dnes je 5.12.2023

Input:

Jak se připravit na nové nařízení o ochraně osobních údajů - 4. díl

6.4.2018, , Zdroj: Verlag Dashöfer

1.63
Jak se připravit na nové nařízení o ochraně osobních údajů – 4. díl

Mgr. Mgr. Radana Burešová

V rámci přípravy na GDPR je vhodné provést následující kroky:

1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat

2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.

Dále se musí podniknout opatření:

3. ve vztahu k ochraně zpracovávaných osobních údajů

4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),

5. ve vztahu k dozorovému úřadu.

ad 4) Povinnosti ve vztahu k subjektům osobních údajů

Správce má řadu povinností vůči subjektům údajů, tj. fyzickým osobám, jejichž osobní údaje zpracovává. Tyto povinnosti lze rozdělit do dvou skupin – na ty, které je třeba splnit vždy a na ty, které vznikají jen v určitých případech, a to z popudu subjektu údajů.

Ať už správce osobní údaje zpracovává se souhlasem subjektů údajů, nebo z jiných právních důvodů, vždy musí subjektu údajů poskytnout tyto informace:

1. podle článku 13 GDPR, pokud údaje získává přímo od subjektu údajů (např. pokud dotčené osoby vyplňují formuláře nebo pokud jsou sledovány např. kamerou) – tyto informace musí být poskytnuty při získání údajů (je vhodné, aby informace byly přímo součástí souhlasu se zpracováním osobních údajů v případech, kdy je souhlas právním důvodem zpracování):

a) totožnost a kontaktní údaje správce a jeho případného zástupce;

b) kontaktní údaje pověřence pro ochranu osobních údajů, pokud byla tato funkce zřízena, viz níže;

c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování (příslušné ustanovení čl. 6 odst. 1 GDPR – např. souhlas);

d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) GDPR;

e) případné příjemce nebo kategorie příjemců osobních údajů (další osoby, kterým budou dotčené osobní údaje předány, pokud možno jmenovitě, pokud to nejde jmenovitě, podle typu – např. právní a daňoví poradci atd.);

f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Evropské komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci GDPR, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny;

a dále pokud je to potřebné v zájmu transparentnosti a spravedlnosti (doporučuje se vždy):

g) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

h) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

i) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

j) existence práva podat stížnost u dozorového úřadu;

k) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

l) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2. podle článku 14 GDPR, pokud údaje získává z jiných zdrojů (např. z veřejně dostupných zdrojů nebo od jiných subjektů údajů):

a) všechny informace uvedené výše v bodě 1 s výjimkou informací uvedených pod písmenem e);

b) kategorie dotčených osobních údajů (protože subjekt údaje sám neposkytl, neví, jaké jeho osobní údaje jsou zpracovávány – např. jméno, příjmení, adresa, podoba apod.);

c) zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda pocházejí z veřejně dostupných zdrojů.

Pokud jsou zpracovávány údaje, které nebyly získány od subjektů údajů, je jim nutno informace podle článku 14 GDPR poskytnout:

  • v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

  • nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo

  • nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

Informace není nutno poskytovat, pokud je subjekt již (prokazatelně) má a jestliže jsou zpracovávány údaje, které nebyly získány

Nahrávám...
Nahrávám...