dnes je 23.4.2019
Input:

Zásady zpracování osobních údajů

4.8.2018, , Zdroj: Verlag Dashöfer

1.4.3
Zásady zpracování osobních údajů

JUDr. Tereza Drábková, Dr. Milan Vodička

Jak bylo uvedeno, zpracování osobních údajů je možné, ale pouze při dodržování zásad, které Nařízení vyžaduje. Patří mezi ně především:

  • zákonnost zpracování

  • transparentnost

  • zajištění práv subjektu údajů

  • zabezpečení zpracování

  • vedení potřebné dokumentace

  • spolupráce s dozorovým úřadem

Zákonnost zpracování

Zpracování osobních údajů musí být především zákonné, to znamená, že pro zpracování existuje doložitelný legitimní základ a pro jakýkoli osobní údaj žijící fyzické osoby, který je zpracováván, existuje některý z dále uvedených důvodů.

  • Zpracování je nezbytné pro splnění právní povinnosti, která se vztahuje na správce údajů, to znamená, že platným právním předpisem (Evropské unie nebo členského státu) mu je zpracování osobních údajů uloženo.

Typickými příklady je rozsah údajů vedených na mzdovém listu zaměstnance, údaje obsažené na účetním nebo daňovém dokladu, data přenášená jako XML soubory při podání elektronických daňových tvrzení ad.

 

  • Zpracování je nezbytné pro plnění smlouvy, podmínkou je, že subjekt údajů je jednou ze smluvních stran. Toto ustanovení se vztahuje i na jednání vedené úmyslem smlouvu uzavřít (nábor nových zaměstnanců, předsmluvní jednání o poptávce se zákazníkem apod.).

Jestliže tedy má daňová nebo účetní kancelář ve smlouvě uvedeno, že komunikuje s klientem prostřednictvím elektronické pošty, musí pro plnění tohoto smluvního ustanovení zpracovávat e-mailové adresy odpovídajících osob.

 

 

  • Zpracování je nezbytné pro účely oprávněných zájmů správce nebo třetí strany, za předpokladu, že nepřevažují zájmy, práva nebo svobody subjektu údajů. Mezi oprávněné zájmy se přitom řadí i zamezení podvodům anebo přímý marketing (cílené oslovení stávajících zákazníků s nabídkou vlastního zboží nebo služeb).

Na oprávněný zájem se ale nemohou odvolávat orgány veřejné moci, pro které musí být právní základ zpracování osobních údajů upraven právním předpisem. Orgány finanční správy proto např. nemohou vyžadovat údaje, které nejsou nezbytné pro správu daní, přestože může existovat oprávněný zájem předcházení daňovým únikům.

 

  • Zpracování je nezbytné pro splnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. V České republice jsou např. veřejným zájmem posvěceny registr smluv anebo registr střetu zájmů, kdy oba uvedené disponují osobními údaji a poskytují je dalším osobám.

Praktickou ukázkou je také evropskou judikaturou1 potvrzená skutečnost existence (a převahy) veřejného zájmu zpřístupnit historické informace o členech statutárních orgánů právnických osob i v případě, kdy jimi již konkrétní fyzické osoby přestaly být a dožadují se výmazu svých údajů z veřejného rejstříku. To v praxi znamená, že i v českém obchodním rejstříku budou uvedeny osobní údaje všech členů statutárních orgánů historicky od okamžiku vzniku korporace.

 

  • Zpracování je založeno na souhlasu uděleném subjektem údajů pro jeden či více účelů. Musí být ovšem splněny podmínky, které na něj Nařízení klade, tedy že se jedná o souhlas informovaný, svobodný, doložitelný, konkrétní a odvolatelný (blíže viz kapitola Obchodní činnosti a partneři – Vyžadování souhlasu).

 

Jak již bylo uvedeno, je vyžadování souhlasu v praxi účetních, daňových poradců nebo zpracovatelů mezd v naprosté většině případů nadbytečné. Obdobně je svoboda volby, zda souhlas udělit či nikoli, limitována ve vztahu zaměstnanec – zaměstnavatel, kde existuje zřetelná nerovnováha ve smyslu podřízenosti, a i proto je nezbytné takové situace zásadně omezit anebo se jim zcela vyhnout.

 

  • Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Příkladem je zpracování pro humanitární účely, monitorování epidemií, případy přírodních katastrof a podobné situace.

Přiměřenost rozsahu osobních údajů, které máte ve svých evidencích, si ověřte na kartě obchodního partnera nebo zaměstnance, ke každé vyplněné kolonce musíte být schopni najít některý z výše uvedených důvodů, a pokud by tím důvodem bylo udělení souhlasu, pak ověřte možnost jeho doložení a podmínky, za jakých byl poskytnut.

 

Transparentnost – poskytnutí informací

Jak jsme již uvedli, je jednou ze stěžejních zásad definovaných Nařízením transparentní přístup k subjektům údajů. Ten spočívá jednak v poskytnutí dostatečného množství informací (informační povinnost správce), navíc dostupnou, jasnou a srozumitelnou formou a dále v zajištění práv, které Nařízení fyzickým osobám garantuje.

Pro poskytnutí informací je vyžadován stručný a jednoduchý jazyk, aby takovému sdělení subjekt údajů porozuměl. Na druhou stranu musí být formulace dostatečně určité a vypovídající, nestačí např. jako účel zpracování pouze obecně uvést „marketing”, musí být specifikováno, že to zahrnuje zasílání newsletteru a cíleně zaměřených nabídek nebo upoutávek na firemní akce i hodnocení nákupního chování zákazníka. V každém případě musí být zajištěna informovanost, pokud bude docházet k procesu profilování.

Informace poskytuje správce v okamžiku získání osobních údajů a obsahovat musí mj.:

  • Totožnost a kontaktní údaje správce

  • Kontaktní údaje pověřence pro ochranu osobních údajů, pokud byl jmenován

  • Účely zpracování a právní základy zpracování

  • Zákonný nebo smluvní základ poskytnutí údajů

  • Oprávněné zájmy správce, pokud je na nich založeno zpracování

  • Případní příjemci (nebo kategorie), pokud jim budou údaje předávány

  • Očekávané předání údajů do třetí země nebo mezinárodní organizaci

  • Informace o pravidlech uděleného souhlasu, včetně možnosti jeho odvolání

  • Doba uložení údajů nebo kritéria pro její stanovení

  • Právo na stížnost dozorovému orgánu

  • Sdělení, zda bude docházet k automatizovanému zpracování nebo profilování

Z praktického hlediska lze doporučit, aby požadované informace byly umístěny na co největším množství míst dostupných subjektům údajů, tedy např. na webových stránkách, na informačním oznámení v čekárně, na recepci nebo v kanceláři, na formulářích pro sběr údajů či kontaktů atd. Rozhodně ale nepostačuje, aby byly zakomponovány do mnohostránkových obchodních podmínek nebo smluvních ujednání apod.

 

Výkon práv subjektu údajů

Každý správce údajů musí respektovat práva fyzických osob ve vztahu k jejich osobním údajům a musí být připraven je v praxi naplňovat. Nařízení stanoví pro reakci lhůtu jednoho měsíce, která může být odůvodněně prodloužena na 3 měsíce. Žádostem subjektu