GDPR

Co je GDPR

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), dále jen Nařízení.  Jde o revoluční nástroj EU, který výrazně zvyšuje kvalitu ochrany osobních údajů občanům Evropské unie. Toto nařízení zasáhlo nejen firmy a instituce, ale i e-shopy, jiné online služby a jednotlivce. Nařízení platí pro každého, kdo zpracovává jakékoli osobní údaje. Pro ty co budou zpracovávat osobní údaje v rozporu s tímto nařízením jsou připraveny velice vysoké a mnohdy až likvidační pokuty.

Nařízení bylo přijato už v roce 2016 s dvouletým odkladem aby všichni správci a zpracovatelé osobních údajů měli čas se na vše dobře připravit. Pro všechny členy EU jsou nastavená stejná pravidla, jen v některých případech si jednotlivé členské státy mohou některé části lehce přizpůsobit svým potřebám. Jednotnost pravidel pro všechny členy EU bylo jedním z hlavních cílů tohoto Nařízení. Hlavním cílem je chránit osobní údaje občanů stejně jako chránit jejich majek a zdraví. Není už žádným tajemstvím, že osobní údaje mají mnohdy větší cenu než majetek (zdraví je pořád na prvním místě). Nařízení je účinné od 25. 5. 2018 a nahrazuje zákon č. 101/2000 Sb., o ochraně osobních údajů.

Co je považováno za osobní údaj

Za osobní údaj se považují veškeré údaje, podle kterých se dá dotyčné osoby identifikovat. Mezi osobní údaje řadíme jméno, datum narození, rodné číslo, pohlaví, osobní stav, fotografie, hlasový záznam, e-mailová adresa, identifikační údaje vydané státem. Nařízení věnuje velkou pozornost osobním údajům spadajícím do kategorie citlivých údajů. V této kategorii nalezneme například údaje o náboženském vyznání, zdravotním stavu, členství v odborech, sexuální orientaci, etnickém původu, trestních deliktech, genetické a biometrické údaje. Do skupiny citlivých údajů se řadí i osobní údaje dětí.

Co je zpracování osobních údajů

Jakákoliv operace s osobními údaji, jako je například jejich shromažďování, uspořádání, pozměnění, vyhledávání, nahlédnutí, přenesení, šíření, zpřístupnění, vymazání. V podstatě cokoliv, a to i když se nepoužívají a jenom někde leží.

Kdo je subjekt osobních údajů

Podle definice GDPR identifikovaná nebo identifikovatelná fyzická osoba, tj. fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo,lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Jednoduše, jsem to já, vy, naše rodiny, děti, zákazníci, zaměstnanci, pacienti, prostě všichni kteří jsou podle Nařízení chráněni a ti kterým dává nařízení práva.

Kdo je správce a zpracovatel osobních údajů

Správce

Fyzická nebo právnická osoba, agentura, orgán veřejné moci nebo jiný subjekt, který sám nebo s jinými určuje účely a prostředky zpracování osobních údajů. Ten kdo osobní údaje zpracovává a ten, kdo musí podle Nařízení plnit řadu povinností. Správce je organizace, tedy my.

Zpracovatel

Fyzická nebo právnická osoba, agentura, orgán veřejné moci nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracování provádíme vlastními silami. Pokud neprovádíme sami zpracování, provádíme zpracování u externích zpracovatelů dle GDPR nařízení.

Jaká práva Obecné nařízení o ochraně osobních údajů občanům přináší

GDPR přináší subjektům údajů práva, a ta práva jsou následující:

Právo na přístup

To znamená že každý občan má právo vědět kdo a s jakými údaji a za jakým účelem nakládá s jejich osobními údaji, znát dobu po kterou bude s jejich údaji nakládáno. Má právo ověřit si zákonnost zpracovávání svích osobních údajů i jaké důsledky může mít zpracování těchto údajů.

Právo na opravu

V případě chybně uvedených osobních údajů, má každý právo žádat o opravu a to i v případě podezření. Správce by měl zajistit aby veškeré údaje, které zpracovává měl správně. Toto právo se týká všech zpracovávaných osobních údajů.

Právo na výmaz

Případy kterých se toto právo týká:

  • zpracování, u kterých pominul účel zpracování osobních údajů,
  • zpracování, kde subjekt údajů odvolal souhlas se zpracováním osobních údajů,
  • zpracování (včetně profilování), kde subjekt údajů vznesl námitky proti zpracování osobních údajů a oprávněné důvody zpracování nepřevažují nad právy a svobodami subjektů údajů, pro:

        - plnění úkolů ve veřejném zájmu

        - plnění úkolů při výkonu veřejné moci

        - pro účely oprávněných zájmů příslušného správce či třetí strany

  • subjekt údajů vznesl námitky proti zpracování osobních údajů
  • osobní údaje jsou zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění povinnosti na základě požadavků práva (EU nebo ČR)

Právo na omezení zpracování

Případy kterých se toto právo týká:

  • subjekt popírá přesnost osobních údajů,
  • zpracování je protiprávní, ale subjekt údajů žádá pouze omezení jejich použití (na místo výmazu údajů),
  • pominul-li účel zpracování, ale subjekt (údajů) osobní údaje požaduje pro určení, výkon nebo obhajobu právních nároků,
  • subjekt údajů vznesl námitku proti zpracování osobních údajů.

Právo na přenositelnost

Případy kterých se toto právo týká:

  • automatizovaně prováděná zpracování,
  • zpracování osobních údajů, která jsou založena na souhlasu subjektu údajů,
  • zpracování zvláštních kategorií osobních údajů, která jsou založena na výslovném souhlasu subjektu údajů,
  • zpracování je nezbytné pro plnění smlouvy se subjektem údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.

Právo vznést námitku

Případy kterých se toto právo týká:

  • zpracování nezbytné pro plnění úkolů ve veřejném zájmu (včetně profilování) (Poznámka - definováno právním předpisem),
  • zpracování nezbytné při výkonu veřejné moci (včetně profilování) (Poznámka - definováno právním předpisem),
  • zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany (včetně profilování),
  • zpracování pro účely přímého marketingu (včetně profilování), - zpracovávání pro účely vědeckého či historického výzkumu nebo pro statistické účely

Právo nebýt předmětem automatizovaného rozhodování

Případy kterých se toto právo týká:

  • všechna zpracování, kde je rozhodnutí založeno výhradně na automatizovaném zpracování osobních údajů, které má právní účinky nebo se subjektu údajů obdobným způsobem dotýká.

Právo být zapomenut

Případy kterých se toto právo týká:

  • automatizovaně prováděná zpracování,
  • zpracování osobních údajů, která jsou založena na souhlasu subjektu údajů,
  • zpracování zvláštních kategorií osobních údajů, která jsou založena na výslovném souhlasu subjektu údajů,
  • zpracování je nezbytné pro plnění smlouvy se subjektem údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.

Jaké jsou zákonné tituly pro zpracování osobních údajů

Plnění smlouvy

  • pokud jsou osobní údaje nutné k naplnění smluvního vztahu

Splnění právní povinnosti správce

  • pokud je nutné osobní údaje  archivovat se zákona (faktura, daňový doklad)

Oprávněný zájem

  • zpracování údajů je nezbytné pro účely správce/zpracovatele  

Subjekt osobních údajů dal souhlas

  • jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů
  • používá se v případě, pokud není možné použít žádný z uvedených titulů
  • je odvolatelný

Ochrana životně důležitých zájmů fyzické osoby

  • zpracování, při kterém je nadřazený životně důležitý zájem subjektku

Veřejný zájem

  • plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci

Jaké povinnosti vyplývají z Nařízení pro správce a zpracovatele osobních údajů

  • Implementace záměrné a nezbytné ochrany dat
  • Zpracovávat data pouze k oprávněným účelům po nezbytně nutnou dobu
  • Zajistit ohlašovací povinnost (maximálně do 72 hodin)
  • Vypracování posouzení vlivu na ochranu osobních údajů (DPIA), pokud je potřeba
  • Jmenování pověřence, pokud bude potřeba
  • Zavedení možnosti pseudonymizace osobních údajů
  • Vedení záznamů o činnostech zpracování
  • Konzultace s dozorovým orgámen před samotným zpracováním osobních údajů(ÚOOÚ)
  • Naplnění práv subjektů osobních údajů
  • Zavést nové požadavky na zpracovatele

Když se nebudete snažit, pane Správče...

Pokuta až 20 000 000,- EUR, nebo 4 % ročního obratu. Podle toho co je vyšší. Jojo, těch nul je opravdu sedm a ta Eura jsou také správně!

Informování subjektů a žádost o výkon práv subjektu

Základní právo na informování subjektů je zajištěno tímto informačním memorandem. Subjekty údajů nebo jejich ověření zástupci mohou žádat o další informace na které mají dle „GDPR“ nárok a mohou podávat žádosti o uplatnění práv subjektů na kontaktní adrese monika.sumova@domovpramen.cz.

Informace je podávána bezplatně s výjimkou nedůvodných a nepřiměřených (zejména opakovaných) žádostí, kdy správce může odmítnout žádosti vyhovět nebo uložit přiměřený poplatek s ohledem na administrativní náklady spojené s poskytnutím informace. Správce dokládá nedůvodnost nebo nepřiměřenost žádosti.

Totožnost a kontaktní údaje Správce

Domov pro osoby se zdravotním postižením Pramen v Mnichově
Mnichov 142
353 01 Mariánské Lázně
tel./fax: +420 354 692 134
e-mail: monika.sumova@domovpramen.cz

Děkujeme za Vaši důvěru.