GDPR

General Data Protection Regulation - GDPR

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)

Poznámka: Toto Obecné nařízení o ochraně osobních údajů platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné. Je to legislativní akt, který směřuje k unifikaci úpravy v rámci Evropské unie. Avšak současně poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně přesnějšího určení některých podmínek. V celém nařízení je asi padesát oblastí, kde je uloženo nebo umožněno, aby členské státy přijaly nějakou vlastní úpravu.

Některé nepřesnosti v českém překladu Obecného nařízení o ochraně osobních údajů (GDPR)

Recitál 117: Úvod recitálu obsahuje nadbytečné "je".

Čl. 4 odst. 2: Překlad definice zpracování je nepřesný. Správný překlad by měl znít: ... "zpracováním" jakákoliv operace nebo soubor operací, které jsou ­prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů...

Čl. 14 odst. 5: správně má návětí znít: Odstavce 1 až 4 se nepoužijí...

Čl. 28 odst. 1: správně má znít: Pokud má být zpracování provedeno za správce...

Čl. 35 odst. 1: správně má znít: Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko...

Čl. 35 odst. 4: správně má znít: ...Dozorový úřad uvedené seznamy předá sboru uvedenému v článku 68.

Čl. 37 odst. 1 písm. c): správně má znít: ...zvláštních kategorií údajů uvedených v článku 9 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

Čl. 40 odst. 2 písm. e): správně má znít: informace poskytované veřejnosti a subjektům údajů...

Čl. 41 odst. 3: má správně znít: ...předloží návrh požadavků na akreditaci subjektu...

Čl. 41 odst. 5: poslední část věty má správně znít: ...nebo jestliže jsou činnosti tohoto subjektu v rozporu s tímto nařízením.

Čl. 42 odst. 7: má správně znít: ...pokud jsou i nadále plněna příslušná kritéria. Nejsou-li kritéria pro osvědčení plněna, nebo pokud již přestala být plněna, subjekty pro vydávání osvědčení...

Čl. 43 odst. 3: má správně znít: ...probíhá na základě požadavků schválených dozorovým úřadem... V případě akreditace podle odst. 1 písm. b) tohoto článku...

Čl. 43 odst. 6: má správně znít: ...Dozorové úřady je předají také sboru. (konec odstavce)

Čl. 45 odst. 2 písm. b): má správně znít: ...příslušných zajišťovat a vymáhat soulad s pravidly...

Čl. 46 odst. 4: správně má znít: Dozorový úřad použije mechanismus jednotnosti uvedený v čl. 63 v případech uvedených v odstavci 3 tohoto článku.

Čl. 47 odst. 2 písm. d): druhý řádek má správně znít: ...,kvalitu údajů, záměrnou a standardní ochranu osobních údajů,...

Čl. 53 odst. 4: začátek věty má správně znít: Člen může být odvolán pouze...

Čl. 57 odst. 1 písm. p): má správně znít: navrhuje a zveřejňuje požadavky na akreditaci subjektu pro monitorování kodexů chování...

Čl. 60 odst. 10: druhá věta má správně znít: Správce nebo zpracovatel oznámí opatření přijatá k zajištění souladu s daným rozhodnutím vedoucímu dozorovému úřadu...

Čl. 64 odst. 1 písm. c): správně má znít: má za cíl schválit požadavky na akreditaci subjektu podle čl. 41 odst. 3 nebo subjektu pro vydávání osvědčení podle čl. 43 odst. 3 nebo kritéria pro vydávání osvědčení podle čl. 42 odst. 5.

Čl. 64 odst. 6: správně má znít: ...příslušný dozorový úřad uvedený v odstavci 1 svůj návrh rozhodnutí podle odstavce 1.

Čl. 64 odst. 7: správně má znít: Příslušný dozorový úřad uvedený...

Čl. 64 odst. 8: správně má znít: ...tohoto článku informuje příslušný dozorový úřad uvedený v odstavci 1 předsedu sboru...

Čl. 65 odst. 1 písm. a) první věta: správně má znít: ...vedoucí dozorový úřad tuto námitku nezohlednil nebo ji zamítl jako irelevatní...

Čl. 69 odst. 2: správně má znít: Aniž jsou dotčeny žádosti Komise uvedené v čl. 70 odst. 1 a 2, sbor při plnění svých úkolů...

Čl. 70 odst. 1 písm. l): správně má znít: přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů.

Čl. 70 odst. 1 písm. o): správně má znít: schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5 a provozuje veřejný registr mechanismů pro vydávání osvědčení o ochraně údajů a příslušných pečetí či známek podle čl. 42 odst. 8 a správců či zpracovatelů, kteří jsou držiteli osvědčení a jsou usazeni ve třetích zemích, podle čl. 42 odst. 7.

Čl. 70 odst. 1 písm. p): správně má znít: schvaluje požadavky uvedené v čl. 43 odst. 3 pro účely akreditace subjektů pro vydávání osvědčení uvedených v článku 43.

Čl. 83 odst. 4 písm. c): správně má znít: povinnosti subjektu pro monitorování souladu s kodexem chování podle čl. 41 odst. 4.

O P R A V A
nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Úřední věstník Evropské unie L 119 ze dne 4. května 2016
Česká mutace strana 23 až 36

O p r a v a  GDPR - pouze mutace v češtině

GDPR po odstranění překlepů a chyb, česká mutace avšak bez recitálů

Evropský právní rámec ochrany osobních údajů


Nový (revidovaný) evropský právní rámec ochrany osobních údajů netvoří pouze Obecné nařízení (viz výše), nýbrž i další předpisy, které najdete i na těchto stránkách. Jsou to:

Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (tzv. trestněprávní směrnice).

Směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti (tzv. PNR směrnice).

Tyto dvě směrnice Evropské unie však musí být provedeny vnitrostátní právní normou.

Tento rámec bude uzavřen přijetím tzv. e-Privacy nařízení o soukromí a elektronických komunikacích (PECR), jehož hlavním cílem je zlepšit ochranu soukromí v prostředí elektronických komunikací.

Pokyny WP 29


Ochrana osobních údajů je v Evropské komisi organizačně zařazena pod Generální ředitelství Spravedlnost, Ředitelství C - Základní práva a unijní občanství.

Pracovní skupina pro ochranu údajů (WP29) je nezávislý poradní orgán Evropské komise.

Dokumenty WP29 poskytují výklad novinek zaváděných Obecným nařízením o ochraně osobních údajů [GDPR - Nařízení Evropského parlamentu a rady (EU) 2016/679] a Směrnicí Evropského parlamentu a rady (EU) 2016/680.

WP29 vydává dokumenty poskytující výklad významných prvků zaváděných Obecným nařízením o ochraně osobních údajů.Pokyny (Guidelines) jsou oficiálním překladem Evropské komise. U neoficiálních, pracovních překladů ÚOOÚ, je pro snadné a zřetelné odlišení zachován termín Vodítka.

Pokyny a Vodítka

Upozornění na zavádějící sdělení ve vztahu ke zpracování zveřejněných údajů v souladu s GDPR

S blížící se účinností obecného nařízení o ochraně osobních údajů jsme zaznamenali v rámci marketingových kampaní a na sociálních sítích rostoucí počet zavádějících, zkreslených či dokonce zjevně nepravdivých sdělení týkajících se zpracování osobních údajů z veřejných rejstříků prostřednictvím databází některých společností působících jako datové agregátory.

Jelikož některá kategorická a zobecnělá sdělení mohou být způsobilá klamat uživatele s cílem získat neoprávněnou výhodu pro konkrétní subjekt na trhu a současně poškodit jeho konkurenci, to vše bez jakékoliv právní opory, rádi bychom v tomto textu upozornili na nejzásadnější výroky, které mohou působit velmi zavádějícím dojmem.

Zároveň žádáme členy spolku, aby se podobných aktivit sami vyvarovali a netolerovali případné zneužití svého jména ve vztahu ke zpracovaným auditním posudkům nebo zprávám souladu s GDPR.

Předně kategoricky odmítáme jakákoliv tvrzení uvádějící v rámci jednoho typu produktů, že "XY je jediný nástroj na trhu, který vyhovuje požadavkům GDPR" apod.

Současně se také ostře stavíme proti vystupování některých auditorských, konzultantských či jiných poradenských společností nebo jejich zástupců, které by mělo u lidí vyvolávat dojem, že jde o oficiálně schválenou autoritu, která je způsobilá závazně posuzovat soulad s GDPR.

Upozorňujeme, že k současnému dni neexistuje v České republice žádný oficiálně akreditovaný subjekt, který by byl oprávněn vydávat závazné certifikáty schvalující soulad zavedených řešení a procesů s GDPR. Jedná se bohužel o situaci částečně také zapříčiněnou liknavým postupem a zdlouhavým legislativním procesem přijímání adaptačního zákona v České republice. Proto v rámci EU bude možné využívat certifikačního procesu od akreditovaných zahraničních subjektů, kterým již bylo příslušné oprávnění uděleno v jiné členské zemi EU a které bude platné také v ČR.

Obecně však platí, že veškeré certifikáty, auditní zprávy či podobné posudky od českých konzultačních firem mohou být pouze výsledkem výhradně vlastních vnitřních auditů správců nebo zpracovatelů osobních údajů, bez oficiální vypovídající hodnoty. Pokud tedy nějaký posudek tvrdí, že určitá společnost není ani správcem ani zpracovatelem osobních údajů, ale přitom je zjevné, že se na procesu zpracování osobních údajů evidentně podílí, potom je zřejmé, že konečná odpovědnost ve vztahu souladu s GDPR bude určena až případnou kontrolou takového tvrzení ze strany dozorového orgánu.

Prezentace jednotlivých společností logem či kulatým razítkem s označením "GDPR compliant", "připraveni na GDPR", "GDPR ready", apod., či tvrzení, že "daná společnost či konkrétní produkt je plně a bezvýhradně v souladu s GDPR", nelze považovat za nic víc, než za upozornění na skutečnost, že daná společnost vykonala vlastní audit osobních údajů, eventuálně přijala konkrétní opatření. Oficiální garanci souladu s GDPR však od těchto razítek, certifikátu či jiných tvrzení očekávat nelze.

Pro úplnost uvádíme, že jmenování akreditované osoby ponechal Úřad pro ochranu osobních údajů na Českém institutu pro akreditaci, přičemž ke jmenování žádné akreditované osoby doposud nedošlo a toto akreditování bude umožněno až po přijetí projednávaného zákona o zpracování osobních údajů.

Více informací k návrhu vodítek pro akreditaci subjektů vydávajících osvědčení podle nařízení (EU) 2016/679 naleznete zde.

12.5.2018

Spolek pro ochranu osobních údajů