Co jsou osobní údaje?

S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.

Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Příklady osobních údajů

Identifikační, adresní a platební údaje:

  • oslovení/pohlaví
  • akademický titul
  • jméno
  • příjmení
  • státní příslušnost
  • místo a stát narození
  • věk
  • datum narození
  • rodné číslo/popř. národní identifikátor
  • údaje o dokladech totožnosti
  • adresa trvalého nebo přechodného bydliště
  • doručovací nebo jiná kontaktní adresa
  • název firmy
  • sídlo podnikání
  • fakturační adresa
  • IČ/DIČ
  • číslo bankovního účtu
  • spojovací číslo SIPO

 

Zaměstnanecké údaje:

  • pracovní pozice
  • informace o vzdělání
  • informace o mzdě
  • informace o exekucích
  • informace o ZTP/P
  • osobní číslo
  • docházka
  • termíny dovolené
  • velikost oděvu/obuvi
  • údaje o manželce/manželovi
  • údaje o dětech

 

Elektronické a kontaktní údaje:

  • telefon
  • mobilní telefon
  • fax
  • e-mailová adresa
  • ID datové schránky
  • IP adresa
  • cookies
  • autentizační certifikáty
  • identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
  • lokační údaje
  • přístupový kód

 

Údaje vzniklé profilováním:

  • údaje získané od subjektu údajů marketingovými průzkumy
  • údaje o využívání produktů a služeb a bonusů
  • údaje o typovém chování uživatele
  • vyhodnocení kreditního rizika
  • záznamy o spotřebitelské historii a plnění platebních povinností
  • prediktivní modely

 

Audio/video:

  • videozáznam
  • fotografie
  • záznam hlasu

 

Biometrické údaje (zvláštní kategorie o. ú.):

  • biometrický elektronický podpis
  • biometrické zpracování fotografie
  • biometrické zpracování otisku prstu
  • analýza hlasu
  • analýza osobnostních projevů

GDPR v obcích

Nařízení Evropské unie, které nedopřeje klidný spánek mnoha lidem z komerční sféry, bude mít nemalý vliv rovněž na subjekty veřejnoprávní sféry, jako jsou například obce. I tyto veřejnoprávní korporace se musí na novou právní úpravu ochrany a nakládání s osobními údaji začít připravovat již nyní.

Nařízení zkráceně označované jako GDPR upravuje především zpracování osobních údajů fyzických osob. Proto orgány samosprávy, jakož i orgány vykonávající státní moc v přenesené působnosti na úrovni obce, které s takovými daty operují na denní bázi, musí už nyní přemýšlet nad tím, kterým směrem se v cestě za naplněním podmínek nařízení GDPR vydají.

Nařízení se dotkne i ochrany těch údajů, o nichž to nemusí být na první pohled patrné, jelikož údaje o tom, které z dětí navštěvuje kterou školu či mateřskou školku, či údaje o poskytování sociálních služeb jsou jasnými identifikátory, podle nichž lze identifikovat konkrétní osobu, a jsou tak považovány za osobní údaje.

Na základě platných vnitrostátních předpisů budou obce od mnoha aspektů nařízení GDPR osvobozeny, nikoliv od všech. Subjekty údajů (osoby, jejichž údaje jsou shromažďovány) budou moci uplatnit tzv. právo být zapomenut, či právo na přenositelnost osobních údajů, kdy u obce střední velikosti bude zpracování těchto požadavků patrně představovat poměrně rozsáhlou a administrativně náročnou agendu.

Jakým způsobem se tedy připravit a na co?

Přednostně je potřeba počítat s několika aspekty nařízení, které se obcí přímo dotknou.
Mezi ty patří povinnost informovat fyzické osoby o způsobu nakládání s jejich osobními údaji, zmiňovaná rozšířená práva (právo na opravu osobních údajů, právo na přenositelnost, či právo na omezení zpracování), povinnost jmenovat pověřence pro ochranu osobních údajů, a v neposlední řadě i povinnost vést záznamy o činnostech zpracování.

V České republice je poměrně úspěšně naplňován zákon o ochraně osobních údajů a nařízení GDPR se může zdát jen jistou nadstavbou tohoto zákona. Na rozdíl od mnoha jiných zemí budou mít tuzemské obce podřízení se GDPR o něco jednodušší díky zkušenostem s aplikací zmiňovaného zákona. Ani tak se ovšem některým zásadním změnám nevyhnou.

Zcela novým institutem je tzv. pověřenec pro ochranu osobních údajů. Povinností této osoby je dohlížet na zpracování osobních údajů spravovaných obcemi v souladu s nařízením GDPR. Zároveň pověřenec poskytuje odborné poradenství, je komunikuje a řeší případné podněty na zpracovávání údajů nesprávným postupem s dozorčím orgánem, kterým je ÚOOÚ. Je nezbytné, aby pověřenec vykonával svou funkci nezávisle.

Institut pověřence sám o sobě naráží na nutnost zavést zcela novou funkci, ve které daný bude úředník působit jako auditor v rámci GDPR. Nařízení GDPR přináší ovšem i nutnost vytvoření a obsazení dalších nových pozic – odborníků potřebných pro bezproblémovou implementaci a následné dodržování nařízení.

Obce se mohou v tento okamžik vydat dvěma cestami: Řešit vše vlastními silami, či využít služeb externích společností.

Obě možnosti mají své výhody a zároveň svá úskalí. Výhodou je, že komerční poskytovatel služeb na poli GDPR přebírá odpovědnost za poskytované služby, má k dispozici zaškolený personál a odborníky. Úskalím se naopak může zdát právě samotná podstata nařízení. Externí poskytovatel služeb bude oprávněn – a ve většině případů bude muset – nahlížet do interních dokumentů a prohlížet veškeré osobní údaje, s nimiž obec pracuje a která spravuje.

Při snaze dostát povinnostem kladeným na veřejnoprávní korporace nařízením GDPR svépomocí je zde nutnost obsazovat jednotlivé nově vzniklé pozice a funkce pramenící z implementace nařízení GDPR prostřednictvím výběrových řízení pořádaných obcí, což značně zvýší finanční i časovou náročnost celého procesu, s ohledem na potřebu zaškolení nových zaměstnanců a jejich zapracování.

Kterou cestou se vydat nebude snadné rozhodnout, nicméně volbu je třeba učinit co nejdříve. Obce v závislosti na metodických pokynech Ministerstva vnitra ČR budou povinny pověřence pro ochranu osobních údajů jmenovat. Není přitom nutné, aby pověřenec byl zároveň zaměstnancem. Funkci pověřence tak pro obce může vykonávat i externí subjektu na základě smlouvy o poskytování služeb.

Externí subjekt zastávající funkci pověřence musí být vybírán vždy na základě zadávacího řízení. Dle interních pokynů obce se bude jednat o veřejnou zakázku malého rozsahu, pročež tato zakázka bude mimo režim zákona
č. 134/2016 Sb., o zadávání veřejných zakázek. Hodnota zakázky se bude odvislá od velikosti obce.

Ať už se obce rozhodnou pro interního pověřence pro ochranu osobních údajů, či delegují tuto činnost na externí společnosti, je třeba se s ohledem na krátký čas zbývající do účinnosti nařízení GDPR (květen 2018) začít rozhodovat již nyní.

Výše sankce za porušení povinností pramenících z nařízení GDPR pro veřejnoprávní korporace nebyla v České republice zatím stanovena, ovšem lze usuzovat, že bude obdobná obecné sankci zakotvené v nařízení GDPR, která činí až 20 milionů EUR. Případný spor o náhradu škody za porušení povinností při ochraně osobních údajů fyzických osob tak může mít pro obce fatální následky.

Nařízení evropského parlamentu

General Data Protection Regulation, zkráceně GDPR je nařízením Evropské unie, které vstoupí v účinnost 25.5.2018. Hlavní myšlenkou tohoto přímo aplikovatelného nařízení je zvýšit úroveň ochrany osobních údajů a významně posílit práva občanů Evropské unie v tomto odvětví.

Nařízení GDPR podrobně definuje, co to vlastně osobní údaje jsou a jakým způsobem je s nimi možné nakládat. Subjekt údajů, tedy osoba, jejíž osobní údaje jsou shromažďovány, musí být jasně informován o tom, jaké osobní údaje jsou shromažďovány, za jakým účelem, a musí mít možnost získat komplexní přehled o identifikaci své osoby u jednotlivých entit, které s osobními údaji nakládají. Nařízení GDPR si tak klade za cíl nejen zamezit neoprávněnému nakládání s osobními údaji, ale rovněž vytyčit jasné mantinely v moderním světě elektronických dat.

Nařízení GDPR se dotkne každého, kdo na území EU zpracovává a shromažďuje osobní údaje – ať zaměstnanců a klientů, či zákazníků a dodavatelů. Dopadat bude i na webové poskytovatele služeb, či služby, které pouze analyzují chování uživatelů na webu.

Nařízení GDPR je nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Česká Republika má jako jedna z mála zemí v rámci  EU zmiňovaný zákon přijatý již v současné době na poměrně dobré úrovni. O to snazší bude pro zpracovatele osobních údajů podřídit se nařízení Evropské unie – v zásadě je důležité promyslet své budoucí kroky směřující k navýšení ochrany osobních údajů a získat přehled o interních pohybech dat ve společnosti.

Mezi hlavní povinnosti, které nařízení GDPR ukládá, se řadí povinnost dostatečně informovat fyzické osoby o tom, jakým způsobem je s jejich osobními údaji nakládáno. Další povinností je například zajistit ochránit databáze s osobními údaji proti vnějším útokům, a povinnost vést záznamy o tom, kdo, kdy a jak s těmito osobními údaji nakládá.