpracování se používá pouze výpočetní technika, lidé do něj vůbec nezasahují.

Behaviorální reklama

Behaviorální reklama je cílená reklamní metoda. Spočívá v zobrazení reklamy na internetových stránkách nebo v aplikacích v závislosti na chování jednotlivých osob. Cílem je zobrazení reklamy, která by mohla konkrétní osobu zajímat a mohla by pro ni být užitečná např. na základě monitorování pohybu osoby na internetu.

K behaviorální reklamě se používají cookies nebo jiné informační zdroje o chování osob na internetu.

Biometrické údaje

Biometrické údaje jsou osobní údaje, které patří do zvláštních kategorií osobních údajů. Jedná se o zpracování fyzických nebo fyziologických znaků a znaků chování konkrétní osoby, které umožňují nebo potvrzují její identifikaci. Jako příklad je možné uvést otisk prstu, zabarvení hlasu nebo podpis.

Bring Your Own Device (BYOD)

BYOD je situace, kdy si zaměstnanci do práce nosí své vlastní telefony, notebooky, tablety, apod.

Používání vlastních chytrých zařízení ve firmě má jistě svá pozitiva i negativa. Na jedné straně přináší výhody v efektivním zavádění nových technologií. Na druhé straně jde o významný zásah do firemní informační bezpečnosti. BYOD tedy vyžaduje revizi bezpečnostních standardů a změnu pohledu na řízení rizik plynoucí ze správy dat, ochrany zařízení a procesů vedení.

Citlivé osobní údaje

(→ Zvláštní kategorie osobních údajů)

Citlivé osobní údaje jsou zvláštní kategorií osobních údajů podle Nařízení GDPR, která zahrnuje údaje o rasovém a etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů a biometrických údajů za účelem jedinečné identifikace osob a údajů o zdravotním stavu, sexuálním životě nebo sexuální orientaci fyzické osoby.

Tyto údaje mohou jedince samy o sobě poškodit například ve společnosti, zaměstnání nebo škole a mohou zapříčinit diskriminaci dané osoby. Zpracování zvláštních kategorií osobních údajů podléhá přísnějšímu režimu, než je tomu u obecných osobních údajů.

Cloud Computing

Cloud Computing je poskytování výpočetních služeb nebo programů servery dostupnými z internetu. Uživatele k těmto serverům mohou přistupovat vzdáleně.

Existují různé druhy Cloud Computingu, mezi které patří infrastruktura jako služba, platforma jako služba a software jako služba.

Cloudové služby

Cloudové služby jsou ty, které využívají tzv. Cloud Computing. Jde tedy o model, u kterého jsou nabízené servery, úložiště, služby a aplikace dostupné uživateli vzdáleně pomocí sítě nebo internetu a nezatěžují tak hardware ani software takového uživatele.

U většiny cloudových služeb není nutná instalace do počítače, telefonu nebo tabletu, přihlásit se je možné přímo v internetovém prohlížeči. V některých případech je však nutné nainstalovat aplikaci, pomocí které uživatel danou službu ovládá. Ale i tak jsou data ukládána v cloudu.

Compliance

Compliance znamená zajištění jednání v souladu s právními předpisy nebo vnitropodnikovými pravidly (směrnicemi).

Cookies

Cookies jsou krátké textové soubory vytvářené webovým serverem a ukládané v počítači prostřednictvím prohlížeče. Když je později z daného počítače nebo pod stejným uživatelským jménem tento web otevřen, počítač pošle uloženou cookie zpět a server tak získá všechny informace, které si předtím o daném uživateli uložil.

Princip cookies umožňuje odlišit jednotlivé uživatele a uložit o nich konkrétní údaje. Cookies usnadňuje personalizaci. Na principu cookies jsou zpracovávány také různé statistiky, jelikož umožňují sledovat chování uživatelů v internetovém prostředí.

Cookies se také používají například pro uložení potvrzení, že je uživatel přihlášen (např. do e-shopu, na sociální síť, na rozhraní administrátora). Pro tyto cookies se používá výraz autentizační cookies. Bez nich by totiž server nevěděl, že už k přihlášení a ověření uživatele došlo, a vyžadoval by je při návštěvě každé další stránky.

Článek 29 Pracovní skupina

(→ Article 29 Working Party; → Pracovní skupina 29; → Working Party 29)

Pracovní skupina 29, neboli WP 29, byla ustanovena článkem 29 Směrnice 95/46/ES. Tato skupina byla nezávislým evropským poradním orgánem na ochranu dat a soukromí.

WP 29 byla složena z vedoucích zástupců dozorových úřadů členských států EU. S datem použití Nařízení GDPR, tj. 25. května 2018, se WP 29 změnila na Evropský sbor pro ochranu osobních údajů (EPDB). Úkolem Sboru je především zajišťování jednotného uplatňování Nařízení GDPR, monitorování uplatňování Nařízení GDPR a vydávání pokynů, zaručených postupů a doporučení.

Data Protection Impact Assessment (DPIA)

(→ Posouzení vlivu na ochranu osobních údajů)

Data Protection Impact Assessment, neboli DPIA, se do češtiny překládá jako Posouzení vlivu na ochranu osobních údajů. Toto posouzení vlivu je nástroj, který pomáhá firmám určit nejefektivnější způsob pro uvedení pravidel na ochranu osobních údajů do souladu s Nařízením GDPR. Posouzení vlivu na ochranu osobních údajů je posouzením toho, jakým způsobem může zpracování osobních údajů zasáhnout do svobod a práv lidí. Jde tedy o dokument, který shrnuje, jak může dané zpracování osobních údajů ovlivnit životy fyzických osob.

Data Protection Officer (DPO)

(→ Pověřenec pro ochranu osobních údajů)

Data Protection Officer, neboli DPO, a česky Pověřenec pro ochranu osobních údajů je novou funkci, která vzniká v rámci Nařízení GDPR. Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi, které z Nařízení GDPR plynou. Další činností je provádění interních auditů, školení pracovníků a celkové řízení interní agendy ochrany osobních údajů.

Vodítka pro činnost Pověřence pro ochranu osobních údajů naleznete zde (WP29: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28336; často kladené otázky: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28337)

Dotčený dozorový úřad

Dotčený dozorový úřad je takový dozorový úřad, kterého se zpracování osobních údajů dotýká, protože:

• správce nebo zpracovatel je usazen na území členského státu tohoto dozorového úřadu,
• subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo
• u něj byla podána stížnost.

Dozorový úřad

(→ Úřad pro ochranu osobních údajů)

Dozorový úřad je nezávislý orgán veřejné moci v každém členském státě EU, který je zodpovědný především za:

• dozor nad dodržováním stanovených povinností Nařízení GDPR při zpracování osobních údajů,
• přijímání podnětů a stížností občanů na porušení Nařízení GDPR,
• poskytování konzultací v oblasti ochrany osobních údajů.

V České republice funkci dozorového úřadu zastupuje Úřad pro ochranu osobních údajů. Činnost Úřadu pro ochranu osobních údajů je vymezena Zákonem č. 101/2000 Sb., o ochraně osobních údajů, který bude pro tento účel nahrazen zákonem novým.

Webové stránky Úřadu pro ochranu osobních údajů jsou https://www.uoou.cz/

ePrivacy

(→ Nařízení o soukromí a elektronických komunikacích)

ePrivacy Regulation, neboli Nařízení o soukromí a elektronických komunikacích bude doplněním Nařízení GDPR. Stejně jako Nařízení GDPR bude mít i tato regulace podobu nařízení, bude tedy přímo použitelná ve všech státech EU.

ePrivacy je zaměřeno na občany a jejich možnost vědomého souhlasu, který povoluje poskytovatelům elektronických komunikací shromažďovat data. Stávající směrnice, která toto upravuje, se vztahuje pouze na tradiční telekomunikační operátory. Nové nařízení však bude závazné i pro další poskytovatele elektronických komunikací, mezi které patří například FaceBook, Messenger, Skype, WhatsApp nebo Gmail. Ochrana soukromí osob bude nově zaručena nejen pro samotný obsah zprávy, ale také pro metadata daného sdělení.

V případě, že poskytovatel nedostane od občana souhlas se zpracováním osobních údajů, budou muset být tyto údaje anonymizovány nebo vymazány. Výjimkou budou pouze ty osobní údaje, které jsou potřebné pro poskytování dané služby a s tím související úkony.

European Data Protection Board (EDPB)

(→ Evropský sbor pro ochranu osobních údajů; → Sbor)

European Data Protection Board je Evropský sbor pro ochranu osobních údajů, zkráceně Sbor. Jedná se o nejvyšší dozorový orgán, který má na starosti jednotnou aplikaci Nařízení GDPR ve všech členských státech EU. Sbor je tvořen vedoucími dozorových úřadů každého členského státu a evropským inspektorem ochrany údajů. Evropský sbor pro ochranu osobních údajů vznikl účinností Nařízení GDPR z Pracovní skupiny 29, která do té doby upravovala oblast ochrany osobních údajů.

European Data Protection Supervisor (EDPS)

(→ Evropský inspektor ochrany údajů)

EDPS, neboli evropský inspektor ochrany údajů je nezávislý kontrolní orgán, který je pověřen dohledem nad tím, jak orgány a instituce EU nakládají s osobními údaji fyzických osob.

Evidence

Evidencí se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií. Může být centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

Evropský inspektor ochrany údajů

(→ European Data Protection Supervisor - EDPS)

EDPS, neboli evropský inspektor ochrany údajů je nezávislý kontrolní orgán, který je pověřen dohledem nad tím, jak orgány a instituce EU nakládají s osobními údaji fyzických osob.

Evropský sbor pro ochranu osobních údajů

(→ European Data Protection Board - EDPB; → Sbor)

Evropský sbor na ochranu osobních údajů (Sbor), v původním znění European Data Protection Board (EDPB), je nejvyšší dozorový orgán, který má na starosti jednotnou aplikaci Nařízení GDPR ve všech členských státech EU. Sbor je tvořen vedoucími dozorových úřadů každého členského státu a evropským inspektorem ochrany údajů. Evropský sbor pro ochranu osobních údajů vznikl účinností Nařízení GDPR z Pracovní skupiny 29, která do té doby upravovala oblast ochrany osobních údajů.

GDPR

(→ General Data Protection Regulation; → Obecné nařízení o ochraně osobních údajů)

General Data Protection Regulation, které se do češtiny překládá jako Obecné nařízení na ochranu osobních údajů, se použije od 25. května 2018. Toto nařízení upravuje pravidla pro zpracování a ochranu osobních údajů a definuje práva, které občané (subjekty údajů) v souvislosti se zpracováním osobních údajů mají.

V České republice Nařízení GDPR nahradí dosud používaný Zákon č. 101/2000 Sb., o ochraně osobních údajů. Po jeho novele bude již upravovat především záležitosti týkající se Úřadu pro ochranu osobních údajů.

Nařízení GDPR se orientuje na každou firmu, instituci, organizaci nebo jednotlivce, kteří zpracovávají osobní údaje, a to zaměstnanců, zákazníků, klientů, odběratelů, dodavatelů, konkurentů, apod.

Plné znění Nařízení GDPR v anglickém jazyce naleznete zde: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Plné znění Nařízení GDPR v českém jazyce naleznete zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Pro další jazyky můžete použít odkaz: https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1501688126470&uri=CELEX:32016R0679

General Data Protection Regulation

(→ GDPR; → Obecné nařízení o ochraně osobních údajů)

General Data Protection Regulation, které se do češtiny překládá jako Obecné nařízení na ochranu osobních údajů, se použije od 25. května 2018. Toto Nařízení upravuje pravidla pro zpracování a ochranu osobních údajů a definuje práva, která občané (subjekty údajů) v souvislosti se zpracováním osobních údajů mají.

V České republice Nařízení GDPR nahradí dosud používaný Zákon č. 101/2000 Sb., o ochraně osobních údajů. Po jeho novele bude již upravovat především záležitosti týkající se Úřadu pro ochranu osobních údajů.

Nařízení GDPR se orientuje na každou firmu, instituci, organizaci nebo jednotlivce, kteří zpracovávají osobní údaje, a to zaměstnanců, zákazníků, klientů, odběratelů, dodavatelů, konkurentů, apod.

Plné znění Nařízení GDPR v anglickém jazyce naleznete zde:https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Plné znění Nařízení GDPR v českém jazyce naleznete zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Pro další jazyky můžete použít odkaz: https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1501688126470&uri=CELEX:32016R0679

Genetické údaje

Genetické údaje jsou v Nařízení GDPR upraveny jako zvláštní kategorie osobních údajů. Do skupiny genetických údajů se řadí zděděné nebo geneticky získané znaky osoby, které se zjišťují analýzou biologického vzorku dané osoby nebo analýzou jiného prvku, který poskytuje shodné informace. Příkladem může být DNA, RNA nebo krevní skupina.

Hlavní provozovna

Hlavní provozovnou je:

• v případě správce s provozovnami ve více než jednom členském státě EU místo, kde se nachází jeho ústřední správa v EU; v případě, že jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v EU a tato provozovna má pravomoc vymáhat provádění těchto rozhodnutí, je za hlavní provozovnu považována tato jiná provozovna, která rozhodnutí přijala,

• v případě zpracovatele s provozovnami ve více než jednom členském státě EU místo, kde se nachází jeho ústřední správa v EU, nebo pokud provozovatel nemá v EU žádnou ústřední správu, pak ta provozovna zpracovatele v EU, kde probíhají hlavní činnosti zpracování, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle Nařízení GDPR.

Chráněný zájem

Zákonem č. 110/2019 Sb., o zpracování osobních údajů je chráněný zájem definován jako:

• obranné nebo bezpečnostní zájmy České republiky,
• veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
• jiný důležitý cíl veřejného zájmu Evropské unie nebo členského státu EU, zejména důležitý hospodářský zájem nebo finanční zájem Evropské unie nebo členského státu EU včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví nebo sociálního zabezpečení,
• ochrana nezávislosti soudů a soudců,
• předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,
• dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci ve všech výše uvedených případech,
• ochrana práv a svobod osob, nebo
• vymáhání soukromoprávních nároků.

Internet of Things (IoT)

(→ Internet věcí)

Internet věcí, neboli Internet of Things (IoT), znamená propojení běžně užívaných věcí s internetem. Propojení bývá bezdrátové a umožňuje nové vzájemné interakce mezi jednotlivými systémy, nové ovládání a sledování věcí nebo využití pokročilých služeb.

Prakticky je IoT síť zařízení, vozidel, domácích spotřebičů a dalších zařízení, která jsou vybavena nějakou elektronikou, softwarem nebo senzory, které zařízením umožňují se propojit a vyměňovat si data. Nejznámějším případem je propojení počítače, chytrého telefonu a chytrých hodinek.

Internet věcí

(→ Internet of Things - IoT)

Internet věcí, neboli Internet of Things (IoT), znamená propojení běžně užívaných věcí s internetem. Propojení bývá bezdrátové a umožňuje nové vzájemné interakce mezi jednotlivými systémy, nové ovládání a sledování věcí nebo využití pokročilých služeb.

Prakticky je IoT síť zařízení, vozidel, domácích spotřebičů a dalších zařízení, která jsou vybavena nějakou elektronikou, softwarem nebo senzory, které zařízením umožňují se propojit a vyměňovat si data. Nejznámějším případem je propojení počítače, chytrého telefonu a chytrých hodinek.

IP adresa

IP adresa je v informatice číslo, které identifikuje síťové rozhraní v počítačové síti používající IP protokol. Zkratka IP znamená Internet Protocol. To může být do češtiny přeloženo jako protokol, pomocí kterého komunikují všechna zařízení v internetu.

IP adresa podle Nařízení GDPR patří mezi osobní údaje, jelikož je možné podle ní poznat přibližnou polohu zařízení a při užívání webových aplikací i poměrně jednoduše identifikovat koncového uživatele, nebo alespoň počítačovou síť, přes kterou je dotyčný připojen k internetu (např. síť v práci, ve škole, na úřadu, apod.)

Listina základních práv a svobod

(→ Práva a svobody fyzických osob)

Práva a svobody fyzických osob jsou určeny Listinou základních práv a svobod, která je součástí ústavního pořádku České republiky (ústavní zákon č. 2/1993 Sb.). Práv a svobod v Listině se zpravidla může domoci každý, jen některá práva a svobody jsou vázané na státní občanství. Pro všechna základní práva a svobody platí, že jsou nezadatelné, nezcizitelné, nepromlčitelné a nezrušitelné a že jsou pod ochranou soudní moci.

Listinu základních práv a svobod je možné stáhnout například zde: https://www.mkcr.cz/listina-zakladnich-prav-a-svobod-395.html.

Mechanismus jednotnosti

Mechanismus jednotnosti má za cíl přispět k jednotnému uplatňování Nařízení GDPR v celé EU pomocí spolupráce dozorových úřadů mezi sebou navzájem a ve vhodných případech s Evropskou komisí.

Metadata

Metadata jsou data o datech. Jde například o velikost souboru, autora, čas a místo vzniku.

Mezinárodní organizace

Mezinárodní organizací se rozumí organizace a její podřízené subjekty podléhající veřejnému mezinárodnímu právu nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.

Nařízení o soukromí a elektronických komunikacích

(→ ePrivacy)

ePrivacy Regulation, neboli Nařízení o soukromí a elektronických komunikacích bude doplněním Nařízení GDPR. Stejně jako Nařízení GDPR bude mít i tato regulace podobu nařízení, bude tedy přímo použitelná ve všech státech EU.

ePrivacy je zaměřeno na občany a jejich možnost vědomého souhlasu, který povoluje poskytovatelům elektronických komunikací shromažďovat data. Stávající směrnice, která toto upravuje, se vztahuje pouze tradiční telekomunikační operátory. Nové nařízení však bude závazné i pro další poskytovatele elektronických komunikací, mezi které patří například FaceBook, Messenger, Skype, WhatsApp nebo Gmail. Ochrana soukromí osob bude nově zaručena nejen pro samotný obsah zprávy, ale také pro metadata daného sdělení.

V případě, že poskytovatel nedostane od občana souhlas se zpracováním osobních údajů, budou muset být tyto údaje anonymizovány nebo vymazány. Výjimkou budou pouze ty osobní údaje, které jsou potřebné pro poskytování dané služby a s tím související úkony.

Obecné nařízení o ochraně osobních údajů

(→ General Data Protection Regulation; → GDPR)

General Data Protection Regulation, které se do češtiny překládá jako Obecné nařízení na ochranu osobních údajů, se použije od 25. května 2018. Toto nařízení upravuje pravidla pro zpracování a ochranu osobních údajů a definuje práva, která občané (subjekty údajů) v souvislosti se zpracováním osobních údajů mají.

V České republice Nařízení GDPR nahradí dosud používaný Zákon č. 101/2000 Sb., o ochraně osobních údajů. Po jeho novele bude již upravovat především záležitosti týkající se Úřadu pro ochranu osobních údajů.

Nařízení GDPR se orientuje na každou firmu, instituci, organizaci nebo jednotlivce, kteří zpracovávají osobní údaje, a to zaměstnanců, zákazníků, klientů, odběratelů, dodavatelů, konkurentů, apod.

Plné znění Nařízení GDPR v anglickém jazyce naleznete zde:https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Plné znění Nařízení GDPR v českém jazyce naleznete zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Pro další jazyky můžete použít odkaz: https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1501688126470&uri=CELEX:32016R0679

Ohlašovací povinnost

Ohlašovací povinnost znamená, že správce musí ohlásit porušení zabezpečení osobních údajů dozorovému úřadu, pokud není stanovena výjimka. Toto ohlášení je nutné provést bez zbytečného odkladu a pokud možno do 72 hodin od chvíle, kdy se o něm správce dozvěděl. Pokud správce nestihne dozorovému úřadu podat ohlášení do 72 hodin, musí současně s ohlášením uvést důvody zpoždění.

Výjimka říká, že porušení není třeba hlásit, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

One-stop Shop (OSS)

Mechanismus vedoucího dozorového úřadu, který se uplatní u přeshraničního zpracování. Pro přeshraniční zpracování bude příslušný pouze jeden dozorový úřad, který se určí podle článku 55 Nařízení GDPR.

Opt-in

Opt-in znamená vyjádření souhlasu. Nejčastěji se jedná o souhlas se zasíláním obchodních sdělení elektornickými prostředky (pozor, nejedná se o souhlas se zpracováním osobních údajů).

Opt-out

Opt-out je vyjádření nesouhlasu, neboli vyvázání se například ze zákaznické výjimky, kdy právce může šířit obchodní sdělení vůči zákazníkovi, aniž by potřeboval souhlas. Opt-out je například námitka vznesená podle článku 22 odstavce 2 Nařízení GDPR, kterou může subjekt údajů využít pro vyslovení nesouhlasu se zpracováním osobních údajů pro účely přímého marketingu.

Osobní údaje

Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (tj. subjekt údajů).

Identifikovatelnou fyzickou osobou je taková osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na určitý identifikátor (například jméno, příjmení, identifikační číslo, lokační údaje, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Mezi obecné osobní údaje patří například jméno, adresa, datum narození, pohlaví, číslo občanského průkazu, IP adresa nebo fotka.

Jelikož se Nařízení GDPR vztahuje i na podnikající fyzické osoby, patří mezi osobní údaje i tzv. organizační údaje. Mezi organizační údaje je možné zařadit například e‑mailovou adresu, telefonní číslo, IČ, číslo datové schránky nebo jiné identifikační údaje vydané státem.

Mezi osobní údaje také patří zvláštní kategorie osobních údajů, které bývají označovány jako citlivé osobní údaje.

Osobní údaje jsou veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (tj. subjektu údajů). Tato věta je přímo dána Nařízením GDPR a definuje osobní údaje. V následující tabulce jsou jednotlivé výrazy této věty vysvětleny.

Veškeré informace	vztahující se k	identifikované nebo identifikovatelné	fyzické osobě
z hlediska:	osobě z hlediska:	osobě, kterou lze ve skupině rozlišit:
povahy (subjektivní/objektivní; pravdivé/nepravdivé), obsahu (přímo/nepřímo týkající se osoby), formátu (text, čísla, audio nahrávky, videozáznam, informace v šifrované a pseudonymizované formě; na papíře, v databázi, mailu, PDF dokumentech)	obsahu (informace o konkrétní osobě), účelu (pro vyhodnocení, určité zacházení nebo ovlivnění stavu nebo chování jedince), výsledku (jakákoliv informace, na základě které může být s osobou zacházeno jinak, např. sledování GPS navigace auta a přiřazení osoby, která jej řídila).	přímo (přes identifikátory - jméno, rodné číslo, číslo občanského průkazu,...), nepřímo (přes sekundární identifikátory - telefon, e‑mail, SPZ,...; nebo zúžením výběru ve skupině osob - (význačné rysy osoby) konkrétní jméno nemusí být známo, stačí rozlišitelnost).	týká se pouze žijících osob, netýká se zemřelých, nenarozených a právnických osob.

Oznamovací povinnost

Oznamovací povinnost znamená, že správce musí oznámit porušení zabezpečení osobních údajů subjektu údajů, pokud není stanovena výjimka. Toto oznámení je nutné provést bez zbytečného odkladu, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

Výjimka říká, že porušení není třeba hlásit, pokud:

• správce zavedl náležitá technická a organizační ochranná opatření, která činí osobní údaje nesrozumitelnými pro kohokoliv, kdo není oprávněn s nimi pracovat (např. šifrování),
• správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,
• vyžadovalo by to nepřiměřené úsilí - v tomto případě musí být informace poskytnuta stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Podnik

Podnikem se rozumí jakákoliv fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, které běžně vykonávají hospodářskou činnost.

Porušení zabezpečení osobních údajů

Porušení zabezpečení osobních údajů znamená porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Posouzení vlivu na ochranu osobních údajů

(→ Data Protection Impact Assessment - DPIA)

Posouzení vlivu na ochranu osobních údajů, neboli Data Protection Impact Assessment (DPIA), je nástroj, který pomáhá firmám určit nejefektivnější způsob pro uvedení pravidel na ochranu osobních údajů do souladu s Nařízením GDPR. Posouzení vlivu na ochranu osobních údajů je posouzením toho, jakým způsobem může zpracování osobních údajů zasáhnout do svobod a práv lidí. Jde tedy o dokument, který shrnuje, jak může dané zpracování osobních údajů ovlivnit životy fyzických osob.

Použitelnost Nařízení GDPR

Použitelnost, neboli účinnost, Nařízení GDPR je datům, které určuje, od kdy se toto nařízení začne používat a aplikovat.

Obecné nařízení o ochraně osobních údajů je platné od 27. dubna 2016, tj. od doby, kdy prošlo legislativním procesem a stalo se schváleným a platným dokumentem.

Jeho účinnost však nastala 25. května 2018. Od tohoto dne se tedy všichni, kdo zpracovávají osobní údaje (nikoliv však pro soukromé účely), musí Nařízením GDPR řídit. Správci a zpracovatelé budou muset plnit povinnosti Nařízení GDPR a subjekty údajů budou moci uplatňovat svá práva podle Nařízení GDPR.

Mezi uvedenými daty běžela dvouletá lhůta pro správce a zpracovatele. Tato lhůta jim měla umožnit zavést všechna potřebná opatření (technická a organizační opatření) a připravit se na výkony spojené s účinností Nařízení GDPR.

Pověřenec pro ochranu osobních údajů

(→ Data Protection Officer - DPO)

Pověřenec pro ochranu osobních údajů, neboli Data Protection Officer (DPO), je novou funkci, která vzniká v rámci Nařízení GDPR. Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi, které z Nařízení GDPR plynou. Další činností je provádění interních auditů, školení pracovníků a celkové řízení interní agendy ochrany osobních údajů.

Vodítka pro činnost Pověřence pro ochranu osobních údajů naleznete zde (WP29: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28336; často kladené otázky: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28337)

Pracovní skupina 29

(→ Article 29 Working Party; → Článek 29 Pracovní skupina; → Working Party 29)

Pracovní skupina 29, neboli WP 29, byla ustanovena článkem 29 Směrnice 95/46/ES. Tato skupina byla nezávislým evropským poradním orgánem na ochranu dat a soukromí.

WP 29 byla složena z vedoucích zástupců dozorových úřadů členských států EU. S datem použití Nařízení GDPR, tj. 25. května 2018, se WP 29 změnila na Evropský sbor pro ochranu osobních údajů (EPDB). Úkolem Sboru je především zajišťování jednotného uplatňování Nařízení GDPR, monitorování uplatňování Nařízení GDPR a vydávání pokynů, zaručených postupů a doporučení.

Práva a svobody fyzických osob

(→ Listina základních práv a svobod)

Práva a svobody fyzických osob jsou určeny Listinou základních práv a svobod, která je součástí ústavního pořádku České republiky (ústavní zákon č. 2/1993 Sb.). Práv a svobod v Listině se zpravidla může domoci každý, jen některá práva a svobody jsou vázané na státní občanství. Pro všechna základní práva a svobody platí, že jsou nezadatelné, nezcizitelné, nepromlčitelné a nezrušitelné a že jsou pod ochranou soudní moci.

Listinu základních práv a svobod je možné stáhnout například zde: https://www.mkcr.cz/listina-zakladnich-prav-a-svobod-395.html.

Práva subjektů údajů

Mezi základní práva subjektů údajů podle Nařízení GDPR patří:

• právo na přístup k osobním údajům,
• právo na opravu,
• právo na výmaz (“právo být zapomenut”),
• právo na omezení zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného rozhodování,
• právo podat stížnost.

Právní tituly zpracování

Pojem právní tituly zpracování, neboli zákonnost zpracování, jak uvádí Nařízení GDPR, jsou oprávnění pro správce zpracovávat osobní údaje. Aby bylo ze strany správce zpracování osobních údajů legální, musí mít vždy nějaký právní titul pro dané zpracování.

Mezi právní tituly zpracování podle Nařízení GDPR patří:

• subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (např. souhlas zaměstnance s uvedením fotky na webu, souhlas zákazníka e-shopu se zpracováním osobních údajů pro účely nabídky jiných produktů a služeb),
• zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů (např. podpis kupní smlouvy, vypracování nabídky pro stavbu nemovitosti),
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (např. zpracování osobních údajů pro účely výplaty mezd a odvodu zdravotního a sociálního pojištění),
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. pokud je do nemocnice přivezen pacient, který není schopen komunikovat, udělit souhlas a je v ohrožení života),
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (např. zpracování osobních údajů v rámci nemocnic, škol, domovů důchodců),
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (např. vybrané účely přímého marketingu, kamerové systémy pro zabezpečení práce zaměstnanců).

Zpracování osobních údajů může být prováděno pro různé účely, ale každý tento účel musí mít právní titul pro zpracování osobních údajů. Účely a právní tituly určují dobu, po kterou je možné osobní údaje zpracovávat. V případě, kdy správce pozbude poslední právní titul ke zpracování osobních údajů, má povinnost tyto osobní údaje zlikvidovat.

Právo být zapomenut

(→ Právo na výmaz)

Právo na výmaz, neboli právo být zapomenut, je novým právem subjektů údajů podle Nařízení GDPR.

Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

• osobní údaje již nejsou potřebné pro účel, pro který byly shromážděny nebo jinak zpracovávány,
• subjekt údajů odvolal souhlas a neexistuje žádný další právní titul pro zpracování,
• subjekt údajů vznesl námitku proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
• osobní údaje byly zpracovány protiprávně,
• osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu EU nebo členského státu, které se na správce vztahuje,
• osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti přímo dítěti, dítě bylo mladší 16let a nebyl udělen souhlas zodpovědné osoby.

V případě tohoto práva Nařízení GDPR zavádí několik výjimek, a proto bude v praxi poměrně složité právo uplatnit, zejména pokud se jedná o zpracování osobních údajů státními institucemi.

Toto právo se neuplatní, pokud je zpracování osobních údajů nezbytné:

• pro výkon práva na svobodu projevu a informace,
• pro splnění právní povinnosti podle práva EU nebo členského státu nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
• z důvodu veřejného zájmu v oblasti veřejného zdraví,
• pro účely archivace ve veřejném zájmu, pro účely vědeckého a historického výzkumu nebo pro statistické účely,
• pro určení, výkon nebo obhajobu právních nároků.

Právo na omezení zpracování

Subjekt údajů má právo, aby správce omezil zpracování jeho osobních údajů v kterémkoliv z těchto případů:

• subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit,
• zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho omezení jejich použití,
• správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
• subjekt údajů vznesl námitku proti zpracování, a omezení trvá dokud nebude ověřeno, že oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Správce musí subjekt údajů předem informovat, že bude omezení zpracování zrušeno.

Pokud správce používá systémy pro automatizované zpracování, omezení zpracování by mělo být zajištěno technickými prostředky tak, aby bylo možné osobní údaje na něž se vztahuje omezení zpracování vyjmout z dalších operací zpracování osobních údajů a aby nemohly být změněny. Omezení zpracování osobních údajů by mělo být v systému jasně označeno.

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají.

S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Je vhodné, aby správce zajistil možnost podávat žádosti na opravu online, a to hlavně v případech, kdy je zpracování osobních údajů prováděno elektronicky.

Právo na přenositelnost

Subjekt údajů má právo získat všechny osobní údaje, které se ho týkají a poskytl je správci. Tyto údaje jsou předány ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má pak právo předat tyto údaje jinému správci. Proto je právo nazváno právem na přenositelnost, které Nařízení GDPR nově zavádí.

Právo může být uplatněno při splnění dvou podmínek, které musí nastat současně:

• zpracování je založeno na souhlasu nebo na smlouvě,
• zpracování se provádí automatizovaně.

Právo na přístup

Nejprve má subjekt údajů právo získat od správce potvrzení, zda osobní údaje jsou či nejsou zpracovávány, a pokud jsou, má právo získat přístup k těmto osobním údajům.

Spolu s právem na přístup k osobním údajům, má subjekt údajů také právo na následující informace:

• účely zpracování,
• kategorie dotčených osobních údajů,
• příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
• plánovaná doba uložení osobních údajů, nebo kritéria pro určení této doby,
• existence práva požadovat od správce opravu nebo výmaz osobních údajů, omezení jejich zpracování nebo právo vznést námitku proti zpracování,
• právo podat stížnost u dozorového úřadu,
• veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
• skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Právo na výmaz

(→ právo být zapomenut)

Právo na výmaz, neboli právo být zapomenut, je novým právem subjektů údajů podle Nařízení GDPR.

Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

• osobní údaje již nejsou potřebné pro účel, pro který byly shromážděny nebo jinak zpracovávány,
• subjekt údajů odvolal souhlas a neexistuje žádný další právní titul pro zpracování,
• subjekt údajů vznesl námitku proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
• osobní údaje byly zpracovány protiprávně,
• osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu EU nebo členského státu, které se na správce vztahuje,
• osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti přímo dítěti, dítě bylo mladší 16let a nebyl udělen souhlas zodpovědné osoby.

V případě tohoto práva Nařízení GDPR zavádí několik výjimek, a proto bude v praxi poměrně složité právo uplatnit, zejména pokud se jedná o zpracování osobních údajů státními institucemi.

Toto právo se neuplatní, pokud je zpracování osobních údajů nezbytné:

• pro výkon práva na svobodu projevu a informace,
• pro splnění právní povinnosti podle práva EU nebo členského státu nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
• z důvodu veřejného zájmu v oblasti veřejného zdraví,
• pro účely archivace ve veřejném zájmu, pro účely vědeckého a historického výzkumu nebo pro statistické účely,
• pro určení, výkon nebo obhajobu právních nároků.

Právo nebýt předmětem automatizovaného individuálního rozhodování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpacování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

Toto právo se nepoužije, pokud je rozhodnutí:

• nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem,
• povoleno právem EU nebo členského státu,
• založeno na výslovném souhlasu subjektu údajů.

Právo podat stížnost

Subjekt údajů má možnost podat stížnost u dozorového úřadu, pokud si myslí, že zpracování jeho osobních údajů je v rozporu s Nařízením GDPR.

Stížnost se obvykle podává u dozorového úřadu ve státě obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde k údajnému porušení došlo.

Právo vznést námitku

Subjekt údajů má právo kdykoliv vznést námitku proti zpracování osobních údajů, které se ho týkají, pokud je zpracování založeno na právních titulech, které udávají, že zpracování je nezbytné pro plnění úkolů prováděných ve veřejném zájmu a při výkonu veřejné moci nebo u zpracování, které je nezbytné pro oprávněné zájmy správce, včetně profilování.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Subjekt údajů musí být na toto právo výslovně upozorněn, a to nejpozději v okamžiku první komunikace.

Nařízení GDPR konkrétně uvádí, že námitku je možné vznést pro zpracování osobních údajů pro účely přímého marketing nebo profilování.

Privacy by Default

Privacy by Default je přístup, který říká, že ochrana soukromí a osobních údajů by měla být nastavena na nejvyšší možnou míru již od začátku. Přístup se uplatňuje především u nových technologií, například u mobilních aplikací. Jde tedy o to, aby nové technologie měli již ve svém základu zabudovanou ochranu osobních údajů na nejvyšší možné míře. Uživatel aplikace se sám může rozhodnout, zda nastavení ponechá nebo vybere nižší zabezpečení. Zjednodušeně lze říci, že se jedná o ochranu dat ve výchozím nastavení.

Privacy by Design

Privacy by Design je přístup, podle kterého by měla být ochrana soukromí a osobních údajů brána v úvahu už při navrhování činností nebo prostředků, které se týkají soukromí nebo osobních údajů tak, aby tyto navrhované činnosti nebo prostředky již obsahovaly zásady a principy ochrany soukromí a osobních údajů. Zjednodušeně lze říci, že se jedná o ochranu dat podle návrhu zpracování.

Profilování

(→ Automatizované individuální rozhodování)

Profilování je kterákoliv forma automatizovaného zpracování osobních údajů, při které dochází k hodnocení nebo předpovědi chování jednotlivých osob. Může jít například o hodnocení ekonomické situace jedince pro účely nabídky půjčky, hypotéky, spoření nebo pojistky, hodnocení pracovního výkonu, zdravotního stavu, místa pohybu nebo osobních preferencí.

Dnes je možné se s profilováním setkat hlavně ve spojitosti s finančními službami, kde například banky profilují své klienty, nebo s internetem, kde provozovatelé stránek sledují pohyb osob na internetu (např. pomocí cookies).

Profilování se skládá ze tří prvků:

• musí jít o automatizovanou formu zpracování,
• musí být prováděno s osobními údaji, a
• předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.

Profilování musí zahrnovat nějakou formu automatizovaného zpracování, ačkoli lidský zásah nutně nevylučuje takovou činnost z této definice.

Přeshraniční zpracování

Přeshraničním zpracováním je buď:

• zpracování osobních údajů, které probíhá v souvislosti s činností provozoven ve více než jednom členském státě správce nebo zpracovatele v EU, pokud je tento správce nebo zpracovatel usazen ve více než jednom členském státě, nebo
• zpracování osobních údajů které probíhá v souvislosti s činnostmi jedné provozovny správce nebo zpracovatele v EU, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě.

Příjemce osobních údajů

Příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Příjemcem mohou být i správce, společní správci nebo zpracovatel, apod.

Orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. Zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

Přímý marketing

Přímý marketing je způsob marketingové komunikace, při které se oslovují zákazníci přímým adresným oslovením, např. e‑mailem, poštou, telefonicky, nebo i osobně. Přímý marketing se od ostatních marketingových nástrojů liší tím, že se zaměřuje na oslovení pečlivě vybraných a konkrétních zákazníků. Cílem je získat okamžitou odezvu a budovat dlouhotrvající vztahy se zákazníky. Ke komunikaci se využívají databáze zákazníků.

Pseudonymizace

Pseudonymizace znamená zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétní osobě bez použití dalších dodatečných informací, pokud jsou tyto dodatečné informace uchovávané odděleně, aby bylo zajištěno, že nebudou přiřazeny konkrétní osobě.

V praxi to znamená, že identifikační osobní údaje (např. jméno a příjmení) jsou kódované pomocí klíče, který je uložen odděleně od zbývajících dat. S daty je možné pracovat, aniž by byla známa totožnost jednotlivce. Pokud je však potřeba totožnost přiřadit, stále je tu taková možnost.

Pseudonymizované osobní údaje tedy nejsou údaje anonymizované, a proto se na ně Nařízení GDPR vztahuje.

Relevantní a odůvodněná námitka

Relevantní a odůvodněnou námitkou je námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení Nařízení GDPR, nebo zda je zamýšlen úkon v souvislosti se správcem nebo zpracovatelem v souladu s Nařízením GDPR, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci EU.

Retenční doba

Retenční doba je doba, po kterou mají být údaje uloženy.

Rodičovský souhlas

Nařízení GDPR zavádí, že je nutné vyjádření nebo schválení souhlasu zákonným zástupcem (rodičem, opatrovníkem nebo jinou osobou, která vykonává rodičovskou zodpovědnost k dítěti), pokud jde o nabídku služeb informační společnosti přímo dítěti a toto dítě je mladší 16let.

Členské státy mohou právním předpisem stanovit nižší věk, ne však nižší než 13 let.

Rozsáhlý objem zpracování

Pod pojmem rozsáhlý objem zpracovávaných osobních údajů nebo velké množství subjektů údajů si můžete představit zpracování informací přibližně 1 % populace, uzavření alespoň 100 000 smluv ročně v rámci obchodu na e-shopu, nebo jiné zpracování, které bude obsahovat informace o tisících až desítkách tisíc subjektů údajů.

Naopak zpracování v jednotkách až stovkách se za rozsáhlý objem zpracování nepovažuje (do jednotek tisíc se zpracování nepovažuje za rozsáhlé).

Sankce

(→ Správní pokuta)

Sankce, neboli správní pokuty, mají zajistit účinnější ochranu práv subjektů údajů než tomu bylo dosud. Nařízení GDPR nově umožňuje udělovat nesrovnatelně vyšší sankce.

Každý dozorový úřad zajistí, aby ukládání pokut bylo v každém případě účinné, přiměřené a odrazující.

Maximální možné pokuty jsou v Nařízení GDPR uvedeny dvě. Vždy záleží na závažnosti porušení Nařízení GDPR.

• pokuta při méně závažném porušení činí až 10 000 000 EUR, nebo až 2 % celkového ročního obratu celosvětově, pokud jde o podniky; podle toho, která hodnota je vyšší,
• pokuta při závažném porušení činí až 20 000 000 EUR, nebo až 4 % celkového ročního obratu celosvětově, pokud jde o podniky; podle toho, která hodnota je vyšší.

Sbor

(→ European Data Protection Board - EDPB; → Evropský sbor pro ochranu osobních údajů)

European Data Protection Board je Evropský sbor pro ochranu osobních údajů, zkráceně Sbor. Jedná se o nejvyšší dozorový orgán, který má na starosti jednotnou aplikaci Nařízení GDPR ve všech členských státech EU. Sbor je tvořen vedoucími dozorových úřadů každého členského státu a evropským inspektorem ochrany údajů. Evropský sbor pro ochranu osobních údajů vznikl účinností Nařízení GDPR z Pracovní skupiny 29, která do té doby upravovala oblast ochrany osobních údajů.

Skupina podniků

Skupinou podniků se rozumí skupina zahrnující řídící podnik a jím řízené podniky.

Služba informační společnosti

Službou informační společnosti je každá služba, která je zpravidla poskytována za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb.

Pro tyto účely se rozumí:

• službou poskytovanou na dálku - služba poskytovaná bez současné přítomnosti stran,
• službou poskytovanou elektronicky - služba odeslaná z výchozího místa a přijatá v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat a jako celek odeslaná, přenesená nebo přijatá drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky,
• službou poskytovanou na individuální žádost příjemce služeb - služba poskytovaná přenosem dat na individuální žádost.

Podrobnější informace o službách informační společnosti jsou k nalezení ve Směrnici Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti; odkaz: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32015L1535&from=CS.

Smlouva

Smlouva je dvoustranné nebo vícestranné právní ujednání spočívající ve vzájemných a obsahově shodných projevech vůle smluvních stran směřujících ke vzniku, změně nebo zániku práv a povinností, které právní předpisy s takovými projevy vůle spojují. Smlouvou mezi smluvními stranami vzniká závazek k určitému plnění.

Souhlas se zpracováním osobních údajů

Podle Nařízení GDPR je souhlas jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit udělení takového souhlasu. Tento souhlas nesmí být ničím podmíněný a osoby nesmějí být nuceny ho udělit. Souhlas může mít papírovou, elektronickou i ústní podobu. Ale stále musí existovat možnost udělení souhlasu doložit. Proto by měl být vždy v nějaké formě uložen. Například v případě ústního souhlasu alespoň nahrávkou.

Souhlas se zpracováním osobních údajů je jedním z šesti možných právních titulů zpracování osobních údajů. Souhlas udělený subjektem údajů je vždy k nějakému účelu, který je v souhlasu uveden.

Se souhlasem jsou spojena určitá práva subjektů údajů (viz práva subjektu údajů). Neznamená to ale, že vždy, když je souhlas odvolán, je nutné všechny osobní údaje vymazat. Správce může mít jiný právní titul ke zpracování.

Všechny získané souhlasy musí být od 25. 5. 2018 v souladu s Nařízením GDPR.

Společní správci

Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností podle Nařízení GDPR, zejména pokud jde o výkon práv subjektů údajů. V ujednání může být stanoveno kontaktní místo pro subjekty údajů.

Správce

Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Pokud jsou účely a prostředky určeny právem EU nebo členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Za zpracování osobních údajů primárně zodpovídá správce. Správce odpovídá především za dodržování zásad zpracování a povinností upravených Nařízením GDPR a za zabezpečení osobních údajů. Správce může osobní údaje zpracovávat pouze na základě právního titulu.

Mezi základní povinnosti správce patří:

• dodržovat záměrnou a standardní ochranu osobních údajů, jinými slovy musí zavést vhodná technická a organizační opatření,
• jmenovat pověřence pro ochranu osobních údajů (týká se jen některých správců),
• provádět posouzení vlivu na ochranu osobních údajů a předchozí konzultace s dozorovým úřadem (týká se jen některých případů),
• ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu (Ohlašovací povinnost),
• oznamovat případy porušení zabezpečení osobních údajůsubjektu údajů (Oznamovací povinnost),
• vést záznamy o činnostech zpracování (netýká se všech správců).

Správní pokuta

(→ Sankce)

Správní pokuty, neboli sankce, mají zajistit účinnější ochranu práv subjektů údajů než tomu bylo dosud. Nařízení GDPR nově umožňuje udělovat nesrovnatelně vyšší sankce.

Každý dozorový úřad zajistí, aby ukládání pokut bylo v každém případě účinné, přiměřené a odrazující.

Maximální možné pokuty jsou v Nařízení GDPR uvedeny dvě. Vždy záleží na závažnosti porušení Nařízení GDPR.

• pokuta při méně závažném porušení činí až 10 000 000 EUR, nebo až 2 % celkového ročního obratu celosvětově, pokud jde o podniky; podle toho, která hodnota je vyšší,
• pokuta při závažném porušení činí až 20 000 000 EUR, nebo až 4 % celkového ročního obratu celosvětově, pokud jde o podniky; podle toho, která hodnota je vyšší.

Subjekt údajů

Subjektem údajů je podle Nařízení GDPR žijící fyzická osoba, k níž se osobní údaje vztahují.

Typicky jde o rezidenty EU v podobě fyzických osob (všechny domácí i zahraniční fyzické osoby, které žijí a pracují v EU nebo osoby, které jsou nebo nejsou Evropany, v EU nežijí, ale jsou zde zpracovávány jejich osobní údaje).

Nařízení GDPR vylučuje svou působnost na zesnulé osoby a na právnické osoby - těch se tedy Nařízení GDPR netýká.

Šifrování

Šifrování osobních údajů je metoda jejich zabezpečení, na základě které se z osobních údajů stanou data, která jsou nečitelná pro všechny osoby, které nejsou oprávněny mít k nim přístup. To znamená, že osoba, která nemá k dispozici přístupový klíč, ze šifrovaných dat nic nezjistí.

Take It or Leave It

Take It or Leave It je anglický výraz, který je možné zjednodušeně přeložit jako “ber nebo nech být”. Jedná se o smlouvy, které obsahují neoddělitelný souhlas se zpracováním osobních údajů. Subjektu údajů v těchto případech nezbývá nic jiného, než tuto smlouvu akceptovat, pokud chce dostat sjednaný produkt nebo službu.

Podle Nařízení GDPR již od 25. května 2018 tato praxe není možná. Nařízení GDPR totiž stanovuje, že souhlas musí být oddělitelný od ostatních ujednání a plnění nesmí být podmíněno udělením souhlasu se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Technická a organizační opatření

Mezi technická a organizační opatření v rámci Nařízení GDPR lze obecně zařadit úpravu dokumentů, procesů a informačních systémů tak, aby odpovídaly ochraně osobních údajů a tím i požadavkům Nařízení GDPR.

Mezi technická opatření může patřit například instalace antiviru, používání čipových karet, omezení přístup k osobním údajům, zabezpečení přístupu pomocí zámků, skartovačky nebo pravidelné zálohování dat apod.

Mezi organizační opatření může patřit například úprava směrnic a pravidel pro práci s osobními údaji, vypracování záznamů o zpracování osobních údajů nebo přidělení odpovědnosti za zpracování osobních údajů.

Třetí strana

Třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, která je oprávněná ke zpracování osobních údajů.

Údaje o zdravotním stavu

Údaje o zdravotním stavu jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

Úřad pro ochranu osobních údajů (ÚOOÚ)

(→ Dozorový úřad)

V České republice funkci dozorového úřadu zastupuje Úřad pro ochranu osobních údajů. Činnost Úřadu pro ochranu osobních údajů je vymezena Zákonem č. 101/2000 Sb., o ochraně osobních údajů, který bude pro tento účel nahrazen zákonem novým.

Webové stránky Úřadu pro ochranu osobních údajů jsou https://www.uoou.cz/

Working Party 29 (WP 29)

Article 29 Working Party; → Článek 29 Pracovní skupina; → Pracovní skupina 29)

Pracovní skupina 29, neboli WP 29, byla ustanovena článkem 29 Směrnice 95/46/ES. Tato skupina byla nezávislým evropským poradním orgánem na ochranu dat a soukromí.

WP 29 byla složena z vedoucích zástupců dozorových úřadů členských států EU. S datem použití Nařízení GDPR, tj. 25. května 2018, se WP 29 změnila na Evropský sbor pro ochranu osobních údajů (EPDB). Úkolem Sboru je především zajišťování jednotného uplatňování Nařízení GDPR, monitorování uplatňování Nařízení GDPR a vydávání pokynů, zaručených postupů a doporučení.

Zásady Nařízení GDPR

Mezi zásady Nařízení GDPR patří:

• zákonnost, korektnost a transparentnost - osobní údaje subjektů údajů musí být zpracovávány korektně, zákonným a transparentním způsobem,
• účelové omezení - osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný,
• minimalizace údajů - osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány,
• přesnost - osobní údaje musí být přesné a v případě potřeby aktualizované,
• omezení uložení - osobní údaje musí být uloženy ve formě, která umožňuje identifikaci subjektů údajů jen po nezbytnou dobu potřebnou pro dané účely zpracování,
• integrita a důvěrnost - osobní údaje musí být zpracovány způsobem, který zajistí jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických a organizačních opatření před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením,
• odpovědnost - správce odpovídá za dodržení všech uvedených zásad a musí být schopen toto dodržení souladu s Nařízením GDPR doložit.

Zástupce

Zástupcem je jakákoliv fyzická nebo právnická osoba usazená v EU, která je správcem nebo zpracovatelem určena písemně k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu Nařízení GDPR.

Závazná podniková pravidla

Závaznými podnikovými pravidly se rozumí koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.

Záznamy o činnostech zpracování

Záznamy o činnostech zpracování jsou dokumenty, které budou muset správci a zpracovatelé podle Nařízení GDPR povinně vést o zpravování osobních údajů. Na žádost dozorového úřadu mu je musí zpřístupnit.

Záznamy o činnostech zpracování jsou náhradou za oznamovací povinnost, který byla Nařízením GDPR zrušena.

Záznamy o činnostech zpracování, které vede správce, musí obsahovat:

• jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů,
• účely zpracování,
• popis kategorií subjektů údajů a kategorií osobních údajů,
• kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny,
• informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci,
• je-li to možné, plánované lhůty na výmaz jednotlivých kategorií údajů,
• je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.

Záznamy o činnostech zpracování, které vede zpracovatel, musí obsahovat:

• jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů,
• kategorie zpracování prováděného pro každého ze správců,
• informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci,
• je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.

Vést záznamy o činnostech zpracování nemusí firmy, které:

• mají méně než 250 zaměstnanců,
• zpracování, které provádí, pravděpodobně nepředstavuje riziko pro práva a svobody osob,
• zpracování je příležitostné,
• zpracování nezahrnuje zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Tato výjimka se však bude týkat jen velmi malého počtu firem, jelikož například mzdy zpracovává každý, kdo má zaměstnance, a toto zpracování je jistě pravidelné a navíc může obsahovat zvláštní kategorie osobních údajů (např. při výpočtu mzdy postižených).

Zpracovatel osobních údajů

Zpracovatel osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Zpracovatel může s osobními údaji provádět pouze ty činnosti, které mu určí správce, nebo které vyplývají z činnosti, pro kterou byl najat.

Zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům, které mu předal správce, nikoliv osobních údajů, které zpracovává pro vlastní účely (zpracovatel je zpracovatelem ve vztahu k osobním údajům, které dostal od správce; ale je správcem vzhledem k osobním údajům, které zpracovává pro svůj vlastní chod firmy, např. osobní údaje svých zaměstnanců).

Zpracování citlivých osobních údajů

(→Zpracování zvláštních kategorií osobních údajů)

Citlivé osobní údaje je možné zpracovávat, pokud jde o některý z těchto případů:

• subjekt údajů udělil výslovný souhlas se zpracováním osobních údajů,
• zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany,
• zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
• zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
• zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
• zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí,
• zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva EU nebo členského státu,
• zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče, apod.,
• zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
• zpracování je nezbytné pro účely archivace ve veřejném zájmu, vědeckého nebo historického výzkumu nebo pro účely statistické.

Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů nebo údajů o zdravotním stavu.

Zpracování osobních údajů

Zpracování osobních údajů je jakákoliv operace nebo soubor operací, které jsou prováděny správcem nebo zpracovatelelem s osobními údaji nebo soubory osobních údajů, pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení nebo zkombinování, omezení, výmaz nebo zničení.

Příklady jednotlivých typů zpracování osobních údajů:

• shromáždění - sběr osobních údajů, získávání osobních údajů z různých zdrojů,
• zaznamenání - zápis osobních údajů, např. do předem definovaných databází,
• uspořádání - způsob organizace osobních údajů,
• strukturování - zápis osobních údajů podle předem definovaných standardů,
• uložení - uložení osobních údajů do různých složek, na různá místa, za účelem archivace,
• přizpůsobení nebo pozměnění - úprava osobních údajů podle potřeby, např. úprava formátu uložení,
• vyhledání - nalezení osobních údajů podle zadaného požadavku,
• nahlédnutí - možnost podívat se na požadované osobní údaje,
• použití - aplikování osobních údajů podle potřeby, např. pro personální potřeby zaměstnavatelů,
• zpřístupnění přenosem - zasílání osobních údajů elektronickou formou, např. e‑mailem,
• šíření a jakékoliv jiné zpřístupnění - poskytnutí osobních údajů veřejnosti,
• seřazení nebo kombinování - zobrazení osobních údajů podle zvoleného kritéria, vyjmutí osobních údajů z různých databází,
• omezení - zachování osobních údajů v databázi bez dalších možností zpracování,
• výmaz nebo zničení - zrušení záznamu, skartování papírových dokumentů, výmaz z databáze.

Zpracování zvláštních kategorií osobních údajů

(→ Zpracování citlivých osobních údajů)

Zvláštní kategorii osobních údajů je možné zpracovávat, pokud jde o některý z těchto případů:

• subjekt údajů udělil výslovný souhlas se zpracováním osobních údajů,
• zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany,
• zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
• zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
• zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
• zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí,
• zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva EU nebo členského státu,
• zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče, apod.,
• zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických prostředků,
• zpracování je nezbytné pro účely archivace ve veřejném zájmu, vědeckého nebo historického výzkumu nebo pro účely statistické.

Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů nebo údajů o zdravotním stavu.

Zvláštní kategorie osobních údajů

(→ Citlivé osobní údaje)

Zvláštní kategorie osobních údajů jsou citlivé osobní údaje, které zahrnují údaje o rasovém a etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů a biometrických údajů za účelem jedinečné identifikace osob a údajů o zdravotním stavu, sexuálním životě nebo sexuální orientaci fyzické osoby.

Tyto údaje mohou jedince samy o sobě poškodit například ve společnosti, zaměstnání nebo škole a mohou zapříčinit diskriminaci dané osoby. Zpracování zvláštních kategorií osobních údajů podléhá přísnějšímu režimu, než je tomu u obecných osobních údajů.