GDPR – než propadnete panice, podívejte se na informace ÚOOÚ

 
ameba.eu blog

Ač ochrana osobních údajů u nás platí od roku 1992, ač úřad zřízený zákonem o ochraně osobních údajů kontroluje povinnosti tímto zákonem uložené už téměř dvě desetiletí, pro mnohé, kteří si se zákonem starosti nedělali, jako by šlo o novou věc. Pod vlivem kampaně rozpoutané kolem obecného nařízení o ochraně osobních údajů (GDPR), hlavně za účelem zisku řady poradenských firem, se podivují, s jakými novinkami ten zatracený Brusel opět přichází. Kampaň přitom provází řada nesprávných a zavádějících informací, šířených v médiích a zaznívajících i na některých přednáškách. Pro mnohé jsou nesrozumitelné i termíny, které zákon používá, například „zpracování osobních údajů“, což jsou operace s osobními údaji prováděné a pouze na ně se tato ochrana vztahuje. Tedy ne na každé použití údaje nějakého člověka v jakékoliv situaci, jak se často mylně domnívají ti, kdo ochranu osobních údajů ztotožňují s ochranou osobnosti podle občanského zákoníku. Dalšími podobnými pojmy jsou třeba „subjekt údajů“, což je člověk, o jehož údaje jde, „správce“, což je ten, kdo operace s osobními údaji provádí, buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností, „zpracovatel“, což je někdo jiný, koho správce prováděním takové činnosti pro něj smlouvou pověří.

O ochraně osobních údajů stručně a jasně

1. Důvod
Abychom mohli o nějaké kategorii lidí, například našich zákazníků nebo zaměstnanců, získávat a používat jejich údaje, musíme k tomu mít nějaký (právní) důvod. Velmi často jím bývají smlouvy, které s nimi uzavíráme. Pracovní smlouvy se zaměstnanci, kupní smlouvy nebo jiné se zákazníky...

2. Zásady
Vždy bychom si měli nejprve uvědomit, proč údaje o nějakých lidech potřebujeme nebo chceme získávat. Z toho je pak třeba vyjít při požadavku na poskytnutí údajů, abychom zbytečně o těch lidech nezaznamenávali informace, které vlastně vůbec nepotřebujeme. Rozsah údajů by tak měl být jen minimální, abychom dosáhli toho, co jsme si stanovili. Měli bychom dbát na to, aby získávané údaje byly přesné a jejich přesnost ověřovat. Možnost ověřit přesnost údajů z občanského průkazu dotyčné osoby není vyloučena, kopírování občanského průkazu i pasu je však až na zákonem stanovené výjimky nepřípustné...

3. Informace
Nejvíce nedorozumění a stížností vzniká z toho, že lidé nedostanou dostatečnou informaci o tom, proč své osobní údaje poskytují a co se s těmito údaji bude dále dít, komu budou případně předány. Již při získávání údajů je proto třeba dotyčnému člověku takové informace poskytnout, nejlépe v písemné podobě, ať již v místě, kde k získání údajů dochází nebo i prostřednictvím webových stránek...

4. Zabezpečení
Pokud máte údaje lidí jen na listinných dokumentech a ne v počítači, vztahuje se na ně ochrana jen v případě, že jsou vedeny formou evidence fyzických osob...

5. Co nového k tomu od 25. května 2018 přidává obecné nařízení o ochraně osobních údajů (GDPR)?
Pro menší firmu, která vede jen evidenci smluv se svými zákazníky a evidenci zaměstnanců, toho není zas až tak mnoho...

Desatero zpracování pro správce

Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.


1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.

2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.

3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.

4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.

5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.

6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.

7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.

8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.

9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).

10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.


ZDROJ: Úřad pro ochranu osobních údajů (ÚOOÚ)

ameba.eu / 07.05.2018 / foto: www.ameba.eu

back