Tyto dotazy a odpovědi jsou reakcí na nejčastější dotazy našich zákazníků a budeme je postupně rozšiřovat a upravovat. Odpověď najdete po rozkliknutí požadované otázky.
Správce byl požádán o výmaz všech osobních údajů, které o fyzické osobě shromažďoval. Je povinen správce žádosti vyhovět v plném rozsahu?
Správce je povinen odstranit osobní údaje, které shromažďuje na základě souhlasu subjektu údajů. Pokud má správce povinnost uchovávat údaje na základě platných zákonů (např. účetní, daňové, archivační účely), není povinen vymazat osobní údaje žadatele (např. bývalý zaměstnanec požádá o výmaz svých osobních údajů zaměstnavatele, bývalý zákazník kabelové společnosti požádá o výmaz z databáze). Jiná situace nastane, pokud správce shromažďuje osobní údaje, které není potřeba uchovávat na základě platných zákonů (např. osobní e-mail, osobní telefonní číslo).
Pokud chci jako zaměstnavatel zpracovávat osobní údaje zaměstnanců, musím mít k tomu jejich souhlas?
Často se setkáváme s tvrzením, že ke zpracování osobních údajů musí být souhlas dotčené fyzické osoby (subjektu osobních údajů). Je potřeba si uvědomit, že správce, v tomto případě zaměstnavatel, zpracovává osobní údaje z různých důvodů a pro různé účely. Pro každý účel ale potřebuje znát právní důvod. Pokud by jej neměl, jednal by nelegálně, nezákonně. GDPR stanoví 6 právních důvodů (zákonná povinnost správce, plnění smlouvy, ochrana životně důležitých zájmů subjektu, veřejný zájem, oprávněný zájem správce a souhlas subjektu), na základě kterých se zpracovávají osobní údaje. V případě zaměstnanců se bude jednat nejčastěji o zákonnou povinnost zaměstnavatele (pracovněprávní povinnosti, povinnosti plynoucí ze sociálního zabezpečení nebo zdravotního pojištění apod.), takže souhlas zaměstnance zaměstnavatel v takovém případě nepotřebuje. Pokud zaměstnavatel instaluje kamerový systém za účelem ochrany majetku nebo zdraví osob, jedná se o oprávněný zájem správce a souhlas zaměstnanců opět nepotřebuje. Tak jak byl podle původní právní úpravy (zákon o ochraně osobních údajů č. 101/2000 Sb.) vyžadován souhlas téměř u všeho, je nyní souhlas jako právní důvod zpracování spíše výjimečně a jsou upřednostněny jiné právní důvody. Navíc souhlas subjektu musí být dle GDPR svobodný, konkrétní, informovaný, jednoznačný… a Soudní dvůr EU již rozhodl, že souhlas zaměstnance nemůže být nikdy zcela svobodný, protože je zaměstnanec v určité závislosti na zaměstnavateli a v určité „podřízenosti“. Takže doporučujeme zaměstnavatelům se souhlasům spíše vyhýbat a zdůvodnit zpracování osobních údajů zaměstnance jiným právním důvodem.
Pokud chci jako poskytovatel (podnikatel) nějaké služby zpracovávat osobní údaje svých zákazníků, potřebuji k tomu jejich souhlas?
Jedná se trochu o paralelu s předchozím dotazem. V tomto případě právním důvodem zpracování osobních údajů plnění smlouvy (občanskoprávní vztah), takže souhlas zákazníka nepotřebuji.
Za porušení pravidel GDPR se budou dávat pokuty v astronomické výši?
Zejména obchodní společnosti se obávají pokut do výše 550 mil. Kč nebo 4% z celosvětového obratu holdingu, které jsou skutečně uvedeny v Nařízení Evropského parlamentu a Rady EU č. 2016/679. V rámci adaptačního zákona, který by měl Parlament schválit ještě v r. 2018, by mělo dojít k zastřešení výše pokut v rámci České republiky (předpokládá se do výše 10 mil. Kč, jak bylo v původním zákoně o ochraně osobních údajů č. 101/2000 Sb.). Úřad pro ochranu osobních údajů nemá zájem likvidovat podnikatelské subjekty pokutami a předpokládáme, že své pravomoci bude tento úřad využívat přiměřeně a rozumně. Navíc úřad prostřednictvím svého tiskového mluvčího zveřejnil v médiích informaci, že dokud nevstoupí v účinnost adaptační zákon, bude pokuty udělovat naprosto výjimečně.
Je Nařízení Evropského parlamentu a Rady EU č. 2016/679 jen obecné nařízení a jedná se tudíž o doporučující směrnici?
Nejedná se o doporučující směrnici, jedná se o nařízení, které platí v celém svém rozsahu v celé EU, které vešlo v účinnost 25.5.2018. Automaticky tak přešlo do našeho právního řádu. Toto nařízení ale stanovilo určitý prostor pro všechny země ke stanovení některých vlastních pravidel. Proto se připravuje tzv. adaptační zákon.
Je pravda, že musím jako správce osobních údajů zajistit šifrování pro zabezpečení osobních údajů?
Není to pravda. Nařízení se dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, samotné zpracování osobních údajů a také bere v potaz pravděpodobnost rizik pro práva a svobody, jež sebou zpracování nese. Šifrování je uvedeno jen jako jedno z možných opatření.
Nařízení Evropského parlamentu a Rady EU č. 2016/679 stanovuje, že pověřence pro ochranu osobních údajů musí mít každý veřejný subjekt. Kdo je veřejným subjektem?
Veřejným subjektem je orgán zřízený zákonem nebo na základě zákona v oblasti veřejného práva, který plní úkoly ve veřejném zájmu. Chystaný adaptační zákon zužuje definici veřejných subjektů tak, aby nedopadla povinnost mít pověřence na příspěvkové organizace či jiné pomocné instituce a upřesňuje, že tato povinnost se vztahuje na instituce podobné orgánům veřejné moci.