Povinnost jmenovat pověřence pro ochranu osobních údajů je dána správci a zpracovateli pouze v případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů při výkonu jejich soudních pravomocí
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
(čl. 37 odst. 1 Obecného nařízení - http://www.privacy-regulation.eu/cs/37.htm)
V rámci bežné činnosti elektronických obchodů, která nejčastěji spočívá v prodeji zboží či služby, se nebude jednat o naplnění ani jedné z výše uvedených podmínek a tudíž jmenovat pověřěnce pro ochranu osobních udajů nebude třeba.
Relevantním kritériem pro povinné jmenování pověřence u elektronických obchodů bude bod b) a c). Doporučuji nahlédnout do dokumentu pracovní skupiny WP29, který konkrétně definuje pojmy "hlavni činnosti, rozsáhlé zpracování, pravidelné a systematické monitorování" a provést interní analýzu, zda je nebo není nutné pověřence jmenovat.
(https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463)
1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.
4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.
5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.
Opět klamavá a zaručená informace, převzato ze stránek Úřadu pro ochranu osobních údajů:
Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť, je to na jeho vůli.
V této souvislosti je třeba zdůraznit, že přenos dat se řídí GDPR toliko podpůrně. Primární regulací je směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
Sledování pouze v legitimních případech
Evropský soud vyložil právo na soukromí v jeho nejširším záběru, podle kterého se soukromý život promítá i do na první pohled „nesoukromých“ sfér. Jakékoliv sledování zaměstnanců je možným zásahem do základního lidského práva na ochranu soukromí a jako takové bude přípustné pouze, pokud bude dostatečně prokázán jeho legitimní důvod. V případě snaha o zvýšení bezpečí osob a ochrana majetku, nebyly podle práva shledány jako dostatečné důvody. Co si z popsaného případu vzít? Provozujete-li kamerové systémy na pracovišti, uvědomte si, že musíte vyhovět nejen požadavkům ze zákoníku práce, ale stáváte se i správcem osobních údajů, a musíte tak reflektovat příslušnou právní regulaci a blížící se nařízení o ochraně osobních údajů (GDPR) se vás tak pravděpodobně dotkne i v této rovině.
Povinnosti pro správce osobních údajů:
Při instalaci kamerového systému by si měl každý zaměstnavatel položit dvě otázky – jednak zda míra zásahu do soukromí „sledovaných“ zaměstnanců nepřevýší míru majetkového či bezpečnostního rizika, jednak zda je připraven a ochoten plnit veškeré povinnosti z práva na ochranu osobních údajů pro něj vyplývající.
HTTPS nebude z hlediska GDPR povinné, rozhodně ne pro všechny. Jedná se pouze o doporučení pro ty, u kterých je zvýšená míra rizika. Je ale nutné zmínit, že nešifrované HTTP nese jistou míru rizika vždycky. "Obecně všechny stránky, které od svých uživatelů sbírají jakékoliv informace, byť jen formou kontaktního formuláře, by proto měly používat HTTPS. U e-shopů to pak logicky platí dvojnásobně," říká Antonín Kozan, zástupce společnosti Alpiro, která nabízí certifikace na webu ssls.cz. SSL/TLS certifikát je podle něj, a v dlouhodobém časovém horizontu dál bude, dostatečným technickým opatřením pro zabezpečení informací přenášených mezi klientským počítačem a serverem. "Podnikatelé by měli od dodavatelů webových stránek už automaticky vyžadovat podporu HTTPS protokolu, a to i když nezabezpečují citlivou komunikaci. I ty nejjednodušší firemní stránky mají totiž většinou alespoň jeden kontaktní formulář, a pokud bude nezabezpečený, budou stránky označené jako nedůvěryhodné," doplňuje Petr Komárek, který je přesvědčen, že dnes už nemá smysl řešit, jestli HTTPS ano, nebo ne a co by se bez něj případně mohlo stát, ale hlavně to, jak tento protokol na firemní stránky nasadit.
SSL/TLS otevřený protokol a jedna z nejvíce používaných metod pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem. Zabezpečuje tedy internetové spojení například mezi zákazníkem (jeho prohlížečem) a obchodníkem (webem, na kterém prohlížená stránka nebo e-shop funguje). Prostřednictvím šifrování chrání před zneužitím třeba zadané přihlašovací údaje, informace o platebních kartách a zabraňuje nežádoucím úpravám přenášených informací. Dalo by se namítnout, že spojení GDPR a SSL/TLS certifikátů není zcela správné, protože evropské nařízení o ochraně osobních údajů hovoří o správcích a zpracovatelích a certifikace primárně slouží k zabezpečení dat na cestě mezi serverem a prohlížečem.
Provozovatelé webů, kteří mají své stránky zabezpečené SSL/TLS certifikáty, dávají najevo, že jim nejsou lhostejní jejich zákazníci, což bezesporu oceňují nejen oni, ale také Google a zároveň mají jistý náskok při splňování povinností vyplývajících z evropského nařízení GDPR.
HTTPS komunikace je podmínkou pro některé nové funkce prohlížečů a v neposlední řadě posiluje SEO faktor webových stránek. Vyhledávač Google už od roku 2015 upřednostňuje výsledky vyhledávání z webů se zabezpečeným protokolem HTTPS. Přesto to spousta provozovatelů internetových obchodů a firemních webů nereflektuje a bez ohledu na SEO svůj byznys dál provozuje na rizikovém HTTP. Zatím Google u stránek HTTPS zobrazuje zelenou ikonu zámku, v případě HTTP pak jen neutrální ikonu. Od července 2018 ale ve své snaze donutit provozovatele webů k přechodu na HTTPS přitvrdí. Uživatelům, kteří vstoupí na nezabezpečené stránky, se v adresním řádku navíc zobrazí varující upozornění, v jakém prostředí se nacházejí.
Samotný Google kdysi uvedl, že HTTPS má pro výsledky vyhledávání velmi malou váhu a ovlivňuje zhruba procento dotazů. Přecházet na něj jen kvůli SEO by tedy bylo téměř zbytečné. Kvůli varování uživatelů už to ale smysl má, protože každý člověk rád pošle informace o sobě nebo nakoupí tam, kde bude více bezpečno. A je tu ještě jeden důvod, který bude aktuální ještě o měsíc dříve. Od 25. května totiž vstoupí v účinnost GDPR.
WP29 vydává dokumenty, které mají poskytnout výklad novinek zaváděných obecným nařízením o ochraně osobních údajů.
Na této stránce naleznete Pokyny a Vodítka. Pokyny (v angličtině Guidelines) jsou oficiálním překladem EK. U neoficiálních, pracovních překladů ÚOOÚ je pro snadné a na první pohled zřetelné odlišení zachován termín Vodítka.
Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation nahradí dnes při zpracování osobních údajů platné právní předpisy České republiky, zejména pak zákonem č.101/2000 Sb., o ochraně osobních údajů, případně zákonem č. 480/2004 Sb., o některých službách informační společnosti, který reguluje zasílání obchodních sdělení klientům, a dalšími právními předpisy, GDPR nařízení bude přímo použitelné a závazné ve všech členských státech Evropské unie, a to až na výjimky bez nutnosti transpozice do národních právních řádů.
GDPR má za úkol posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států.
Nařízení Evropské Unie o ochraně osobních údajů zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení.
GDPR začne v celé EU platit od 25. května 2018.
GDPR správcům osobních údajů nařizuje zavedení vhodných technických a organizačních opatření tak, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením.
Zákonnost - osobní údaje musí být zpracovávány zákonným způsobem.
Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají. Měl by mít možnost toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek:
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
osobní údaje musí být přesné a pravdivé a kde je to nutné, průběžně aktualizované.
