Právní úprava ochrany osobních údajů Václav Stupka 1
Vývoj ochrany osobních úadjů Od 2. poloviny 20. století 1980 Pravidla ochrany soukromí (OECD) 1981 Úmluva 108 (Rada Evropy) Aktuálně Listina základních práv EU a česká LZPS Data protection directive (a další) Zákon o ochraně osobních údajů Do budoucna GDPR 2
Základní pojmy Osobní údaje Subjekt údajů Zpracování Správce a zpracovatel Účel Souhlas se zpracováním 3
Osobní údaj jakákoliv informace týkající se určeného nebo určitelného subjektu údajů SDEU především široký výklad (Breyer) Anonymizace vs. pseudonymizace Zvláštní kategorie (citlivé údaje) vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů 4
Subjekt údajů fyzická osoba, k níž se osobní údaje vztahují Náležejí mu práva ve vztahu k osobním údajům 5
Zpracování osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace 6
Správce a zpracovatel Správcem je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj Zpracovatelem je každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje Odlišní od příjemce či třetí osoby 7
Účel zpracování Není nikde definován Klíčový pojem pro podmínky zpracování Limituje: Rozsah zpracovávaných údajů Způsoby zpracování Dobu zpracování 8
Souhlas se zpracováním Svobodný souhlas Informovaný souhlas Konkretizovaný souhlas 9
Základní principy Zákonného zpracování Omezení účelem Kvality údajů Transparentnosti Odpovědnosti 10
Princip zákonného zpracování Ke zpracování může docházet na základě souhlasu, nebo zákonného důvodu: Dodržení právní povinnosti Nezbytné pro plnění smlouvy se subjektem Ochrana zájmů subjektu, nebo jiné FO Veřejný zájem/výkon veřejné moci Oprávněné zájmy správce 11
Oprávněné zájmy správce Nejde o universální řešení Nutný test proporcionality: Legitimita zájmu Nutnost zpracování Vyvážení práv Uplatnění záruk Dokumentace compliance 12
Omezení účelem Neúčelné zpracování není dovoleno Účel musí být stanoven před zahájením zpracování Sekundární užití údajů za jiným účelem vyžaduje nový právní důvod Při transferu dat třetím osobám musí být nově stanoven účel a právní důvod 13
Princip kvality údajů Princip relevance Princip správnosti a aktuálnosti Princip omezené doby uchování 14
Princip transparentnosti Subjekty by měly vždy být informovány o zpracování údajů Měl by být zajištěn přístup k údajům Všechny informace o zpracování by měly být přístupné (pokud to nezakazuje zákon) 15
Princip odpovědnosti Je odpovědností správce zajistit soulad s právní úpravou a prokázat jej Měl by proto dokumentovat: Co, jak a proč zpracovává Souhlasy a zákonné důvody Uplatněné postupy zpracování Časové údaje Přijaté záruky a bezpečnostní opatření 16
Jak tedy postupovat? Stanovení účelu a zákonného důvodu Volba rozsahu a prostředků zpracování Zavedení mechanismů pro zajištění dokumentace, aktualizace a transparentnosti Volba a zavedení záruk a bezpečnostních opatření Zavedení kontrolních a revizních mechanismů 17
stupka@ics.muni.cz DOTAZY? 18