GDPR víte, že… aneb může se hodit...

Chcete nebo musíte jít do střetu s úřady? Rozvádíte se, bojujete o děti? Je dobré vědět co o vás úřady ví, co o vás ví banky, co o vás ví OSPOD a řada dalších...
Co o vás a vašich blízkých nejen úřady, různá zdravotnická zařízení, ale i soukromé subjekty shromažďují za informace, proč tak činí a jak dlouho tak ještě činit budou.

NE, opravdu to není kverulantství, je to - alespoň částečné a chabé - naplnění principu rovnosti zbraní.

...je prostě jenom dobré vědět s jakými kartami může váš protihráč hrát...

OZ → občanský zákoník č. 89/2012 Sb.

OÚ → osobní údaj/e

Věděli jste, že...

»»»///«««

Všechny informace mají životní cyklus.

»»»///«««

Každá dnes bezvýznamně, nevinně, ... etc. vypadající informace se už zítra může stát informací - nejen pro vás, ale zejména pro vás - vysoce citlivou, nebezpečnou. [ I "jenom" rozvádějící se (především muži) by mohli vyprávět...].

»»»///«««

GDPR se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované (analogové) zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny (čl. 2 odst. 1). Tedy na všechny evidence bez ohledu na nosič. Na manuálně zpracované fyzické kopie osobních údajů však GDPR dopadá, až pokud jsou systematicky uspořádány podle určitých kritérii.

»»»///«««

GDPR se nevztahuje na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností [čl. 2 odst. 2, písm. c)].

»»»///«««

GDPR se nevztahuje na zpracování osobních údajů prováděné Policii ČR, Vězeňskou službou a zpravodajskými službami - na ty se vztahuje směrnice 2016/680. GDPR se však vztahuje na obecní/městkou policii.

»»»///«««

GDPR se nevztahuje na osobní údaje zesnulých osob (recitál 27). Osobní údaje o zesnulé osobě však mohou představovat osobní údaje některé dosud žijící osoby (viz oblast zdravotnictví - kupř. geneticky podmíněná onemocnění). Zemřelá osoba je chráněna ustanoveními OZ, kupř. § 82, § 113, § 114 a další.

»»»///«««

Osobní údaje nenarozených dětí - dle ustáleného výkladu WP 29 se na ně vztahuje ochrana OÚ dle národní úpravy - tj. dle OZ. Dle § 25 OZ: na počaté dítě se hledí jako na již narozené, pokud to vyhovuje jeho zájmům. Má se za to, že se dítě narodilo živé. Nenarodí-li se však živé, hledí se na ně, jako by nikdy nebylo. OÚ o nenarozeném dítěti však mohou zároveň přestavovat OÚ jeho rodičů.

»»»///«««

Lhůty: GDPR používá lhůtu měsíc [(...bez zbytečného odkladu a v každém případě do jednoho měsíce) viz kupř. čl. 12 odst. 3, resp. dva měsíce]. Jak se tedy lhůta měsíc počítá a je lhůta měsíc stejná jako lhůta 30 dnů? Odpověď najdeme v § 605 OZ: Lhůta nebo doba určená podle dnů počíná dnem, který následuje po skutečnosti rozhodné pro její počátek. Konec lhůty nebo doby určené podle týdnů, měsíců nebo let připadá na den, který se pojmenováním nebo číslem shoduje se dnem, na který připadá skutečnost, od níž se lhůta nebo doba počítá. Není-li takový den v posledním měsíci, připadne konec lhůty nebo doby na poslední den měsíce. A připadne-li poslední den lhůty na sobotu, neděli nebo svátek, je posledním dnem lhůty pracovní den nejblíže následující (§ 607 OZ).

Shrnuto: 30 dní se odpočítává od následujícího dne a končí různě podle počtu dní v měsíci a jeden měsíc končí ve stejný den dalšího měsíce.

»»»///«««

Dle čl. 14 odst. 5 písm. b): odstavce 1 až 4 se nepoužijí, pokud a do té míry, v níž se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí. Tuto výjimku lze uplatnit pouze na data získaná do účinnosti GDPR, tj. do 25.5.2018.

»»»///«««

Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů informace uvedené v čl. 13.

Okamžik získání = okamžik, kdy subjekt údajů informace poskytuje.

Obdobnou povinnost má správce (podle čl. 14) i v případě, že OÚ nezíská přímo od subjektu údajů (získá je např. od jiného správce, ze základních registrů).

»»»///«««

Jste účasten nějaké správního či soudního řízení nebo víte, že v brzké době budete? Potřebujete zlepšit svoji procesní situaci? Pokud ano - můžete využít dobrodiní čl. 18.

Subjekt údajů má právo na to, aby správce omezil zpracování, když správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků [čl. 18 odst. 1 písm. c)]. Cílem tohoto omezení je, aby správce nemohl údaje vymazat a vy jste je mohl eventuálně použít. Vymazání = zpracování. Pokud by tedy správce osobní údaje vymazal porušil by povinnost dle čl. 17 odst. 3 písm. e), dopustil by se tím neoprávněného zpracování a hrozila by mu sankce. Správce vás musí předem upozornit, že bude omezení zpracování zrušeno.   ...a zdarma!

»»»///«««

Oznamovací povinnost: (čl. 19) správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Status příjemce zakládá pouhé držení osobních údajů.

Správce ⇒ příjemci ⇒ feedback subjekt údajů.   ...a zdarma!

»»»///«««

Právo na informace je garantováno každému ústavním zákonem č. 2/1993 Sb., Listina základních práv a svobod - čl. 17. Provedení tohoto základního práva zabezpečuje zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Jednou z kategorií povinných subjektů ve smyslu zákona jsou s ohledem na jeho § 2 odst. 1 tzv. veřejné instituce.

Víte co jsou to veřejné instituce?

»»»///«««

Na základě jakého titulu o vás veřejná správa zpracovává osobní údaje?

Čl. 6 odst. 1 písm. c) hovoří o tom, že zpracování je zákonné je-li nezbytné pro splnění právní povinnosti, která se na správce vztahuje a to pouze v odpovídajícím rozsahu. Úkoly veřejné správy jsou s ohledem na ústavní zásadu zákonnosti výkonu veřejné moci formulovány jako právní povinnosti. Právní povinnosti musí vyplývat ze zákona a upřesněny mohou býti v podzákonné právní normě (tzv. právní základ).

»»»///«««

Životně důležitý zájem - ač se vám jako životně důležitý zájem může jevit ledacos (kupř. zjistit jak se jmenuje a jaké má telefonní číslo ta hezká slečna / ten hezký mladík ze třetího patra) ne vše se dá pod životně důležitý zájem subsumovat. Zpracování je zákonné je-li je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby [čl. 6 odst. 1 písm. d)]. A co tedy tím životním zájmem může být? Mohou to být nezbytné humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof (recitál 46). V rámci tohoto právního důvodu je možné zpracovávat osobní údaje nejen subjektu údajů, nýbrž i jiné fyzické osoby.

»»»///«««

Do měsíce a zadara? Fakt jako...

Obdrží-li správce žádost dle čl. 15 až 22 musí ji posoudit, zpracovat a odpovědět na ni bez zbytečného odkladu (tzn. co možná nejdříve) nejpozději však do jednoho měsíce. Do jednoho měsíce vás musí správce informovat o přijatých opatřeních, odmítnutí nebo prodloužení lhůty [(prodloužit lhůtu lze však maximálně o další dva měsíce). Pokud dojde k prodloužení lhůty, správce již nemůže vaši žádost odmítnout. Informaci o odmítnutí musí správce vyhotovit do jednoho měsíce od obdržení žádosti].

Správce poskytuje informace podle čl. 13 a 14 a provádí sdělení a opatření podle čl. 15 až 22 (zásadně) bezplatně. Ale pozor existuje (jako všude výjimka) - správce může (nikoliv musí) účtovat přiměřený poplatek za další kopii osobních údajů na základě administrativních nákladů (čl. 15 odst. 3) nebo v případě je-li žádost zjevně nedůvodná nebo nepřiměřená (čl. 12 odst. 5). Zjevnou nedůvodnost nebo nepřiměřenost však žádosti dokládá správce (čl. 12 odst. 5).

»»»///«««

Může vám správce vyměřit vysoký poplatek?

Správce by vás měl nejprve informovat o výši poplatku a vyžádat si váš souhlas s tím, že vám tento poplatek bude vyměřen. Opačný případ - tj. vyměření vysokého poplatku bez dalšího by mohl být posouzen jako rozporný s čl. 12 odst. 2 dle kterého: "správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22".

»»»///«««

Do měsíce a zadara nebo hrrr na něj...

Dle čl. 12 odst. 4: Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu (čl. 77) a žádat o soudní ochranu (čl. 79).

»»»///«««

Zpravodajská licence

Víte, jaké jsou limity zpravodajské licence při zveřejňování fotografií osob?

»»»///«««

Víte, jak můžete používat sociální média na pracovišti a jak v nich vystupovat? Víte, jaké jsou limity monitoringu zaměstnance zaměstnavatelem na pracovišti dle § 316 zákoníku práce?

Pokud ne - tak zajímavý článek je zde.

»»»///«««

Máte právo kdykoliv - z důvodů týkajících se vaší konkrétní situace - vznést námitku naproti zpracování svých osobních údajů prováděného (mj.) na základě právního důvodu podle čl. 6 odst. 1 písm. e) [nezbytné zpracování pro splnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen] a podle čl. 6 odst. 1 písm. f) [nezbytné zpracování pro účely oprávněných zájmů správce či třetí strany]. Jakmile správce námitku proti zpracování obdrží, musí bez zbytečného odkladu, vaše osobní údaje přestat zpracovávat. Chce-li správce následně vaše osobní údaje dále zpracovávat musí prokázat, že má pro zpracování závažné oprávněné důvody, které převažují nad vašimi zájmy nebo právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků. Důkazní břemeno leží na straně správce.

Recitál 69: Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.

»»»///«««

Subjekt údajů má právo  čl. 15, odst. 1 a 2  získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: a) účely zpracování; b) kategorie dotčených osobních údajů; c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; f) právo podat stížnost u dozorového úřadu; g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.

»»»///«««

Už máte kopie svých zpracovávaných osobních údajů?

Dle čl. 15 odst. 3: Správce poskytne kopii zpracovávaných osobních údajů. Kromě informací o zpracování osobních údajů máte právo získat kopii zpracovávaných osobních údajů, které se vás týkají. Což mohou být i kopie kamerového systému zachycujícího vás nebo telefonního rozhovoru s vámi (subjektem údajů). Poskytnutí první kopie je bezplatné (čl. 12, odst. 5). Bezplatné bude i poskytnutí další kopie po delším časovém úseku. Bezplatné bude i poskytnutí kopie údajů v době kdy je důvodné očekávat změny v údajích a jejich zpracování, nebo po každé takové změně.

»»»///«««

Máte právo na náhradu újmy (čl. 82). Kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly (recitál 146). GDPR rovněž, v čl. 80, počítá se zastupováním subjektu údajů ve věci odškodnění.

Max Schrems v den účinnosti/použitelnosti GDPR (25.5.2018) zažaloval Google o 3,7 miliardy eur a Facebook o 3,9 miliardy eur.

»»»///«««

Jmenoval-li správce nebo zpracovatel - ať už dobrovolně nebo povinně - pověřence pro ochranu osobních údajů (tzv. DPO) máte právo obracet se na tohoto pověřence ve všech záležitostech souvisejících se zpracováním vašich osobních údajů a výkonem vašich práv dle GDPR - tedy kupř. i ve věci vaší stížnosti, kterou jste zaslali správci nebo zpracovateli.

»»»///«««

Správce fanouškovské stránky na Facebooku nese spolu s Facebookem odpovědnost za zpracování údajů návštěvníků své stránky

Správci takových fanouškovských stránek mohou získávat anonymní statistické údaje o návštěvnících těchto stránek prostřednictvím funkce nazvané Facebook Insight, kterou jim zdarma poskytuje Facebook za nezměnitelných podmínek použití. Tyto údaje jsou shromažďovány za pomoci záznamových souborů (soubory cookies). Každý z těchto souborů obsahuje jedinečný kód uživatele, který je aktivní po dobu dvou let a Facebook jej ukládá na pevný disk počítače nebo jiný nosič návštěvníků fanouškovské stránky. Kód uživatele, který lze propojit s údaji o připojení uživatelů zaregistrovaných na Facebooku, je shromážděn a zpracován v okamžiku otevření fanouškovských stránek.

»»»///«««

Zpracování osobních údajů (telefonních čísel, e-mailových adres apod.) zákazníků pro účely přímého marketingu (při rozesílce obchodních sdělení) je zpracování prováděné z důvodu oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR. Zákazník při nákupu výrobku či služby může odůvodněně očekávat, že mu obchodník zašle obdobnou nabídku. Zájem obchodníka převažující v tomto případě nad zájmem zákazníka je přitom korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v článku 13 GDPR, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 GDPR proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out).

»»»///«««

Udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost.

Souhlas se zpracováním osobních údajů není potřebný v řadě životních situací, nemůže být právním důvodem pro zpracování údajů ve všech následujících případech: smluvní vztah se subjektem údajů (typicky prodej zboží, poskytování služeb), plnění právní povinnosti správce nebo realizace jeho oprávněného zájmu, plnění úkolu prováděného ve veřejném zájmu. V těchto případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být vyžadován.

Pokud lze zpracování založit na souhlasu, musí být souhlas udělen pro každý jeden konkrétní účel. Souhlas tedy musí být konkrétním, svobodným, informovaným a jednoznačným projevem vůle, při jehož vyžadování musí správce počítat s tím, že souhlas může být kdykoliv odvolán. Jedním z cílů podrobné úpravy udělování souhlasu podle obecného nařízení je zamezit předchozí nesprávné praxi, např. situacím, kdy při uzavření smlouvy byl vynucován souhlas k jiným účelům.

Právní úprava souhlasu tedy vylučuje praxi, kdy mnoho správců souhlas automaticky zahrnuje do smluvního ujednání, od kterého se fyzická osoba nemůže odchýlit. Souhlas se zpracováním osobních údajů nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží. Souhlas lze tedy využít pouze pro jiná, další zpracování, nad rámec poskytování služby či koupě zboží.

Z pohledu obecného nařízení bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách).

»»»///«««
Tím, kdo kontroluje ochranu soukromí zaměstnanců je i Státní úřad inspekce práce.

»»»///«««
Taková náboženská společnost, jako jsou Svědkové Jehovovi, je společně se zvěstovateli, kteří jsou jejími členy, správcem osobních údajů shromažďovaných v rámci podomní kazatelské
činnosti

»»»///«««


Na stránce se příležitostně průběžně pracuje...