1.125
Ověření souladu praxe zpracování osobních údajů s požadavky GDPR
Mgr. Mgr. Radana Burešová
V rámci základního ověření, zda praxe zpracování osobních údajů odpovídá požadavkům GDPR, je třeba ověřit následující skutečnosti:
1. Rozsah zpracování osobních údajů
V souladu se zásadou minimalizace osobních údajů [čl. 5 odst. 1 písm. c) GDPR] je třeba osobní údaje zpracovávat jen v rozsahu, který je naprosto nezbytný pro daný účel zpracování, který musí být legitimní (viz níže právní důvody zpracování), zejména co se kategorií osobních údajů týče (kategorií je např. "jméno", "IP adresa", "e-mailová adresa", "podoba" – např. kamerový záznam apod.), a to bez ohledu na to, zda byl ke zpracování poskytnut souhlas, či k němu dochází z jiného právního důvodu.
Různé zájmové organizace pro děti velmi často zpracovávají i údaje o zaměstnání rodičů, ačkoli jsou pro jejich činnost irelevantní.
2. Právní důvod zpracování osobních údajů
K naprosté většině případů zpracování osobních údajů by mělo docházet bez souhlasu subjektů údajů, a to zejména v rámci plnění smlouvy uzavřené s daným subjektem [čl. 6 odst. 1 písm. b) GDPR], plnění právních povinností [např. zpracování osobních údajů zaměstnanců pro potřeby sociálního zabezpečení apod. – čl. 6 odst. 1 písm. c) GDPR] a zpracování pro účely oprávněných zájmů [pokud nepřevažuje zájem na ochraně práv dotčených subjektů, zejména dětí – čl. 6 odst. 1 písm. f) GDPR].
Do posledně jmenované skupiny zpracování osobních údajů nově patří i většina marketingových aktivit, a to zejména s výjimkou zasílání obchodních sdělení e-mailem, popř. telefonem, které je speciálně upraveno v § 7 odst. 2 a 3 zákona č. 480/2004 Sb., o některých službách informační společnosti, který má být v budoucnosti rovněž nahrazen nařízením EU, tzv. ePrivacy.
Nikdy nesmí docházet ke zpracování osobních údajů, ke kterému by nemohl být přiřazen některý z právních důvodů zpracování dle čl. 6 odst. 1 GDPR.
Naopak je žádoucí pokud možno eliminovat zpracování osobních údajů založené na udělení souhlasu. Na udělení souhlasu jsou kladeny značné formální i obsahové požadavky (viz vodítka Evropského sboru pro ochranu osobních údajů k souhlasu, která jsou dostupná na www.ouuo.cz ), jejichž splnění je někdy nemožné, což vede k neplatnosti souhlasu. Zvláště problematická je otázka dobrovolnosti udělení souhlasu, která je např. de facto vyloučena v případě zaměstnanců – viz výše uvedená vodítka. Pokud je pro správce zpracování osobních údajů, které lze provádět jen na základě souhlasu, nezbytné (viz výše bod 1), je třeba dbát na to, aby u všech souhlasů byly splněny podmínky uvedené v článku 7 GDPR, které jsou blíže rozvedeny ve výše uvedených vodítkách. Pokud souhlasy udělené před platností GDPR tyto požadavky nesplňují, nelze o ně zpracování osobních údajů opírat. Rovněž je nutno bezpodmínečně respektovat odmítnutí udělení souhlasu a jeho odvolání.
3. Ochrana osobních údajů
Zpracování osobních údajů je třeba provádět tak, aby nedošlo k porušení zabezpečení osobních údajů, což je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (čl. 4 bod 12 GDPR).
Dle zkušeností z praxe je zejména třeba změnit nakládání s osobními údaji během pracovní doby, kdy jsou různé databáze, adresáře a objednávkové knihy často volně ponechávány k nahlédnutí třetím osobám. Samozřejmostí by měly být i různé technické prostředky a postupy k zabezpečení osobních údajů (uzamykatelné skříně, sejfy, šifrování, heslování apod.). Vhodné je tuto problematiku zpracovat ve vnitřní směrnici zaměstnavatele.
Minimalizovat by se mělo vynášení nosičů osobních údajů (notebooky, papírové spisy, flash karty apod.) mimo pracoviště, neboť tam nad nimi správce údajů zpravidla nemá žádnou kontrolu.
Je vhodné (nikoli však povinné) zpracovat pro případ, že by v budoucnosti došlo k porušení zabezpečení, které by řešil Úřad pro ochranu osobních údajů (viz níže) analýzu zabezpečení, z níž by vyplývalo, proč bylo přistoupeno ke zvoleným opatřením, a ne jiným (obecně lze říci, že pokud jsou osobní údaje uloženy v budově, která má ostrahu 24 hodin denně a kde ještě nedošlo k žádnému bezpečnostnímu incidentu, nebude muset být jejich mechanické zabezpečení takové, jako kdyby byly uloženy v osaměle stojící nestřežené budově, která byla již několikrát vyloupena).
Pokud dojde k porušení zabezpečení, je zpravidla třeba neprodleně je oznámit předepsaným způsobem Úřadu pro ochranu osobních údajů (článek 33 GDPR) a ve zvláště závažných případech též osobám, jejichž osobní údaje byly dotčeny (článek 34 GDPR) –…