Internetové právo Ochrana osobních údajů Nařízení GDPR doc. Mgr. Tomáš Gongol, Ph.D. Právní úprava služeb informační společnosti •Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) •přímo použitelný právní předpis Evropské unie •použitelnost (účinnost) 25. května 2018 • •Zákon č.110/2019 Sb., o zpracování osobních údajů •Navazuje na nařízení, zapracovávání příslušné předpisy •Z pohledu internetu důležitý např. § 7 Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku. • •V přípravě: Nařízení ePrivacy (problematika cookies) Co přináší? •rEVOLUCE–přináší propracovanější právní úpravu ochrany osobních údajů •posilování a precizace stávajících práva •nová práva subjektů údajů a náročnější administrace a nové povinnosti pro správce a zpracovatele •oblasti, které přináší nejzásadnější změny: •bezpečnost osobních údajů •práva subjektů údajů •ohlašovací povinnost •pokuty •pověřenec pro ochranu osobních údajů (DPO) •povinnosti správce a zpracovatele •právní základy zpracování •odpovědnost • Osobní údaj •= veškeré informace o identifikované nebo identifikovatelné fyzické osobě (= subjekt údajů) •identifikovatelná osoba je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor •například: jméno, e-mailová adresa, telefonní číslo, číslo účtu, přihlašovací údaje, identifikační číslo, lokační údaje, IP adresa, cookies, rodné číslo, zájmy a preference atd. •podstatné, zda je fyzická osoba, které se osobní údaje týkají přímo či nepřímo identifikovatelná. GDPR se tak nevztahuje na anonymní údaje, na základě kterých fyzická osoba není nebo již přestala být identifikovatelná. • Zvláštní kategorie osobních údajů •osobní údaje, které jsou svojí povahou zvláště citlivé •například: údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech; genetické údaje a biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby •údaje o zdravotním stavu •týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu •například osobní údaje o zdravotní stavu zaměstnanců •biometrické údaje •vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje •například v docházkových systémech využívajících otisky prstů či obrazy sítnice oka • Zpracování osobních údajů •= jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je •shromáždění •zaznamenání •uspořádání •strukturování •uložení •přizpůsobení nebo pozměnění •vyhledání • •nahlédnutí •použití •zpřístupnění přenosem •šíření nebo jiné zpřístupnění •seřazení či zkombinování •omezení •výmaz nebo zničení • Zpracování osobních údajů •GDPR se aplikuje jak na automatizované zpracování (např. v informačních systémech, kamerové systémy), tak na zpracování manuální (např. kartotéky, evidence, seznam) •pro zpracování je klíčový jeho účel zpracování, například: •plnění smlouvy se subjektem údajů (dodávka zboží, zaměstnávání) •mzdová agenda •účetnictví •zasílání nabídky služeb či newsletterů •ochrana majetku •pořádání soutěží či provoz věrnostního programu •a další • Dotčené osoby •subjekty údajů •fyzické osoby, jejichž osobních údajů se zpracování týká, a to bez ohledu na jejich státní příslušnost •například: zaměstnanci, zákazníci a návštěvníci, a to jak osobně, tak přes webové stránky •správce •fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů •zpracovatel •fyzická nebo právnická osoba, která zpracovává osobní údaje pro správce •správce nemusí všechna zpracování osobních údajů provádět sám, ale může pro některé nebo i všechny zpracování využít jiný subjekt •například: např. obchodní společnost, která provozuje IS Univerzity • Odlišení správce a zpracovatele •Kdo určil účel a prostředky zpracování, resp. kdo o zpracování rozhoduje? •Ten, kdo určuje účel a prostředky, je zpravidla správcem. • Příklad: Např. VŠ bude ve vztahu ke svým zaměstnancům nebo studentům správcem. • •Ten, kdo plní pokyny správce, resp. plnění služby, které u něj správce objednal a dodržuje správcem určený účel a prostředky, je zpravidla zpracovatelem. • Příklad: Externí poskytovatel zpracování služeb či poskytovatel cloudového řešení pro uložení dat, např. MUNI je ve vztahu k SU zpracovatelem os.údajů v IS SU • •Pozor, jedna osoba může být pro určitý proces zpracování správcem a pro jiný proces zpracování zpracovatelem. • Příklad: Mzdová agentura bude ve vztahu ke svým zaměstnancům správcem jejich osobních údajů, avšak ve vztahu k osobním údajů, zaměstnanců svých klientů, pro které mzdy zpracovává, bude zpravidla zpracovatelem. • •GDPR upravuje také institut tzv. společných správců •účel a prostředky určuje několik subjektů společně, například při společných projektech • Zásady •zákonnost, korektnost a transparentnost •zpracování musí probíhat na základě legálního právního titulu •subjekty údajů musejí být informovány o zpracování v rozsahu dle GDPR •účelové omezení •shromažďování a zpracování osobních údajů je možné jen pro určité, výslovně vyjádřené a legitimní účely •stanovený účel je pro správce vodítkem pro nastavení celého zpracování •minimalizace údajů •přiměřený a minimální rozsah osobních údajů pro účely zpracování je zcela nezbytný •je tedy možné zpracovávat jen ty osobní údaje, které jsou opravdu pro daný účel třeba Zásady •přesnost •je dovoleno zpracování pouze přesných a v případě potřeby aktualizovaných údajů •omezení uložení •uložení údajů je možné jen po nezbytně dlouhou dobu pro účely zpracování •následně musí být osobní údaje vymazány •integrita a důvěrnost •je třeba dbát na odpovídající úroveň zajištění zabezpečení osobních údajů •odpovědnost správce •správce musí být vždy schopen doložit soulad s GDPR Principy •princip odpovědnosti správce za dodržení zásad zpracování a povinností dle GDPR •správce musí být vždy schopen doložit dodržování zásad zpracování a povinností podle GDPR •princip přístupu založeném na riziku •při zavádění opatření souladu s GDPR je třeba posuzovat rizika jednotlivých procesů zpracování osobních údajů (facebook x malý eshop) •vhodné zavést určité postupy pro identifikaci možných rizik, jejichž posuzování a vyhodnocování z pohledu pravděpodobnosti a závažnosti •záměrná ochrana (Privacy by Design) a standardní ochrana (Privacy by Default) •správce musí přemýšlet nad ochranou os.údajů již při tvorbě systémů (záměrná ochrana) •Zpracovávat jen údaje nutné k dosažení účelu (standardní ochrana) • Právní tituly zpracování •vhodný právní titul se bude zjišťovat podle účelu zpracování •nezbytné, aby správce vždy stanovil účel a podle něj také určil způsob a prostředky zpracování •Šest právních titulů podle GDPR •v praxi jsou využívány především první 4 •splnění právní (zákonné) povinnosti správce •splnění smlouvy se subjektem údajů či opatření před uzavřením smlouvy na žádost subjektu •oprávněné zájmy správce nebo třetí strany •souhlas subjektu údajů se zpracováním •ochrana životně důležitých zájmů •úkoly prováděné ve veřejné zájmu nebo při výkonu veřejné moci Právní tituly zpracování •splnění právní (zákonné) povinnosti správce •zpravidla se jedná o situace plnění povinností vůči orgánům státní správy v souvislosti se zaměstnáváním fyzických osob • •splnění smlouvy se subjektem údajů či opatření před uzavřením smlouvy na žádost subjektu •typickou situací je například případ prodeje produktů fyzické osobě přes e-shop nebo jinou cestou, uzavírání pracovní smlouvy s potenciálním zaměstnancem • •oprávněné zájmy správce nebo třetí strany •takový zájem může spočívat například v ochraně majetku – např. kamerové systémy •je třeba provést tzv. balanční test (nebo také test proporcionality), tedy posouzení a vyhodnocení zájmů obou stran s ohledem na vhodnost, nezbytnost a přiměřenost zvolených prostředků a způsobu zpracování • Právní tituly zpracování •souhlas subjektu údajů se zpracováním •projev vůle subjektu údajů spočívající v jednoznačném svolení se zpracováním pro konkrétní účel •musí být konkrétní (výslovně vyjádřený a dostatečně určitý účel zpracování) •musí být jednoznačný a udělen aktivním jednáním subjektu údajů(„předzaškrtnutá“ okénka na webu nejsou akceptovatelná) •musí být svobodný(nelze jej „směňovat“ za nějaké protiplnění ani nemůže být subjekt údajů do jeho poskytnutí nucen, nelze např. podmiňovat uskutečnění objednávky v e-shopu udělením souhlasu pro markentingové účely) •je vždy odvolatelný (odvolání musí být stejně snadné jako jeho udělení) •musí být informovaný (subjekt údajů musí být při udělení souhlasu prokazatelně informován nejen o účelu zpracování, ale i o totožnosti správce, rozsahu zpracování a příjemcích osobních údajů a i o možnosti souhlas kdykoliv odvolat) •musí být odlišitelný (nelze jej zakomponovat do smlouvy či všeobecných podmínek) •použije se zpravidla pro věrnostní programy, zasílání newsletterů apod. •souhlas nesmí být užíván tam, kde existuje jiný právní titul zpracování • Práva subjektů údajů •právo na informace o zpracování osobních údajů •vyjádření zásady transparentnosti •nezbytné subjekty údajů o zpracování osobních údajů vždy řádně informovat •informace o zpracování osobních údajů by měly být subjektu údajů poskytnuty v okamžiku jejich shromáždění (např. při provedení nákupu na e-shopu či uzavření pracovního poměru) •pokud jsou osobní údaje získány z jiných zdrojů než od subjektu údajů (např. od personální agentury), měly být poskytnuty v přiměřené lhůtě •písemně či elektronicky Práva subjektů údajů •právo na informace o zpracování osobních údajů •základní rozsah informací o zpracování: •totožnost a kontaktní údaje správce •účel(y) a právní důvod(y) zpracování •oprávněné zájmy správce či třetí strany (je-li to třeba) •identifikace případných příjemců osobních údajů •informace o úmyslu předat osobní údaje do třetích zemí (mimo EU) •kategorie zpracovávaných osobních údajů •další informace o zpracování: •doba, po kterou budou osobní údaje uloženy či způsob jejího určení •je-li zpracování založeno na souhlasu, tak informovat o existenci práva kdykoli odvolat souhlas •informace o právech subjektů údajů •skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem a důsledky neposkytnutí •skutečnost, zda dochází k automatizovanému zpracování osobních údajů • Práva subjektů údajů •právo na přístup subjektu k osobním údajům •povinnost dát subjektu údajů na jeho žádost potvrzení o tom, zda jsou jeho osobní údaje zpracovávány •povinnosti poskytnout subjektu údajů zpracovávané osobní údaje v běžně používaném elektronickém formátu (např. formát .doc či .pdf) •subjekt údajů může požádat také o kopii svých zpracovávaných osobních údajů •právo na přenositelnost osobních údajů •ve strukturovaném běžně používaném formátu a předání jinému správci •vztahuje se pouze na automatizovaná zpracování, tedy prováděná za pomoci automatizovaných informačních systémů na základě smlouvy či souhlasu • Práva subjektů údajů •právo na opravu •subjekt údajů, jehož osobní údaje jsou zpracovávány, má právo kdykoliv požádat o opravu svých osobních údajů •v případě, že jsou jeho osobní údaje nepřesné či neúplné •správce po takovéto žádosti musí bez zbytečného odkladu údaje opravit či aktualizovat •právo na výmaz („právo být zapomenut“) •není-li zde legitimní důvod zpracování •pokud bude žádost subjektu údajů o výmaz důvodná, měl by správce výmaz zajistit •důvodná bude žádost např. pokud již bylo dosaženo účelu zpracování, subjekt odvolal souhlas apod. •dopadá pouze na zveřejněné osobní údaje a spočívá v tom, že správce přijme opatření k tomu, aby byly vymazané veškeré odkazy na osobní údaje a jejich kopie • SDEU C-131/12 Google Spain •Google Spain SL, Google Inc. proti Agencia Española de Protección de Datos (AEPD), Mario Costeja González •González si přál vymazat informaci z roku 1998, kdy byla v tisku zveřejněna informace o nuceném prodeji jeho nemovitosti z důvodu nesplaceného dluhu na sociálním pojištění •Žádost na společnost Google Inc., aby přijala opatření nezbytná k odstranění osobních údajů ze svého indexu a zabránila přístupu k těmto údajům v budoucnosti •Dle SDEU hraje vyhledávač hlavní roli při globálním šíření uvedených údajů – jinak by uživatelé inkriminované stránky (noviny) neviděli Práva subjektů údajů •právo na omezení zpracování •projev zásady přesnosti a minimalizace •ve stanovených případech může subjekt údajů správce požádat o označení určitých osobních údajů, které pak správce až na výjimečné případy zpracovávat nebude •právo vznést námitku •v případě zpracování osobních údajů na základě oprávněného zájmu (např. kamerové systémy) •na základě námitky se zpracování zastaví či omezí do té doby, než bude o námitce rozhodnuto •právo nebýt předmětem automatizovaného rozhodování (profilování) •subjekt údajů má právo namítnout, že nechce být předmětem automatizovaného rozhodování či profilování • Povinnosti správců a zpracovatelů •povinnost obecného posouzení zpracování a jejich rizik •zjištění: •jaké procesy zpracování v podniku probíhají? •jaké osobní údaje jsou zpracovávány? •za jakým účelem jsou zpracovávány? •jaké subjekty údajů jsou zpracováním dotčeny? •zda existuje legitimní právní titul takového zpracování? •jak je s osobními údaji nakládáno? •zda jsou plněna práva subjektů údajů? •a další •posouzení rizika s přihlédnutím k různým aspektům zpracování • Povinnosti správců a zpracovatelů •povinnost zavedení vhodných technických a organizačních opatření •zajištění odpovídajícího zabezpečení osobních údajů, uplatní se přístup založený na riziku •jedním z nejdůležitějších požadavků GDPR •jedná se především o posouzení a zavedení (i) interní procesů–směrnice a pravidla a jejich kontrola, (ii) užívaných technologií–antivirus, firewall, šifrování, pseudonymizace, zálohování, a (iii) fyzického zabezpečení–EZS, pravidla zamykání, omezení přístupu apod. • Povinnosti správců a zpracovatelů •povinnost zajištění a doložení souladu zpracování s GDPR •dodržování základních zásad a povinností GDPR •prostředky doložení souladu: •souhrn přijatých opatření •interní směrnice •popis interních procesů (informování subjektů, získání souhlasů, naplňování práv subjektů údajů, likvidace a výmazu apod.) •vzorové dokumenty (informační dokumenty, souhlasy, formuláře, Privacy Policy a Cookie Policy na webu apod.) •školení zaměstnanců •nastavení webu •záznamy o činnostech zpracování •a další •povinnost revize a aktualizace přijatých opatření •pravidelná a systematická • Povinnosti správců a zpracovatelů •povinnost vést záznamy o činnostech zpracování •musí být písemné (možné i elektronicky)a dostupné na vyžádání •nevztahuje se na podnik s méně než 250 zaměstnanci, avšak existují zde výjimky •zpracování, která nejsou pouze příležitostná •zpracování pravděpodobně představující riziko pro práva a svobody subjektu údajů •zpracování zvláštních kategorií údajů či osobních údajů týkajících se rozsudku v trestních věcech a trestních činů • Povinnosti správců a zpracovatelů •povinnost vést záznamy o činnostech zpracování •záznamy by měly pro každý jednotlivý proces zpracování obsahovat: •identifikaci a kontaktní údaje správce •účely zpracování •kategorie subjektů údajů •kategorie osobních údajů •lhůty pro výmaz či způsoby jejich určení •technická a organizační opatření •kategorie příjemců •informace o případné předání do třetích zemí • Povinnosti správců a zpracovatelů •povinnost hlášení bezpečnostních incidentů (data breaches) •porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů •pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů •tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob •oznámit do 72 hodin, nebyla-li provedena taková opatření, která rizika dostatečně zmírní •povinnost narušení řádně zdokumentovat •zpracovatel má povinnost takové narušení na své straně nahlásit správci, a to bez zbytečného odkladu • Povinnosti správců a zpracovatelů •povinnost provést posouzení vlivu na ochranu osobních údajů (DPIA) •v případě, že je prováděno zpracování osobních údajů, které by mohlo představovat vysoké riziko pro práva a svobody dotčených osob, zejména: •systematické a rozsáhlé vyhodnocování osobních aspektů založeno na automatizovaném zpracování, vč. profilování, které má právní účinky nebo obdobně závažný dopad na dotčené osoby (např. docházkový systém využívající otisky prstů zaměstnanců) •rozsáhlé zpracovávání zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestních činů •rozsáhlé a systematické monitorování veřejných prostranství (např. kamerový systém s velkým zásahem do veřejného prostoru) •souvisí s principem a povinností posuzování rizika zpracování a účelem je především minimalizace rizik pro dotčené osoby (subjekty údajů) •případně konzultovat s dozorovým úřadem(při velmi vysokém riziku) • Povinnosti správců a zpracovatelů •povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) •někteří správci a zpracovatelé mají podle GDPR povinnost jmenovat tzv. pověřence pro ochranu osobních údajů (DPO –Data Protection Officer) •osoba, která bude soulad činností správce s GDPR nezávisle monitorovat a při zajišťování souladu s GDPR mu bude nápomocná •doporučuje se však vždy provést interní analýzu potřebnosti DPO Povinnosti správců a zpracovatelů •Při předávání osobních údajů do třetích zemí (mimo EU) •předávání musí probíhat v souladu s GDPR, předávání v rámci EU je v zásadě povoleno •Pouze tehdy, pokud jsou v závislosti na dalších ustanoveních splněny podmínky pro vysokou úroveň ochrany osobních údajů, a to na základě (i) rozhodnutí Evropské komise o odpovídající úrovni ochrany v příslušné třetí zemi, (ii) zajištění vhodných záruk–smluvní doložky, Business Corporate Rules, a (iii) výjimek pro specifické situace Povinnosti správců a zpracovatelů •Při předávání osobních údajů do zahraničí •V rámci EU volné předávání osobních údajů •Podobně na základě mezinárodní smlouvy •Mimo EU •Pokud je poskytována v daném státě odpovídající úroveň ochrany •Viz spor Max Schrems v. FB •Zpochybněno předávání os.údajů do USA (safe harbour)- viz PRISM •Pokud se společnost registrovala do programu, byla považována za bezpečnou •SDEU zrušil rozhodnutí Evropské komise – zrušení principu Safe Harbour •NOVĚ: Privacy Shield – prohlášení o souladu s principy ochrany, ale povinnost ověřovat jestli jsou skutečně plněny (v USA dohlíží Federální ministerstvo obchodu), prováděn každoroční audit za účasti Evropské komise, zřízen nezávislý ombudsman •I Privacy Shiled je zpochybňován jako nedostatečný • • • Povinnosti správců a zpracovatelů •spolupráce mezi správci a zpracovateli •správce osobních údajů může do zpracování osobních údajů zapojit i jiný subjekt(např. zpracovatel mezd, poskytovatel cloudového úložiště či mailingové služby apod.), který bude zpravidla považován za zpracovatele osobních údajů •správce obecně může využít pouze takového zpracovatele, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření k zajištění souladu s GDPR •určité povinnosti mezi správcem a zpracovatelem musí být podle GDPR upraveny písemnou smlouvou, která by měla řešit alespoň následující oblasti: •základní informace o správci a zpracovateli •informace o zpracování •povinnosti vázanosti pokyny správce •zajištění technických a organizačních opatření •pravidla užití dalších zpracovatelů (řetězení) •povinnost součinnosti zpracovatele a mlčenlivost • Dohled •Úřad pro ochranu osobních údajů (ÚOOÚ) •provádí dozor nad dodržováním povinností při zpracování osobních údajů •přijímá podněty a stížnosti občanů na porušení povinností při zpracování osobních údajů •poskytuje konzultace v oblasti ochrany osobních údajů •https://www.uoou.cz/a https://gdpr.uoou.cz/ • •Evropský sbor pro ochranu osobních údajů •orgán EU, který má na starosti uplatňování obecného nařízení o ochraně osobních údajů •https://edps.europa.eu/ •koordinace spolupráce v rámci celé EU, snaha o jednotný přístup • Nápravná opatření a sankce •varování, napomenutí, pozastavení zpracování údajů •opatření, která může dozorový úřad nařídit •mohou mít vliv na obchodní činnost podniku a dobré jméno •udělování pokut •v každém jednotlivém případě by měly být účinné, přiměřené a odrazující •posuzuje se závažnost porušení, délka trvání, povaha, rozsah a účel zpracování •přitěžující a polehčující okolnosti • •méně závažné porušení •až 10 mil. EUR nebo až 2 % z celosvětového obratu • •závažné porušení •až 20 mil. EUR nebo až 4 % z celosvětového obratu •zejména porušení základních zásad zpracování a pravidel mezinárodního předávání • Implementace opatření souladu GDPR •1.příprava projektu implementace GDPR •stanovení rozsahu a kompetencí, rozdělení úkolů -právo, IT, procesy, HR, výroba, marketing •2.školení klíčových osob •3.posouzení souladu aktuálních procesů zpracování s GDPR •data mining -> audit -> analýza -> identifikace porušení/nesouladu •4.posouzení rizik zpracování osobních údajů •obecné x DPIA; prioritizace •5.návrh, příprava a implementace vhodných opatření •interní směrnice a compliance programy (ISO, certifikace,…), zabezpečení, nastavení interních procesů •revize a příprava dokumentace (informační dokumenty, souhlasy, odběratelsko-dodavatelská, zaměstnanecká, interní, marketingová,…) •6.následné ad hoc konzultace a kontroly souladu (udržitelnost opatření) •aktualizace, revize, audity, školení, poradenství •