"

GDPR Zásady zpracování osobních údajů

25. 04. 2018 Sdílej na Internetový časopis pro podnikání a franchising

Základní zásady zpracování osobních údajů

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“).

Musí být shromažďovány jen pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely („účelové omezení“).

Musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“).

Musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“).

Musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely za předpokladu provedení příslušných technických a organizačních opatření požadovaných GDPR s cílem zaručit práva a svobody subjektu údajů („omezení uložení“).

Musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

Správce odpovídá za dodržení těchto zásad a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Vymezení, resp. dodržování těchto zásad, je pro malý a střední podnik jako správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že podle GDPR je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit.

Každý podnik musí mít tedy pořádek v tom, jaké osobní údaje uchovává, za jakým účelem, jakým způsobem a po jakou dobu. Např. ve formě adresáře svých dodavatelů a odběratelů, který obsahuje všechny potřebné údaje o tom, kdo a za jakým účelem osobní údaje vytvořil, dobu, po kterou jsou údaje uchovány, včetně záznamu o jejich výmazu. Tuto funkci může plnit například kvalitní účetní nebo CRM systém, který tyto funkce umožňuje včetně tisku potřebných sestav pro potřeby GDPR.

Jde tedy o vyjádření tzv. principu odpovědnosti správce. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též kodexy a osvědčení.

Právní důvody zpracování osobních údajů

Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zda plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.

Je tedy důležité vědět, že osobní údaje může malý a střední podnik zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že některé osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. V případě, že malý nebo střední podnik pozbude poslední právní důvod ke zpracování osobních údajů, jeho oprávnění zpracovávat osobní údaje zanikne.

Zákonnost zpracování

Podle GDPR je zpracování zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

  1. a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  2. b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  3. c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  4. d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  5. e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  6. f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

Souhlas se zpracováním osobních údajů

Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení GDPR, není závazná.

Malý a střední podnik musí tedy zajistit, aby souhlas se zpracováním osobních údajů byl svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas musí být oddělený např. od smlouvy či obchodních podmínek. Není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy podmiňováno poskytnutím souhlasu se zpracováním osobních údajů.

Odvolání souhlasu se zpracováním osobních údajů

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout. Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Souhlas je jedním z právních důvodů, na základě kterého může malý a střední podnik údaje zpracovávat. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Nikoli vždy odvolání souhlasu znamená povinnost malého a středního podniku osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány. Správce může ale osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů.

V Praze dne 30.3.2018
JUDr. David Karabec

 

Společnost JUDr. David KARABEC, s.r.o., IČO: 06078052,
se sídlem Na Spojce 610/6, 101 00 Praha 10,
zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 275705,
je specializovanou konzultační a poradenskou společností se zaměřením na ochranu autorských a průmyslových práv.
Společnost se zaměřuje i na školení, vzdělávací akce, překladatelskou a publikační činnost v oblasti ochrany duševního vlastnictví pro širokou veřejnost – www.karabec.cz/specializovana-konzultacni-spolecnost.


Jinde na Internetový časopis pro podnikání a franchising


HLAVNÍ PARTNEŘI