dnes je 26.10.2020

Input:

GDPR nejčastější dotazy

31.5.2018, Zdroj: Úřad pro ochranu osobních údajů (http://www.uoou.cz/)

Nejčastější dotazy ke zpracovateli, k právním důvodům zpracování, k právům subjektů atd.

Zpracovatel

Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

 

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

 

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění  smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není  – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

 

Právní důvody zpracování

Jaký je právní titul pro zpracování osobních údajů v rámci podnětů a podání občanů vůči veřejné správě? Je to zákon č. 500/2004 Sb., správní řád, tedy je možno použít právní titul dle čl. 6 odst. 1 písm. c) GDPR? 

Přijímání podnětů a stížností lze řadit pod právní důvody zpracování nezbytné pro plnění zákonem stanovené povinnosti.

 

Bude docházkový systém založený na použití otisků prstů a jednosměrného hashování, kdy nedochází k uchovávání samotných otisků prstů v databázi zaměstnavatele, v souladu s obecným nařízením o ochraně osobních údajů? 

Obecné nařízení o ochraně osobních údajů v článku 9 odst. 1 zakazuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Podle článku 9 odst. 2 písm. b) se odstavec 1 nepoužije, pokud je zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.

Podle článku 9. odst. 4 členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování biometrických údajů. Tyto možnosti by členské státy měly mít i podle recitálu 53 obecného nařízení. Podle recitálu 91 by mělo být v případech, kdy se osobní údaje zpracovávají v návaznosti na zpracování biometrických údajů, vypracováno posouzení vlivu na ochranu osobních údajů.

Jaký bude výklad těchto ustanovení, zda bude za zpracování biometrických údajů považováno i vstupní použití otisků prstů, aniž by docházelo k jejich uchovávání v databázi správce, či zda bude takový postup po posouzení vlivu na ochranu osobních údajů považován při dodržení stanovených záruk za přípustný, není zatím zřejmé.  Mělo by to být předmětem jednotného celoevropského přístupu k této problematice, o kterém bude Úřad informovat.

 

Podléhá požadavkům GDPR účetnictví (prodejní doklady, mzdová a personální agenda) a co je třeba posoudit při zabezpečení této agendy?

Obecné nařízení o ochraně osobních údajů (GDPR) se týká všech subjektů, které zpracovávají osobní údaje fyzických osob, například zaměstnanců či klientů. V rámci účetnictví se jedná o zpracování podle zvláštního zákona, kterým je zákon č.  563/1991 Sb., o účetnictví, a je tedy nezbytné pro splnění právní povinnosti, která se na správce vztahuje ve smyslu článku 6 odst. 1 písm. c) obecného nařízení.

Úřad pro ochranu osobních údajů doporučuje přihlédnout, v jakém stavu se nachází technika zvolená pro účel zpracování, provádět pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření pro bezpečnost zpracování. Při posuzování vhodné úrovně bezpečnosti je třeba zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených či jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Práva subjektu údajů

Pokud využiji své právo subjektu údajů na přístup k osobním údajům podle GDPR, do jaké lhůty mi správce bude muset zaslat informace?

Ve smyslu ustanovení čl. 12 odst. 3 obecného nařízení o ochraně osobních údajů je správce povinen poskytnout na žádost subjektu údajů dle článků 15 až 22 citovaného nařízení informace o přijatých opatřeních bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.

Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správci je uložena povinnost subjekt údajů o takovémto prodloužení informovat, a to do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.

 

Na základě čl. 13 odst. 4 GDPR nemusí správce poskytovat subjektu údajů informace o jeho zpracovávaných osobních údajích za situace, že subjekt už tuto informaci má. Je platný a účinný právní předpis, na jehož základě jsou osobní údaje subjektu zpracovávány, dostatečnou informací pro tento subjekt a je tedy možné za této situace využít znění čl. 13 odst. 4 GDPR?

V daném případě může záležet na kontextu, ale obecně nelze považovat platný a účinný právní předpis za a priori zprošťující okolnost pro správce z povinnosti informovat subjekt údajů dle článku 13, resp. 14 obecného nařízení.

 

V jakém rozsahu musí správce poskytnout údaje na základě žádosti subjektu dle č. 15 GDPR za situace, kdy je tato žádost bez specifikace a je pojata obecně? Bude muset odpověď správce obsahovat i všechny osobní údaje z minulosti subjektu, které již správce nezpracovává? 

Správce by měl vždy řádně posoudit přijatou žádost dle článku 15 obecného nařízení. Podotýkám, že v současné době zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 12 obsahuje ekvivalent tohoto práva.

Pokud má správce pochybnosti o totožnosti osoby, která žádá o informace, může postupovat dle článku 12 odst. 6 obecného nařízení, tj. může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů (který podává žádost).

 

Pověřenec pro ochranu osobních údajů

Musí kulturní příspěvkové organizace kraje (muzea a galerie) zřizovat funkci DPO ve svých organizacích, když nedochází v dané organizaci k rozsáhlému zpracování osobních údajů (dle čl. 37 obecného nařízení)?

Neplatí, že by jen pouze z důvodu, že organizace byla založena subjektem, který musí mít pověřence, měla mít též pověřence. Jinými slovy u takto založených organizací je nutné zkoumat, zdali nemusí mít pověřence především dle článku 37 odst. 1 písm. b), c) obecného nařízení. Důležité je věnovat pozornost podmínkám, které musí nastat pro vznik této povinnosti (např. musí jít o hlavní činnost spočívající v rozsáhlém zpracování zvláštních kategorií osobních údajů či jít o hlavní činnost spočívající v rozsáhlém monitorování subjektů údajů).

Muzeum, galerie, knihovna – jejich činnost nespadá do vymezení v článku 37